PC infecté, incapable d'accéder à regedit (entre autres)

[invite5923fead]

Bonjour,

j'ai un vieux PC et il a été infecté il y a déjà un bon moment.

Les symptômes que je peux voir sont:

- incapable d'exécuter regedit
- incapable d'exécuter "ctr+alt+del"
- a intervalle très (trop) fréquent, la fenêtre que j'ai sélectionné va se "désélectionné". Si je regarde un vidéo plein écran, cela me ramène en version fenêtre. Si je joue à un jeu, cela me ramène sur le bureau avec toujours aucune fenêtre de sélectionner dans tous les cas.

J'ai essayé plusieurs anti-virus (payant ou gratuit) mais bien entendu, sans résultat. Comme je n'ai pas le cd de Windows, l'option de réinstaller n'est pas applicable non plus.

Merci de votre aide.
-----

[invite4c6c2965]

Salut,
Tu as deux antivirus, avg et avast, ce dernier n'est d'ailleurs pas à jour...
Désinstalle les 2, tu en réinstalleras un à la fin de la procédure. Ensuite:

Télécharge et installe Malwarebytes' Anti-Malware
Fait un scan Complet, coche puis clique sur Supprimer la sélection
Accepte le reboot de la machine puis poste le rapport final.

[invite5923fead]

Voilà, j'ai suivi ces étapes.

RSIT ne m'a pas donné le rapport info.txt par exemple...

Je ne peux donc que soumettre le log.

Merci de cette réponse rapide!

[invite5923fead]

Aussi, le rapport de Malwarebytes au cas-où...

[A voir en vidéo sur Futura]

[invite4c6c2965]

refais un scan avec MBAM, car tu n'as pas tout coché à la fin du scan, coche tout
puis clique sur Supprimer la sélection. Ensuite poste le rapport après le reboot.
Tu posteras après un nouveau rapport log.txt de RSIT

[invite5923fead]

Voilà le 2e essai.

Désolé!

[yoda1234]

Tu as oublié le log de MBAM.

refais un scan avec MBAM, car tu n'as pas tout coché à la fin du scan, coche tout
puis clique sur Supprimer la sélection. Ensuite poste le rapport après le reboot.

[invite5923fead]

Voilà (finalement)!

[invite4c6c2965]

tu n'as pas désinstaller les antivirus comme demandé plus haut. Ce n'est pas bien difficile de suivre les instructions...


Télécharge >>OTM<< (de Old_Timer) sur ton Bureau.
Double-clique sur OTM.exe pour le lancer.
Copie les lignes de la zone "Code" ci-dessous dans le Presse-papiers en les
sélectionnant TOUTES puis en appuyant simultanément sur les touches CTRL et C
(ou, après les avoir sélectionnées, en faisant un clic droit puis en choisissant Copier):

Code:

FS
:Reg
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{A26503FE-B3B8-4910-A9DC-9CBD25C6B8D6}"=-
[-HKEY_CLASSES_ROOT\CLSID\{A26503FE-B3B8-4910-A9DC-9CBD25C6B8D6}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{07B18EA1-A523-4961-B6BB-170DE4475CCA}]
[-HKEY_CLASSES_ROOT\CLSID\{07B18EA1-A523-4961-B6BB-170DE4475CCA}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A26503FE-B3B8-4910-A9DC-9CBD25C6B8D6}]
[-HKEY_CLASSES_ROOT\CLSID\{A26503FE-B3B8-4910-A9DC-9CBD25C6B8D6}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{07B18EA9-A523-4961-B6BB-170DE4475CCA}"=-
"{A26503FE-B3B8-4910-A9DC-9CBD25C6B8D6}"=-
[-HKEY_CLASSES_ROOT\CLSID\{07B18EA9-A523-4961-B6BB-170DE4475CCA}]
[-HKEY_CLASSES_ROOT\CLSID\{A26503FE-B3B8-4910-A9DC-9CBD25C6B8D6}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"My Web Search Bar Search Scope Monitor"=-
"Security Gateway"=-
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CyberDefender Early Detection Center"=-
"ewibcald"=-
[HKEY_USERS\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}]
[-HKEY_CLASSES_ROOT\CLSID\{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1}]
 
 
:Files
C:\Program Files\MyWebSearch
C:\Program Files\CyberDefender
C:\Documents and Settings\Daniel\Local Settings\Application Data\CyberDefender
C:\WINDOWS\system32\mslsgw.exe 
:Commands
[purity]
[emptytemp]
[emptyflash]
[start explorer]
[Reboot]

Retourne dans la fenêtre de OTMoveIt3, fais un clic droit dans la zone puis Coller.

Clique sur le bouton rouge
Le résultat apparaitra dans le cadre Results.
Clique sur Exit pour fermer.
Poste le rapport situé dans C:\_OTM\MovedFiles\*******_******.log


NB: Il te sera peut-être demandé de redémarrer le pc pour achever la suppression.
si c'est le cas accepte par Oui/Yes. (Quoi qu'il en soit redémarre l'ordi)

[invite5923fead]

En fait, j'ai bien désinstaller les deux antivirus mais j'ai réinstaller avast tout de suite au lieu d'attendre... =(

Désolé!

Voici le log

[invite4c6c2965]

relance RSIT puis poste le nouveau rapport log.txt
qu'en est-il des soucis de regedit et ctrl + alt + suppr ?

