Un virus virulant, Perte de l’image windows, des erreures à gogo 2015-12-05T21:52:41+00:00

Dépannage Informatique : Un virus virulant, Perte de l’image windows, des erreures à gogo

  • Auteur
    Messages
  • Asusk73sj_w7
    Participant
    Nombre d'articles : 3

    Bonsoir à tous !

    Suite à mon passage chez mon informaticien qui est resté, de glace devant ce soucis, Il m’a simplement conseillé de ré-installé le win. seven. édition familiale prenium X64 (Oui un jolie virus est venu, dans un élan de folie me foutre la pagaille dans le pc, d’ailleurs j’ai eu le droit a des messages “le fichier user32 à été modifié, bla bla bla )

    Il a juste grogné que les fichiers de base de seven ont du être modifié un truc dans le genre…. oui je suis très nul pour bien expliquer et encore plus pour manipuler un windows, sachant que la seul fois ou j’ai voulu faire çà, c’était pour vista il y a quelques années.. Et je suis en panique, c’est mon pc de boulot

    ce soir j’ai tenté de reboot, mais L’image de windows n’est plus là, la partition n’existe plus non plus. Et Microsoft à supprimé tout les images de seven a ce que j’ai comprit..

    Cela devient costaud, surtout que plus le temps passe, moins je peux utiliser le pc, pour le sauver :triste:

    Je serais bien tenté de suivre ceci https://www.sosvirus.net/telecharger-et-installer-windows-7/

    C’est pas la peine de graver un cd le lecteur ne marche plus non plus il me reste juste ma clé usb de 12 Go pour tenté le coup.

    Est-ce faisable? Parce que à l’heure ou j’écris ce message, la plupart des appli du pc plantent 😐 Et le proc atteint presque çà limite de température 55 ° limite 60 ° max

    Merci

    PC Portable Asus k73sj Windows seven édition familiale Prenium Service pack1

  • H.A.W.X
    Participant
    Nombre d'articles : 1705

    Bonsoir ! 🙂

    Très bien nous allons tenter de desinfecter dans un premier temps, dans un second temps si windows est trop endommagé nous te guiderons pour réinstaller windows et tout ce qui va avec mais une chose après l’autres 😉

    Nous allons renter ceci dans un premier temps :

    • Redémarre le PC
    • Après l’écran de démarrage de ton PC tapote sur la touche F8 ou F12
    • Choisis Mode sans échec avec prise en charge réseau (avec les flèches de ton clavier), puis Entrée

      Seuls ces liens sont officiels ne pas télécharger l’outil sur d’autres liens !

      Note : Pendant le scan le bureau peut disparaître à plusieurs reprises

    • Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux … ( >> Aide << )
    • Télécharge Pre_Scan sur ton bureau !
    • Si le lien n’est pas fonctionnel :
      • #ICI (renommé winlogon)

    • Si l’outil est bloqué par l’infection essaye avec d’autres extensions :

    • Si des Proxy sont détectés et que tu n’en as pas installé :
      • Clique sur Supprimer le Proxy

    • Le scan ne dure généralement pas plus de 10 mn
    • A la fin du scan, rends toi à la racine de ton disque dur ( C: )
    • Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt SosUpload puis donne le lien

    Note : une copie est également disponible sur le bureau

    A te lire

  • Asusk73sj_w7
    Participant
    Nombre d'articles : 3

    ya bien une saloperie dans le pc, mais impossible de la virer, elle est implanté dans le système 32 (voir scren), empêchant tout exécution en administrateur.

    J’ai tenté par le biais de mon usb ( avec le windows correspond au mien) de reboot en F2 mais çà me met invalid system disk replace the disk and press any key windows 7.

    Je peux rien télécharger sans que j’ai plein de fenêtres qui s’ouvre pour tout bloquer et rien exécuter. j’ai pas tenté mon lecteur dvd encore.

