> Tous les forums > Forum Sécurité
 Une saloperie bloque tout mon pc !!!
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
mad jumperz
  Posté le 23/12/2009 @ 18:42 
Aller en bas de la page 
Nouvel astucien
Bonjour,

Hier soir je me suis chopé "malware Defender 2009". je me rends bien évidemment compte que c'est un virus ou autre saloperie. Je tente alors de le supprimer via des aides sur forum. Avira ne fonctionne plus, malwarebytes non plus. Je supprime entre autre la cle de registre, je le desinstalle, j'empeche le lancement au démarrage etc.
J'installe Spyware Doctor qui me supprime les quelques trojans qui squattaient encore mon pc.

Le programme malveillant semble ne plus faire d'effet (bien que Avira n'est toujours pas dispo). Jusqu'a ce que je reboot mon pc.
Windows XP pro se lance (logo et chargement) puis, une fenetre noir avec seulement la souris. Rien d'autre ne se passe.....
Je redémarre alors en mode sans echec avec prise en charge réseau, et impossible de lancer Malwarebyte ou mon antivirus et meme de me connecter à Internet! (IE9 semble carrement avoir disparu, comme le .exe de Avira).

J'ai transferer mes fichier tres important (je suis en pleine rédaction de mon mémoire de derniere année d'unif) sur un disque dur externe et j'emprunte le pc de ma soeur pour écrire. Je suis dans la m**** si je ne récupère pas mon PC rapidement. J'aimerai trouver une solution sans formater l'ordi.

D'avance merci pour votre aide.

Configuration: Windows XP Pro

Voici l'analyse avec Hijackthis

Merci sourire.gif


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:08:17, on 23/12/2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
H:\HiJackThis.exe
C:\Program Files\Internet Explorer\Iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.channelnetwork.cn/ac.php?aid=285&sid=new
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Program Files\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Launch Direct Link] "C:\Program Files\ASUS\AI Direct Link\AsShare.exe"
O4 - HKLM\..\Run: [Launch As Cmd Runner] "C:\Program Files\ASUS\AI Direct Link\AsCmd.exe" -reg
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [H2O] C:\Program Files\SyncroSoft\Pos\H2O\cledx.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Fichiers communs\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Program Files\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\RunOnce: [Unprotector] C:\WINDOWS\TEMP\VRTF.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'c:\program files\avira\antivir desktop\avsda.dll' missing
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\avmailc.exe (file missing)
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\sched.exe (file missing)
O23 - Service: Avira AntiVir Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\avguard.exe (file missing)
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Unknown owner - C:\Program Files\Avira\AntiVir Desktop\AVWEBGRD.EXE (file missing)
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Program Files\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Fichiers communs\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Norton Internet Security - Unknown owner - C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe (file missing)
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\pctsSvc.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
Publicité
Ananda
 Posté le 23/12/2009 à 19:02 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour Bienvenue sur PCA

Tu as fait un maximum de sauvegarde avant de commencer?

Ces Rogues deviennent de plus en plus délicats à supprimer.

Télécharge rkill de Grinler sur ton Bureau (et pas ailleurs). Tu peux l'exécuter en MSE et le télécharger via un autre pc.


  • Double-clique sur le fichier rkill sur ton Bureau afin de lancer l'outil.
    ( Pour les utilisateurs de Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" ).
  • Une fenêtre à fond noir va apparaître brièvement, puis disparaître.
  • Si rien ne se passe, ou si l'outil ne se lance pas, télécharge l'outil depuis un des 3 autres liens ci-dessous et fais une nouvelle tentative d'exécution.

Lien 1
Lien 2
Lien 3

/!\ Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne continue pas le nettoyage, et préviens moi dans ton prochain message. /!\

mad jumperz
 Posté le 23/12/2009 à 19:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

C'est bien la mon probleme, je n'ai aucune sauvegarde du systeme. J'ai voulu en faire une mais ca a planter et... Bref, je suis dans le caca :)

J'ai bien save les fichiers personnels importants.

Je commence le processus...

mad jumperz
 Posté le 23/12/2009 à 19:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Voila, j'ai testé le 1er. Une fenetre noir s'ouvre, se ferme et l'écran se reboot avec un message d'alerte me prévenant que je suis en MSE. Puis revient comme avant.

J'ai donc testé les 3 autres: exactement pareil :(

mad jumperz
 Posté le 23/12/2009 à 19:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Que dois-je faire maintenant? :)

mad jumperz
 Posté le 23/12/2009 à 19:42 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

J'ai autorisé Malware Defense de se lancer au démarrage. J'ai rebooter et lancé en mode normal.

Je recoit alors un message "Prévention de l'execution des données : pour proteger votre ordi, Windows a fermé ce programme" -> Explorateur Windows

L'ecran reste donc bleu...$J'essaye de lancer le gestionnaire des taches (ctrl atl del), et le meme message d'alerte appararait.

mad jumperz
 Posté le 23/12/2009 à 19:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Et je n'ai tjrs pas de connexion internet puisque je n'ai pu envoyer le rapport d'erreur. Or ma connexion est exelente puisque je suis sur le meme Wifi avec ce portable ci.

mad jumperz
 Posté le 23/12/2009 à 20:53 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Personne d'autre n'a d'idée?

Ananda
 Posté le 23/12/2009 à 21:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

C'est déjà bien si tu as pu sauvegarder tes docs importants.

