Démarrage impossible, infectée ?

[FMary]

Bonjour à tous, étant nulle en informatique, je viens quémander votre aide pour un soucis de démarrage qui semblerait être lié à un ou plusieurs virus et autres joyeusetés.

Lorsque je cherche a démarrer mon ordinateur, celui-ci bloque sur une page bleue avec comme message :

STOP : c000021a {Erreur système irrécupérable }
Le processus système Windows Logon Process s'est terminé de façon inattendue avec l'état 0x0000142 ( 0x00000000 0x00000000 )
Le système a été arrêté.

Je ne peux donc démarrer qu'en "mode sans échec".

Aprés lecture de quelques posts, j'ai désactivé la restauration automatique ( ai-je bien fait ? ) et utilisé Smitfraudfix mais en vain ...

Je ne suis plus quoi faire ...

Merci par avance.

(Je crois m'être trompée de section ou de manière de poster, milles excuses )

[theflyed]

Bonsoir,
je comprend pas trés bien votre problème mais si je comprend bien vous n'arrivé pas a entré dans la page d'ouverture ou tout les icones sont?

Si c'est le cas une seul chose à faire allé voir un informaticien et enlevé tout les virus

[JPL]

Si tu as le CD d'installation de Windows il faut d'abord faire une réparation du système. Pour les "virus", il faudra voir ensuite ici avec le groupe antimalware.

[FMary]

Bonjour

En effet, un ami a tenté de réparer le système via le CD d'installation Windows, mais sans succès. D'après lui, un virus infecte le "logon" (?) mais il ne s'y connais pas plus et ne vois qu'une solution : le formatage

Merci pour vos réponses.

[FMary]

Re bonjour,

Après avoir remarqué un nouvel icône nommé "BraveSentry", j'ai appliqué la procédure préléminaire indiquée dans le forum.

Si ces données vous parlent plus qu'à moi-même, merci de bien vouloir m'aider.

Par contre la je n'ai pas réussi à appliquer la dernière procédure, ça m'affiche un message d'erreur : erreur loading/opening driver ( je ne peux faire ceci qu'en mode sans échec )


Merci.

[yoda1234]

Consulte je te prie la procédure préliminaire du forum.

Note : Effectue ce qui est demandé, mais ne fais pas la partie optionnelle avec Rootkit Unhooker, c'est à dire le point 4 du dossier.

Reviens ensuite dans ce sujet pour poster les rapports générés par la procédure.

[igor51]

Bonjour et Bienvenu sur Futura,

Tu es bien infecté, il y a un risque de ne pas arriver au terme de la désinfection ou que ton système ne la supporte pas, je te conseille de faire une sauvegarde de tes documents importants pour éviter de les perdre.

Télécharge ce fichier (par ejvindh)
http://www.uploads.ejvindh.net/rustbfix.exe
...et sauvegarde-le sur ton Bureau.

Double clique rustbfix.exe afin de lancer l'outil.
Si une infection Rustock.b est détectée, une invite t'indiquera qu'il est nécessaire de redémarrer l'ordi. Ce redémarrage pourrait être plus long que d'habitude, et il est possible que deux redémarrages soient requis. Tout cela se fera automatiquement.
Suite au(x) redémarrage(s), deux rapports s'ouvriront : (%root%\avenger.txt & %root%\rustbfix\pelog.txt).
Poste ces deux rapports, ainsi qu'un nouveau log HijackThis dans ta prochaine réponse


Bonne journée

[FMary]

Bonsoir,

J'ai donc suivi les instructions données ci-dessus, j'ai bien eu les deux démarrages de l'ordinateur ( j'ai enfin pu redémarrer en mode "normal" ) mais je n'ai eu qu'un seul rapport de créé.

Je vous remercie par avance de m'avoir consacré un peu de votre temps.

Voici donc le rapport que j'ai eu ainsi que le nouveau rapport hiJackthis.

Bonne soirée.

[igor51]

Bonjour,


Refais un diaghelp option 1, puis poste le rapport en pièce jointe.

Bonne journée

[FMary]

Bonjour,

Voici le nouveau rapport diaghelp.

Merci encore.

Bonne journée.

[igor51]

Bonjour,

On continue

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

Bonne journée

[FMary]

Bonjour,

Alors pour la suite, voici les deux rapports.

Merci

Bonne journée.

[igor51]

Bonjour,

Télécharge OTMoveIt de OldTimer.

• Sauvegarde le sur ton Bureau.
• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

   
  C:\WINDOWS\system32\a3dx8.dll
  C:\Documents and Settings\All Users\Documents\Settings\bot.dll
  

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

--------------------------------------------------------------------------

Télécharge Dr Web Cure it

• Double clique sur drweb-cureit.exe puis sur Analyse. Accepte le scan rapide en cliquant sur Ok.
• Le programme va scanner la mémoire ton pc. Clique sur Oui pour supprimer ce qu'il te trouve. Cela ne devrai pas prendre longtemps.
• Une fois cela fait, clique sur Tous les disques durs.
• Clique sur la flèche verte à droite, en dessous du logo. Le scan va démarrer.
• Choisis "Oui pour tous" s'il te demande de nettoyer/déplacer (cure/move) les fichiers trouvés.
• Une fois le scan finis, tu devrais pouvoir cliquer sur cette icône =>
• Clique ensuite sur l'icône suivant et sélectionne "Move incurable".
  