    [attachment=0:2z4oq2ef]Sans titre.jpg[/attachment:2z4oq2ef]
    Et le rapport :


    Début du contrôle des fichiers système:
    Signé -> 'C:Windowssystem32svchost.exe'
    Signé -> 'C:Windowssystem32winlogon.exe'
    Signé -> 'C:Windowsexplorer.exe'
    Signé -> 'C:Windowssystem32smss.exe'
    Signé -> 'C:Windowssystem32wininet.DLL'
    Signé -> 'C:Windowssystem32wsock32.DLL'
    Signé -> 'C:Windowssystem32ws2_32.DLL'
    Signé -> 'C:Windowssystem32services.exe'
    Signé -> 'C:Windowssystem32lsass.exe'
    Signé -> 'C:Windowssystem32csrss.exe'
    Signé -> 'C:Windowssystem32driverskbdclass.sys'
    Signé -> 'C:Windowssystem32spoolsv.exe'
    Signé -> 'C:Windowssystem32alg.exe'
    Signé -> 'C:Windowssystem32wuauclt.exe'
    Signé -> 'C:Windowssystem32advapi32.DLL'
    NON signé -> 'C:Windowssystem32user32.DLL'
    [RESULTAT] Contient le code suspect HEUR/Modified.SystemFile
    Signé -> 'C:Windowssystem32gdi32.DLL'
    Signé -> 'C:Windowssystem32kernel32.DLL'
    Signé -> 'C:Windowssystem32ntdll.DLL'
    Signé -> 'C:Windowssystem32ntoskrnl.exe'
    Signé -> 'C:Windowssystem32driversbeep.sys'
    Signé -> 'C:Windowssystem32ctfmon.exe'
    Signé -> 'C:Windowssystem32imm32.dll'
    Signé -> 'C:Windowssystem32dsound.dll'
    Signé -> 'C:Windowssystem32aclui.dll'
    Signé -> 'C:Windowssystem32msvcrt.dll'
    Signé -> 'C:Windowssystem32d3d9.dll'
    Signé -> 'C:Windowssystem32dnsapi.dll'
    Signé -> 'C:Windowssystem32mshtml.dll'
    Signé -> 'C:Windowssystem32regsvr32.exe'
    Signé -> 'C:Windowssystem32rundll32.exe'
    Signé -> 'C:Windowssystem32userinit.exe'
    Signé -> 'C:Windowssystem32reg.exe'
    Signé -> 'C:Windowsregedit.exe'
    Les fichiers système ont été contrôlés ('34' fichiers)

    La recherche sur les fichiers sélectionnés commence:

    Recherche débutant dans 'C:Userslouna-w7AppDataLocalTempHYDDBAF.tmp.1449305241HTA3rdpartyOCComSDK.dll'
    C:Userslouna-w7AppDataLocalTempHYDDBAF.tmp.1449305241HTA3rdpartyOCComSDK.dll
    [RESULTAT] Contient le modèle du logiciel PUA/OpenCandy.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '508d3081.qua'!
    Recherche débutant dans 'C:Userslouna-w7AppDataLocalTempHYDDBAF.tmp.1449305241HTA3rdpartyOCSetupHlp.dll'
    C:Userslouna-w7AppDataLocalTempHYDDBAF.tmp.1449305241HTA3rdpartyOCSetupHlp.dll
    [RESULTAT] Contient le modèle du logiciel PUA/OpenCandy.Gen
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '480a1f5c.qua'!

    Début de la désinfection:
    C:Windowssystem32user32.DLL
    [RESULTAT] Contient le code suspect HEUR/Modified.SystemFile
    [REMARQUE] Le résultat positif a été classé comme suspect.
    [REMARQUE] Une copie de sécurité a été créée sous le nom 1a27703c.qua ( QUARANTAINE )
    [AVERTISSEMENT] Fichier ignoré.


    Fin de la recherche: samedi 5 décembre 2015 09:52
    Temps écoulé: 01:11 Minute(s)

    La recherche a été effectuée intégralement.

    0 Les répertoires ont été contrôlés
    890 Des fichiers ont été contrôlés
    2 Des virus ou programmes indésirables ont été trouvés
    1 Des fichiers ont été classés comme suspects
    0 Des fichiers ont été supprimés
    0 Des virus ou programmes indésirables ont été réparés
    3 Les fichiers ont été déplacés dans la quarantaine
    0 Les fichiers ont été renommés
    0 Impossible de scanner des fichiers
    887 Fichiers non infectés
    1 Les archives ont été contrôlées
    1 Avertissements
    3 Consignes


    Les résultats de la recherche sont transmis au Guard.
  • H.A.W.X
    Participant
    Nombre d'articles : 1705

    Bonjour,

    Alors il faut vraiment être précis pour que je puisse t’aider de manière efficace 😉

    Donc, peux tu démarrer en mode sans échec oui ou non ? Si oui démarre tu dans le bon mode (avec prise en charge réseau ?)
    As tu téléchargé Pre_Scan oui ou non ? Si oui, j’ai besoin que tu me donne le rapport en entier il se situe ici : C:Pre_Scanxxxxx.txt

    Ne tente pas des choses que je ne te demande pas sinon on ne va pas t’en sortir donc ne fait que et uniquement ce que je te demande de faire.