Des idées je vais éssayer d'en trouver

Toujours au même point, démarrage en MSE possible?

a tout de suite

Publicité
Ananda
 Posté le 23/12/2009 à 22:07 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Télécharge SmitFrauFix (et place le fichier sur le PC infecté)

Utilisez cette adresse pour télécharger la dernière version du fix (le fichier contient la version anglaise et française):
http://siri.urz.free.fr/Fix/SmitfraudFix.exe


Démarres en Mode sans échec

Double clique sur SmitfraudFix.exe

  • Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
  • A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  • Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
  • Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt


  • Modifié par Ananda le 23/12/2009 22:08
    felix158
     Posté le 01/03/2010 à 19:13 
    Aller en bas de la page Revenir au message précédent Revenir en haut de la page
    Nouvel astucien
    Ananda a écrit :

    Télécharge SmitFrauFix (et place le fichier sur le PC infecté)

    Utilisez cette adresse pour télécharger la dernière version du fix (le fichier contient la version anglaise et française):
    http://siri.urz.free.fr/Fix/SmitfraudFix.exe


    Démarres en Mode sans échec

    Double clique sur SmitfraudFix.exe

  • Sélectionner 2 et pressez Entrée dans le menu pour supprimer les fichiers responsables de l'infection.
  • A la question: Voulez-vous nettoyer le registre ? répondre O (oui) et pressez Entrée afin de débloquer le fond d'écran et supprimer les clés de registre de l'infection.
  • Le fix déterminera si le fichier wininet.dll est infecté. A la question: Corriger le fichier infecté ? répondre O (oui) et pressez Entrée pour remplacer le fichier corrompu.
  • Un redemarrage sera peut être necessaire pour terminer la procedure de nettoyage. Le rapport se trouve à la racine du disque système C:\rapport.txt
  • Merci ! J'avais le même problème après avoir enlevé un rogue avec Malwarebytes en mode sans echec.

    Tu m'as bien aidé, je connaissais pas ce logiciel.

    Page : [1] 
    Page 1 sur 1

    Vous devez être connecté pour participer à la discussion.
    Cliquez ici pour vous identifier.

    Vous n'avez pas de compte ? Créez-en un gratuitement !
    Recevoir PC Astuces par e-mail


    La Lettre quotidienne +226 000 inscrits
    Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

    Les bonnes affaires
    Une fois par semaine, un récap des meilleurs offres.

    Les fonds d'écran
    De jolies photos pour personnaliser votre bureau. Une fois par semaine.

    Les nouveaux Bons Plans
    Des notifications pour ne pas rater les bons plans publiés sur le site.

    Les bons plans du moment PC Astuces

    Tous les Bons Plans
    179,99 €Ecran 27 pouces incurvé Viewsonic VX2718 (FHD, 165 Hz, 1 ms) à 179,99 €
    Valable jusqu'au 29 Septembre

    Cdiscount fait une belle promotion sur l'écran 27 pouces incurvé Viewsonic VX2718 qui passe à 179,99 € alors qu'on le trouve ailleurs à partir de 200 €. Cet écran dispose d'une dalle VA Full HD  (1920x1080) à 165 Hz avec un temps de réponse de 1 ms. Il est compatible Adaptive Sync. Au niveau connectique, vous trouverez une entrée DP et deux entrées HDMI. Une très bonne affaire. 


    > Voir l'offre
    21,99 €Enceinte connectée Amazon Echo Dot (3ème génération) avec assistant Alexa à 21,99 €
    Valable jusqu'au 29 Septembre

    Amazon fait une promotion sur l'enceinte Amazon Echo Dot (3ème génération) qui passe à 21,99 € (au lieu de 49,99 €). L'appareil piloté par la voix fonctionne avec Alexa, l’intelligence artificielle développée par Amazon. Vous pourrez avec elle écouter de la musique, interagir avec vos appareils domotiques, écouter les infos, la radio, connaître la météo et d’accéder à des milliers d’autres possibilités grâce aux Skills : recettes de cuisine, petits jeux, etc. Par rapport à la génération précédente, le son est amélioré et l'enceinte arbore un nouveau design. 


    > Voir l'offre
    111,01 €SSD externe portable Samsung T7 1 To à 111,01 € livré
    Valable jusqu'au 29 Septembre

    Amazon Allemagne fait une promotion sur le SSD externe portable Samsung T7 1 To qui passe à 106,27 €. Comptez 4,74 € pour la livraison en France soit un total de 111,01 € livré alors qu'on trouve le SSD à partir de 189 € ailleurs. Son format compact vous permettra de le transporter facilement avec vous. De quoi stocker parfaitement vos fichiers et de les emporter dans vos déplacements en toute sérénité. Grâce à la technologie PCIe NVMe intégrée et au connecteur USB 3.1 Type C, bénéficiez de vitesses supérieures pouvant atteindre 1050 Mo /s ! Compatible PC, Mac et Android, il se montrera rapidement indispensable. Le disque Samsung T7 se pare d'un boîtier robuste en aluminium qui résistera aux chutes. Il embarque également un cryptage avancé avec mot de passe.

    Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane. Si vous êtes perdu en allemand, vous pouvez traduire le site en anglais.


    > Voir l'offre

    Sujets relatifs
    Windows 7 bloque tout le temps sans raison apparente
    ordi qui se bloque tout le temps
    configMsi/1517d.rbf bloque tout?
    Skype bloque tout !!!!
    page gendarmerie bloque tout
    Bitdefender bloque tout !
    Plus rien ne s'ouvre, tout est bloqué
    Security tool bloque tout !!
    Security suite s'est installé et bloque tout.
    antimalware doctor me bloque tout
    Plus de sujets relatifs à Une saloperie bloque tout mon pc !!!
     > Tous les forums > Forum Sécurité