• Une fois cela fait, fait Fichier - Enregistrer le rapport.
• Sauvegarde le rapport sur ton Bureau. Il devrait se nommer DrWeb.csv.
• Redemarre ton ordinateur, car des fichiers peuvent necessiter un redemarrage pour être supprimés.
• Poste le contenu du rapport en pièces jointes (pense à renommer DrWeb.csv en DrWeb.txt).

Poste moi les deux rapports générés ainsi qu'un nouveau Hijackthis dans ta prochaine réponse

Bonne journée

[FMary]

Bonjour,

Désolée de répondre aussi tardivement, j'ai eu un week-end surchargé.

J'ai donc appliqué la procédure décrite au-dessus ( une grosse erreur de ma part, j'ai cliquer à un moment sur "renommer" )

Voici donc les 3 rapports en espérant que ma mauvaise manipulation n'aie en rien compromis la suite des événements.

Merci encore.

Bonne journée.

[igor51]

Bonjour

Tu n'as pas fait de mauvaise manipulation

Lance Hijackthis, choisis Do a scan only et coche les lignes suivantes :

O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Program Files\ShopperReports\Bin\2.0.0 \ShprRprt.dll (file missing)
O2 - BHO: (no name) - {daa873d4-958c-453c-81ca-3fe6f3676a87} - C:\WINDOWS\System32:rsaa.dll (file missing)
O20 - Winlogon Notify: A3dxq - C:\WINDOWS\system32\a3dx8.dll (file missing)
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Documents\Settings\bot.d ll (file missing)

Ferme toutes les fenêtres sauf Hijackthis et clique sur Fix Checked

• Fais un scan en ligne Kaspersky avec Internet Explorer :
• Clique sur
• Clique maintenant sur J'accepte.
• Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
• Patiente pendant l'installation des Mises à jour.
• Clique sur Suivant.
• Choisis par la suite l'analyse du Poste de travail
• Sauvegarde en cliquant sur enregistrer-sous, choisis Bureau et dans Type choisis Fichier texte ( .txt ) puis poste le rapport généré en fin d'analyse.

AIDE : Configurer le contrôle des ActiveX
Note : Si tu reçois le message "La licence de Kaspersky On-line Scanner est périmée", vas dans Ajout/Suppression de programmes et désinstalle On-Line Scanner, reconnecte toi sur le site de Kaspersky pour retenter le scan en ligne.

Poste moi le rapport dans ta prochaine réponse.

Dis moi aussi où en sont les problèmes rencontrés?

Bonne journée

[FMary]

Bonsoir,

Voici le rapport kaspersky.

L'ordinateur tourne beaucoup mieux, plus de problèmes au démarrage.

Aucun problème à signaler ( enfin du moins, ce que je constate )

Merci encore

Bonne soirée.

[igor51]

Bonjour,

Supprime les fichiers/dossiers suivants :

C:\Documents and Settings\Tone\Bureau\SDFix << le dossier
C:\Documents and Settings\Tone\DoctorWeb\Quaran tine\ << son contenu
C:\telechargement\hbtools.exe << le fichier
C:\WINDOWS\system32\wltcgcok.e xe

• Double-Clique sur OTMoveIt.exe pour le lancer.
• Copie le chemin des fichiers suivants en selectionnant TOUT et en appuyant sur CTRL + C (ou, après avoir sélectionner, clique-droit et choisis Copier):
  
  
  Code:

   
  C:\Documents and Settings\Tone\Bureau\SDFix
  C:\Documents and Settings\Tone\DoctorWeb\Quarantine\ 
  C:\telechargement\hbtools.exe 
  C:\WINDOWS\system32\wltcgcok.exe
  C:\Program Files\HbTools\
  

• Retourne dans OTMoveit, fais un clique-droit dans la fenêtre "Paste List of Files/Folders to be moved" et choisis Coller.
• Clique sur le boutton rouge Moveit!.
• Ferme OTMoveIt

Si un fichier ou un dossier ne peut être déplacer immédiatement il te sera demander de redémarrer ta machine pour finir le processus. Si c'est le cas, choisis Yes.

Un rapport va être créé ici >> C:\_OTMoveIt\MovedFiles , poste le dans ta prochaine réponse

---------------------------------------------------------------------------

Citation:

• Clic droit sur Poste de travail --> Propriétés --> onglet Système de restauration
• Coche la case "Désactiver le système de restauration..."
• Redémarre l'ordinateur
• Après redémarrage, retourne dans le même onglet pour rétablir le Système de restauration
• Décoche la case "Désactiver le système de restauration..."

Et voila, un nouveau point de restauration qui est a priori propre

---------------------------------------------------------------------------


Lis bien le dossier de prevention pour éviter de rattraper ce genre d'infection. La sécurisation est un tout et passe entre autre par un Antivirus, un firewall et un antispyware, correctement paramétrés.

Si tu as des questions n'hésite surtout pas à nous les poser, nous sommes aussi là pour çà.

--------------------------------------------------------------------------

Tu peux supprimer tout ce que je t'ai fait télécharger, les rapports aussi

Bonne journée

[FMary]

Bonjour,

Je n'ai pas trouvé l'onglet "restauration du système" dans les propiétés du poste de travail. Je suis donc passée par "propriétés système" dans le panneau de configuration.

Voici le log généré par OTMovIt.

Je suis en train de re-lire le dossier de prévention afin de mieux me protéger.

Merci de m'avoir consacré autant de temps.

Merci Igor51, Le groupe Malware et Futura-Sciences.

Bonne journée.