  • Asusk73sj_w7
    Participant
    Nombre d'articles : 3

    voila ce que çà dit

    mode sans echec un peu lent à la détente

    j’espère que c’est çà yen a pas 3 ^^

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan | g3n-h@ckm@n | 5_05.12.2015.1 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | 7 | 8 - 32/64 bits ¤¤¤¤¤ - Start 16:17:24

    Updated 05/12/2015 | 11.20 by g3n-h@ckm@n
    Contact : https://www.sosvirus.net/
    Pre_scan Feedbacks : https://www.sosvirus.net/feedback-t74962.html

    [louna-w7 (Administrator)] - [LOUNA-W7-PC]
    SID = S-1-5-21-2017156432-1702461212-3373371929-1000

    Boot: SafeMode with network
    System : Windows 7 Home Premium (64 bits) HomePremium Service Pack 1
    ProcessorNameString : Intel(R) Pentium(R) CPU B950 @ 2.10GHz
    Identifier : Intel64 Family 6 Model 42 Stepping 7

    Memory RAM = Total (MB) : 4098 | Free (MB) : 3507
    Pagefile = Total (MB) : 8195 | Free (MB) : 7689
    Virtual = Total (MB) : 4194 | Free (MB) : 4015

    ¤¤¤¤¤¤¤¤¤¤ # Components of starting up


    ¤¤¤¤¤¤¤¤¤¤¤ # Drives

    C:-> [Fixed] | [] | Total : 465.66 Go | Free : 362.52 Go -> NTFS [SATA]

    ¤¤¤¤¤¤¤¤¤¤ # Windows updates

    Last detection : 2015-12-05 22:33:35
    Next search : 2015-12-06 18:25:11

    Microsoft : -


    ¤¤¤¤¤¤¤¤¤¤ # Sessions

    C:Windowssystem32configsystemprofile
    C:WindowsServiceProfilesLocalService
    C:WindowsServiceProfilesNetworkService
    C:Userslouna-w7
    C:UsersUpdatusUser

    Registry saved , to restore : Shortcut on the desktop 'Pre_Scan_Restore' Restore the register (C:Pre_ScanSaveRegistry [06.12.2015 @ 16_16_02])
    To restore File or Folder : Shortcut on the desktop 'Pre_Scan_Restore' , select 'restore File - Folder' , select an Item and click on Restore

    ¤¤¤¤¤¤¤¤¤¤ # Browsers

    IE : 11.0.9600.18098 (© Microsoft Corporation.)
    GC : 47.0.2526.73 (Copyright 2015 Google Inc.)

    ¤¤¤¤¤¤¤¤¤¤ # FlashPlayer


    ���������� # Security

    AV : Avira Antivirus Disabled
    AS : Windows Defender Disabled
    FW :
    WMI : OK
    WU: Windows Update Service [Auto(2)] = stopped
    AS: Windows Defender [Manual(3)] = stopped
    FW: Windows FireWall Service [Auto(2)] = Running

    ¤¤¤¤¤¤¤¤¤¤ # Stopped processes

    1236 | [Owner : louna-w7 |Parent : 1228] - (.Microsoft Corporation - Explorateur Windows.) - (6.1.7601.17567) = C:Windowsexplorer.exe
    1288 | [Owner : louna-w7 |Parent : 1236] - (.Microsoft Corporation - Chargeur CTF.) - (6.1.7600.16385) = C:WindowsSystem32ctfmon.exe
    2032 | [Owner : louna-w7 |Parent : 1236] - (.Google Inc. - Google Chrome.) - (47.0.2526.73) = C:Program Files (x86)GoogleChromeApplicationchrome.exe
    1772 | [Owner : louna-w7 |Parent : 2032] - (.Google Inc. - Google Chrome.) - (47.0.2526.73) = C:Program Files (x86)GoogleChromeApplicationchrome.exe
    1464 | [Owner : louna-w7 |Parent : 2032] - (.Google Inc. - Google Chrome.) - (47.0.2526.73) = C:Program Files (x86)GoogleChromeApplicationchrome.exe
    1732 | [Owner : louna-w7 |Parent : 2032] - (.Google Inc. - Google Chrome.) - (47.0.2526.73) = C:Program Files (x86)GoogleChromeApplicationchrome.exe
    1840 | [Owner : louna-w7 |Parent : 2032] - (.Google Inc. - Google Chrome.) - (47.0.2526.73) = C:Program Files (x86)GoogleChromeApplicationchrome.exe

