[Résolu] PC bloqué après le démarrage

[tomtom95]

Bonjour malabar

 

Pourtant, j'ai arrété Antivir et j'ai vérifié sa présence dans les processus

ou service actifs. Je n'ai trouvé aucune présence d'antivir

Ok désinstalle ta version Antivir gratuit

 

Télécharge sur ton bureau ,et Utilise Avira AntiVir Removal Tool

Celui de la premiére ligne.

 

Ensuite Fait un CHKDSK en ligne de commande

Redémarre le pc comme pour le mode sans échec,F8

Fait le choix "Invite de commande en mode sans échec".

Sur la page tape cette commande >> chkdsk C: /P/R Valide avec la touche [entrée]

Attention aux espaces CHKDSK < espace > /P/R

 

A la fin du CHKDSK,redémarrage du pc,voir en mode normal,sinon en mode sans échec avec réseau.

 

• Télécharger

TDSSkiller de Kaspersky sur le Bureau
 
Ferme toutes les applications ouvertes
Désactive tes défenses (anti-virus et anti-spyware)
 
Faire un double clique sur TDSSkiller pour le lancer.(clique droit -> lancer en tant qu'adminstrateur sous Vista et seven )
Cliquer sur Start scan pour lancer l'analyse
 
 

 
Lorsque l'outil a terminé son travail d'inspection
si des nuisibles ("Malicious objects") ont été trouvés
vérifier que l'option (Cure) est sélectionnée
 

 
Si des objects suspects ("Suspicious objects") ont été détectés
sur l'écran de demande de confirmation
modifier l'action à entreprendre et indiquer Quarantine (au lieu de Skip)
 
Puis cliquer sur le bouton (Continue) puis sur [Reboot Now]
 
 
Attendre l'affichage du fichier rapport.
 
Si l'outil a besoin d'un redémarrage pour finaliser le nettoyage
cliquer sur le bouton (Reboot computer).
 
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Rootkit Win32.ZAccess est détecté assure toi que Cure est bien cochée.
 
Si Suspicious file est indiqué laisse l'option cochée sur Skip
 
Clique sur Continue puis sur Reboot now pour redémarrer le PC.
 
Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil HH.MM.SS heure de passage).

 

 

A+

Modifié le 3 mai 2012 par tomtom95

[malabar]

Bonjour,

J'ai desinstallé antivir, lancé antivir removal tools, scanné le disque avec chkdsk. j'ai appliqué également tdskiller en mode sans echec dont voici le rapport Lien CJoint.com BEedv6H9SIA et en mode normal avec le rapport suivant Lien CJoint.com BEedxdY1Rto

[tomtom95]

Bonjour malabar

 

Tu es sur ton bureau en mode normal sans problème ?

 

• Il y a certains émulateurs de CD/DVD qui peuvent hooker des pilotes de façon légitime

 

• Télécharger

DeFogger de Jpshortstuff sur le bureau.
 
Double cliquer sur DeFogger pour démarrer l'outil.
Pour Vista et seven fais un clique droit sur l'icône et exécute en tant qu'administrateur.
La fenêtre de DeFogger apparaît
Cliquer sur le bouton Disable pour désactiver les pilotes d'émulateurs CD.
Cliquer sur Yes pour continuer.
Un message 'Finished!' apparaîtra
Cliquer sur OK
DeFogger peut te demander de redémarrer la machine
Clique sur OK
 
Ne réactive PAS ces pilotes avant la fin de la désinfection

 

Aprés en mode normal refait la procédure de combofix

Lance Combofix.exe fais un clique droit sur l'icône et exécute en tant qu'administrateur.

 

la procédure de combofix ce trouve post #17

PC bloqué après le démarrage - Forums Zebulon.fr - Page 2

 

A+

[malabar]

Bonjour,

J'ai désactivé le lecteur virtuel. Je peux accéder au bureau en mode normal mais ca bloque après son chargement donc impossibilité de continuer l'execution de combofix. Est ce que je l'exécute en mode sans echec?

[tomtom95]

Bonjour malabar

 

• Pour l'instant on va refaire une analyse de ton ordinateur avec OTL ,
   
  Ferme toutes les applications en cours.
  
• Lance OTL.exe fais un clique droit sur l'icône et exécute en tant qu'administrateur.
   
  
  Dans le menu contextuel.
  