[invite5923fead]

Toujours impossible de faire un ou l'autre malheureusement.

Voici le log

[invite4c6c2965]

le log.txt n'est pas le bon, tu m'as envoyé le même fichier qu'au début des opérations....
Télécharge XP Quick Fix Plus, dézippe-le puis clique sur le fichier lfx (clé à molette),
clique sur Enable task manager et ensuite sur Enable registry editor.
Vérifie si cela a fonctionné, au besoin redémarre et revérifie.
Poste le bon rapport log.txt

[invite5923fead]

Mon dieu, je suis vraiment désespérant...

Même après avoir redémarrer, aucune des deux opérations ne fonctionne...

Ça devrait être le bon log cette fois!

[invite4c6c2965]

Fais un scan en ligne >< < coche toutes les cases qui se présenteront à la fin
poste le rapport se situant en C:\Program Files\EsetOnlineScanner\****_****.txt
Aide en images

[invite5923fead]

Voici le log.

[invite4c6c2965]

Ouvre le bloc-notes et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait) :

Code:

REGEDIT4
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableRegistryTools"=dword:00000000
"DisableTaskMgr"=dword:00000000
"Logoff"=dword:00000000
"StartMenuLogOff"=dword:00000000
"NoClose"=dword:00000000
"NoRun"=dword:00000000
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Group Policy Objects\LocalUser\Software\Microsoft\Windows\CurrentVersion\Policies\System]
"DisableTaskMgr"=dword:00000000
"Logoff"=dword:00000000
"StartMenuLogOff"=dword:00000000
"NoClose"=dword:00000000
"NoRun"=dword:00000000
"**del.DisableTaskMgr"=" "
 
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
"DisableRegistryTools"=dword:00000000
"DisableTaskMgr"=dword:00000000
"Logoff"=dword:00000000
"StartMenuLogOff"=dword:00000000
"NoClose"=dword:00000000
"NoRun"=dword:00000000
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"DisableCAD"=dword:00000000
 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoControlPanel"=dword:00000000
"NoWindowsUpdate"=dword:00000000
"NoRun"=dword:00000000

Puis "fichier"/"enregistrer sous" :
dans : sur le bureau
Nom du fichier : fix.reg
Type de fichier : "tous les fichiers"
clique sur "enregistrer"

L'icône de fix.reg doit ressembler à cela [:jean-chretien1:2]

quitte internet et double clique sur fix.reg => tu dois obligatoirement avoir un message
"voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
Si c'est bien le cas, clique sur "oui" .

Redémarre, vérifie taskmanager et regedit.

[invite5923fead]

Ça ne marche pas.

Lorsque je clique sur l'icone, j'obtiens un message disant que windows ne trouve pas le fichier fix.reg sur le bureau...

[invite4c6c2965]

le fichier est ici:
http://www.sendspace.com/file/lb0gt4
vois si cela fonctionne avec celui-là.

[invite5923fead]

Je l'ai enregistré sur le bureau et cela me donne le même message lorsque je tente de l'exécuter.

[invite4c6c2965]

Fais un scan en ligne >< < coche toutes les cases qui se présenteront à la fin
poste le rapport se situant en C:\Program Files\EsetOnlineScanner\****_****.txt
Aide en images

[invite5923fead]

Voici le résultat du scan.

[invite4c6c2965]

Tente une réparation de Windows:
Clique sur le menu Démarrer
Sélectionne Exécuter
Tape SFC /scannow puis clique sur OK (bien mettre un espace entre SFC et /scannow). Ensuite tu redémarres.

[invite5923fead]

J'obtiens le message d'inserer le cd de windows XP pour executer cette tâche. Malheureusement, je n'ai pas le cd.

[invite4c6c2965]

Télécharge ComboFix (de sUBs):
- Sauvegarde le sur ton Bureau.
- Double-clique sur Combofix.exe et suis les instructions.
- Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte).
- Poste le contenu du rapport dans ta prochaine réponse.

Le rapport est également sauvegardé ici : C:\ComboFix.txt

Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ;
ceci provoquerait le gel du programme

Tuto ComboFix

[invite5923fead]

Voici.

De plus, j'ai eu un message en laçant ce programme que mon "antivirus" Cyberdefender (que j'avais malheureusement déjà installé il y a longtemps et que je pensais avoir complètement désinstaller) était encore en mode scan...

[invite4c6c2965]

il y a deux clés de registre qui font de la résistance au nettoyage dans MBAM.
Refais une mise à jour de MBAM, puis effectue un nouveau scan complet, à la fin
coche toutes les cases puis clique sur Supprimer la sélection. désactive auparavant
toutes tes protections, antivirus, antispywares, pour ne pas qu'ils empêchent la modif
dans le registre. Redémarre et poste le rapport final.

[invite5923fead]

J'ai fais la mise a jour mais le scan n'a rien trouvé...

Question surement idiote: Dois-je supprimer les fichiers en quarantaines de MBAM?

[invite4c6c2965]

oui tu peux vider la 40aine. toujours pas de gestionnaire de taches ni regedit ?

[invite5923fead]

Les deux fonctionnent!

J'avais essayé les deux après Combofix (et après un redémarrage) sans résultat. Aucune idée ce qui a changé entre temps heh...

Merci énormément!! Et pour la guidance, et pour la patience!

Je ne sais pas s'il y a une dernière étape (autre que de réinstaller un anti-virus) mais encore une fois, merci!