    ¤¤¤¤¤¤¤¤¤¤ # Winlogon user


    ¤¤¤¤¤¤¤¤¤¤ # Winlogon machine

    Repaired : [HKLMSOFTWAREWOW6432NodeMicrosoftWindows NTCurrentVersionWinlogon]~[userinit] : C:WindowsSystem32Userinit.exe, -> C:WindowsSYSWOW64userinit.exe,

    ¤¤¤¤¤¤¤¤¤¤ # SafeBoot

    Safeboot Keys are O.K

    Alternate shell is OK !



    Safeboot Minimal Subkeys : O.K !



    Safeboot Network Subkeys : O.K !

    ¤¤¤¤¤¤¤¤¤¤ # IFEO


    ¤¤¤¤¤¤¤¤¤¤ # Mountpoints2



    ¤¤¤¤¤¤¤¤¤¤ # Windows

    [HKLMSoftwareMicrosoftWindows NTCurrentVersionIniFileMappingsystem.iniBoot]~[Shell] : SYS:MicrosoftWindows NTCurrentVersionWinlogon
    [HKLMSoftwareMicrosoftWindows NTCurrentVersionIniFileMappingwin.ini]~[winlogon] : SYS:MicrosoftWindows NTCurrentVersionWinlogon
    [HKLMSoftwareWOW6432NodeMicrosoftWindows NTCurrentVersionIniFileMappingsystem.iniBoot]~[Shell] : SYS:MicrosoftWindows NTCurrentVersionWinlogon

    ¤¤¤¤¤¤¤¤¤¤ # Security center



    Repaired : [HKLMSYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyStandardProfile]~[EnableFirewall] : 0 -> 1
    Repaired : [HKLMSYSTEMCurrentControlSetservicesSharedAccessParametersFirewallPolicyPublicProfile]~[EnableFirewall] : 0 -> 1

    ¤¤¤¤¤¤¤¤¤¤ # Services


    Repaired : [HKLMSYSTEMCurrentControlSetServicessrService]~[Start] : -> 2
    Repaired : [HKLMSYSTEMCurrentControlSetServicesParvdm]~[Start] : -> 2
    Repaired : [HKLMSYSTEMCurrentControlSetServicesNIHardwareService]~[Start] : -> 2
    Repaired : [HKLMSYSTEMCurrentControlSetServicesagp440]~[Start] : 3 -> 2
    Repaired : [HKLMSYSTEMCurrentControlSetServicesERSvc]~[Start] : -> 2
    Repaired : [HKLMSYSTEMCurrentControlSetServicesBits]~[Start] : 3 -> 2
    Repaired : [HKLMSYSTEMCurrentControlSetServicesEapHost]~[Start] : 3 -> 2
    Repaired : [HKLMSYSTEMCurrentControlSetServicesSppSvc]~[Start] : 3 -> 2
    Repaired : [HKLMSYSTEMCurrentControlSetServicesSharedAccess]~[Start] : 3 -> 2
    Repaired : [HKLMSYSTEMCurrentControlSetServiceswindefend]~[Start] : 3 -> 2
    Repaired : [HKLMSYSTEMCurrentControlSetServiceswudfsvc]~[Start] : 3 -> 2
    Repaired : [HKLMSYSTEMCurrentControlSetServicesWerSvc]~[Start] : 3 -> 2

    ¤¤¤¤¤¤¤¤¤¤ # Internet Explorer


    ¤¤¤¤¤¤¤¤¤¤ # reparsepoint



    ¤¤¤¤¤¤¤¤¤¤ # Offsets


    ¤¤¤¤¤¤¤¤¤¤ # Files | Folders | Registry


    Moved to quarantine successfully : C:$Recycle.binS-1-5-21-2017156432-1702461212-3373371929-1000$I3HZEB7.exe
    Moved to quarantine successfully : C:$Recycle.binS-1-5-21-2017156432-1702461212-3373371929-1000$IY8G3X1.exe
    Moved to quarantine successfully : C:$Recycle.binS-1-5-21-2017156432-1702461212-3373371929-1000$R3HZEB7.exe
    Moved to quarantine successfully : C:$Recycle.binS-1-5-21-2017156432-1702461212-3373371929-1000$RY8G3X1.exe