• L'interface principale s'ouvre :
   
  
  
• Dans la section Rapport en haut à droite de la fenêtre
  
• coche tout les utilisateurs
  
• coche Rapport standard
  
• En bas a droite
  
• coche recherche Lop
  
• coche recherche Purity
  
• Laisse tous les autres paramètres par défaut
  
• Dans la partie du bas "Personnalisation" copie/colle la liste en citation :

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  %ALLUSERSPROFILE%\Application Data\*.
  %ALLUSERSPROFILE%\Application Data\*.exe /s
  %APPDATA%\*.
  %APPDATA%\*.exe /s
  %temp%\*.exe /s
  %SYSTEMDRIVE%\*.exe
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\System32\config\*.sav
  %SYSTEMDRIVE%\*.exe
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
  hklm\software\clients\startmenuinternet|command /r
  /md5start
  explorer.exe
  userinit.exe
  winlogon.exe
  wininit.exe
  csrss.exe
  smss.exe
  svchost.exe
  services.exe
  uninst.exe
  /md5stop
  CREATERESTOREPOINT
  

• Clique sur le bouton Analyse
  patiente pendant le balayage du système.
  
• Après le balayage
  2 rapports vont s'ouvrir au format bloc-note : OTL.txt (qui sera affiché) ainsi que de Extras.txt (réduit dans la barre des tâches)
   
  Ne les poste pas sur le forum ils seraient trop long
  
• héberger le fichier contenant ce rapport sur http://cjoint.com/

 

A+

[malabar]

Bonjour,

voici le rapport de l'OTl fait en mode sans echec

Lien CJoint.com BEfpPQDNyOw par contre je n'ai pas trouvé le rapport extras.txt

[tomtom95]

RE

 

• Plusieurs service sont en défaut, ou manquant sur ton pc.
  On voit cela après, d’abords
   
  Suppression de combofix
  Clique sur démarrer >> Exécuter et tape Combofix /uninstall
  Cela va désinstaller proprement Combofix.
   
  ENSUITE:
  
• Relance OTL fais un clique droit sur l'icône et exécute en tant qu'administrateur
  
• Important :Copie-colle correctement le script dans la fenêtre personnalisation :
   
  

  :OTL
  DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIMMP)
  DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\SymIM.sys -- (SymIM)
  DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkfwd.sys -- (NwlnkFwd)
  DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\nwlnkflt.sys -- (NwlnkFlt)
  DRV - File not found [Kernel | On_Demand | Stopped] -- system32\DRIVERS\ipinip.sys -- (IpInIp)
  DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Users\VELOMP~1\AppData\Local\Temp\catchme.sys -- (catchme)
  IE - HKLM\..\SearchScopes,DefaultScope = {55FACF19-228E-4AF0-866F-1F6E04E70567}
  IE - HKLM\..\SearchScopes\{55FACF19-228E-4AF0-866F-1F6E04E70567}: "URL" = {searchTerms} - Yahoo! Québec Résultats de recherche
  IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
  IE - HKCU\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
  IE - HKCU\..\SearchScopes,DefaultScope = {55FACF19-228E-4AF0-866F-1F6E04E70567}
  IE - HKCU\..\SearchScopes\{55FACF19-228E-4AF0-866F-1F6E04E70567}: "URL" = {searchTerms} - Yahoo! Québec Résultats de recherche
  IE - HKCU\..\SearchScopes\{E1B05239-98B2-44E0-A9DD-E24AB18FC6EF}: "URL" = {searchTerms} - Bing
  O2 - BHO: (&Yahoo! Toolbar Helper) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
  O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
  O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
  O15 - HKCU\..Trusted Ranges: Range1 ([http] in Local intranet)
  O16 - DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab (Java Plug-in 1.6.0_02)
  MsConfig - StartUpReg: avgnt - hkey= - key= - File not found
  MsConfig - StartUpReg: HP Health Check Scheduler - hkey= - key= - File not found
  MsConfig - StartUpReg: Windows Defender - hkey= - key= - File not found
  [2012-05-04 18:35:22 | 000,000,000 | -HSD | C] -- C:\found.001
  [2012-05-03 18:21:41 | 000,367,616 | ---- | C] (Avira GmbH) -- C:\Users\velompanahy\Desktop\removaltool-win32-en.exe
  [2012-05-02 23:07:42 | 000,000,000 | -HSD | C] -- C:\found.000
  [2012-04-29 10:44:40 | 000,000,000 | ---D | M] -- C:\Users\velompanahy\AppData\Roaming\BitTorrent
  [2010-06-29 18:57:27 | 000,094,208 | R--- | M] () -- C:\Users\velompanahy\AppData\Roaming\Microsoft\Installer\{4723F199-FA64-4233-8E6E-9FCCC95A18EE}\python_icon.exe
  [2011-01-22 17:31:49 | 000,005,632 | R--- | M] () -- C:\Users\velompanahy\AppData\Roaming\Microsoft\Installer\{5F45AF7A-8DF7-448E-9276-2033DE0D445E}\Icon5F45AF7A2.exe
  [2011-01-22 17:31:49 | 000,008,704 | R--- | M] () -- C:\Users\velompanahy\AppData\Roaming\Microsoft\Installer\{5F45AF7A-8DF7-448E-9276-2033DE0D445E}\Icon5F45AF7A3.exe
  [2011-08-20 09:24:12 | 000,010,134 | R--- | M] () -- C:\Users\velompanahy\AppData\Roaming\Microsoft\Installer\{CAE7D1D9-3794-4169-B4DD-964ADBC534EE}\ARPPRODUCTICON.exe
  [2010-09-27 18:22:05 | 000,046,372 | R--- | M] () -- C:\Users\velompanahy\AppData\Roaming\Microsoft\Installer\{F1BA99E1-D376-4384-AB6D-C71DBAB797CD}\_3CE2BDCA84A46416676D94.exe
  [2010-09-27 18:22:05 | 000,005,430 | R--- | M] () -- C:\Users\velompanahy\AppData\Roaming\Microsoft\Installer\{F1BA99E1-D376-4384-AB6D-C71DBAB797CD}\_5190298ECD6CC04E6CAA3B.exe
  [2010-09-27 18:22:05 | 000,004,406 | R--- | M] () -- C:\Users\velompanahy\AppData\Roaming\Microsoft\Installer\{F1BA99E1-D376-4384-AB6D-C71DBAB797CD}\_A863BDA63578913C41AA63.exe
  [2010-09-27 18:22:05 | 000,028,902 | R--- | M] () -- C:\Users\velompanahy\AppData\Roaming\Microsoft\Installer\{F1BA99E1-D376-4384-AB6D-C71DBAB797CD}\_BB3D6E52332BB0D35CE182.exe
  [2010-09-27 18:22:05 | 000,023,246 | R--- | M] () -- C:\Users\velompanahy\AppData\Roaming\Microsoft\Installer\{F1BA99E1-D376-4384-AB6D-C71DBAB797CD}\_F60A85F5E0BA2E830E7584.exe
   