    Moved to quarantine successfully : C:Userslouna-w7AppDataLocalDSI.DAT
    Moved to quarantine successfully : C:install.exe
    Moved to quarantine successfully : C:install.res.2052.dll
    Moved to quarantine successfully : C:install.res.3082.dll

    ¤¤¤¤¤¤¤¤¤¤ # ADS


    Prefetch -> cleaned



    ���������� | Hidden files

    ~ [Drive C:] : Hidden : 3 | Restored : 3
    ~ [Program Files] : Hidden : 6 | Restored : 6
    ~ [Users] : Hidden : 2 | Restored : 2
    ~ [Documents] : Hidden : 3 | Restored : 3
    ~ [Desktop] : Hidden : 1 | Restored : 1
    ~ [Searches] : Hidden : 2 | Restored : 2
    ~ [Windows] : Hidden : 48 | Restored : 48
    ~ [Start Menu | Programs | Startup] : Hidden : 1 | Restored : 1
    ~ [Libraries] : Hidden : 33 | Restored : 33


    ¤¤¤¤¤¤¤¤¤¤ # Drives

    Disk: 0 Size=477G
    Pos MBRndx Type/Name Size Active Hide Start Sector Sectors
    ---

    ----
    ----

    0 0 07-NTFS 100M Yes No 2,048 204,800
    1 1 07-NTFS 477G No No 206,848 976,564,224

    ¤¤¤¤¤¤¤¤¤¤

    Repaired : [HKLMSOFTWAREMicrosoftWindows NTCurrentVersionWinlogon]~[AutoRestartShell] : 0 -> 1
    Repaired : [HKLMSOFTWAREWOW6432NodeMicrosoftWindows NTCurrentVersionWinlogon]~[AutoRestartShell] : -> 1

    End : 16:24:47


    ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤ - 188
  • H.A.W.X
    Participant
    Nombre d'articles : 1705

    Re,

    Ok c’est bien ce rapport que j’attendais 🙂

    Je regarde ton rapport dès que je suis rentré, je suis dans le train.

    En attendant, toujours en mode sans echèc avec prise en charge réseau , suis ceci :

    • Télécharge MalwareBytes Anti-Malware
    • Procède à l’installation de celui çi
    • Décocher “Activer l’essai gratuit de Malwarebytes Anti-Malware Premium”
    • Malwarebytes va ce mettre à jour, laisse faire cette mise à jour,
    • Clique sur l’onglet « Paramètres » puis sur l’onglet « Détection et Protection« , Coche la case « Rechercher les Rootkits«
    • Clique sur l’onglet « Analyse » puis sur « Lancer l’analyse«

    • Une fois l’examen terminé vérifie que toutes les détections sont bien cochées, puis clique sur [Supprimer la sélection]
    • Si Malwarebytes te demande de redémarrer ton PC, clique sur “Oui“,
    • Au redémarrage de ton PC, relance Malwarebytes
    • Ouvre l’onglet “Historique” puis “Journaux de l’application
    • Fais un double-clic sur le dernier Scan Log en date (celui du haut)
    • En bas clique sur [Exporter]-> sélectionne “Fichier texte (*.txt)
    • Dans l’explorateur sélectionne le bureau, nomme-le mbam.txt, clique sur [Enregistrer]
    • Héberge le rapport mbam.txt sur SOSUpload puis donne le lien obtenu.

    Aide :

    A tout a l’heure.

  • Asusk73sj_w7
    Participant
    Nombre d'articles : 3

    D’accord je vais faire çà, en attendant

    Il n’y a pas grand chose dedans 🙁
    oupela j’ai rien dit !!!!

    https://antimalware.top/download/6tzdj67ei5g7vt61fjtj6b37zhqlquenhc069572

    https://antimalware.top/download/3i6ybrutp25cr1iuo13u8ioijav0lq12d2qm8a4v

    Et j’ai trouvé un cheval de troie planqué dans PlayBNS..j’ai supprimé direct il était actif dans les processus du pc

Le sujet ‘Un virus virulant, Perte de l’image windows, des erreures à gogo’ est fermé à de nouvelles réponses.