   
  :Files
  C:\WINDOWS\tasks\*.job
  C:\*.sqm
  C:\WINDOWS\System32\*.tmp
  C:\WINDOWS\*.tmp
  ipconfig /registerdns /c
   
  :reg
  [HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
  "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
  "Shell"="explorer.exe"
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
  ""=""%1" %*"
   
  :Commands
  [EMPTYTEMP]
  [EMPTYFLASH]
  [createrestorepoint]
  [Reboot]

• Clique ensuite sur Correction laisse l'outil travailler.
  
• Poste le contenu du nouveau rapport c'est un fichier "LOG"
  Il est sauvegardé dans le dossier C:\OTL\MovedFiles qui doit s'ouvrir avec le bloc-notes.
  
• Copie-colle ce texte dans ta prochaine réponse

 

• Ensuite cette fois lance Malwarebytes ,clique droit sur l'icône et exécute en tant qu'administrateur
  
• Sélectionne "Exécuter un examen complet".
  
• Afin de lancer la recherche clique sur"Rechercher".
  
• Coche toutes les cases de tes lecteurs
  
• Une fois le scan terminé une fenêtre s'ouvre clique sur OK.
  
• Clique sur "Afficher les résultats" puis sur "Supprimer la sélection"

 

APRES EN MODE NORMAL

• Télécharge

WinUpdateFix de Xplode sur le bureau
 
il ne nécessite pas d'installation
Clique sur l'icône WinUpdateFix
 
Pour Vista/ W7 faire un clique droit sur l'icône et Exécuter en tant qu'administrateur
 
Clique sur le bouton Démarrer Pour les cadres :
Services
BITS
Service de cryptographie si nécessaire.
Coche les cases devant les lignes suivantes en appuyant sur Tous :

Effacer le catalogue des mises à jour
Réinscire les DLL
Vider le dossier SoftwareDistribution
Réinitialiser les paramètres Winsock
Supprimer les fichiers temporaires
Réinitialiser les descripteurs de sécurité
Supprimer le proxy
Restaurer les policies
Effacer la file d'attente BITS

Clique sur le bouton Exécuter
Tu auras un message d'avertissement de la réussite de l'opération.
Il te sera demandé de redémarrer dans le cas d'une réinitialisation des paramètres Winsocks
fais-le en validant par OK

 

 

A+

[malabar]

J'ai execut combofix /uninstall mais windows ne trouve pas combofix. J'ai juste un dossier combofix dans C:. Est ce que je le supprime et continuer sur la suite?

[tomtom95]

OUI biensûr

[malabar]

Bonjour,

voici le rapport OTL Lien CJoint.com BEgfqAJzoAV et de malbyteware Lien CJoint.com BEgfrxk5fkp