Écran bleu avec lignes blanches en anglais. .

[WHYNOT8661]

Re !

 

Oupsss je pensais que "Pear" voulait suivre, c'est pour cela que je mettais sur les deux forums ! Désolé

 

MBAM vient de finir avec suppression. je le donne à qui alors ! cela concerne le forum sécurtié.

 

bon je le met ici et dis moi si je fais bien

 

 

Rapport MBAM avant suppression

 

© CJoint.com, 2012

 

 

 

Rapport MBAM aprés suppression

 

© CJoint.com, 2012

 

 

Le scan de Virus Removal tool est à 81 %

[WHYNOT8661]

Bonjour !

 

Voici le rapport de AVPTool

 

© CJoint.com, 2012

 

 

Par contre je n'ai pas effectué les options 'réparer tous" ou 3réparation manuelle". Puis je le faire et redémarrer l'ordi afin de finaliser également la suppression de MBAM.

Merci

[pear]

Les malwares ont été fixés par Mbam.

 

Faites ceci, par précaution:

 

1)Si vous avez Adwcleaner depuis quelque temps, désinstallez le et installez la dernière version

Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

Afin de ne pas fausser les rapports,Recherche et Suppression ne doivent être lancés qu'une seule fois

NettoyageA faire sans délai

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

2)Télécharger Junkware Removal Tool de thisisu

OS:Windows XP/Vista/7/8

Utilisable sur systèmes 32-bits et 64-bits

 

Clquez sur Jrt.exe avec droits administrateur.

Si votre antvirus râle,Vous le signalez comme acceptable dans les exceptions de votre antivirus

 

Une fenêtre noire s'ouvre qui vous dit de cliquer une touche pour lancer le scan.

 

L'outil va prendre quelques minutes pour fouiller votre machine.

Patientez jusqu'à l'apparition de Jrt.txt dont vous posterez le contenu.

 

3)Téléchargez TFC par OldTimer sur votre Bureau pour supprimer vos fichiers temporaires

Faites un double clic sur TFC.exe pour le lancer.

Sous Vista, faites un clic droit sur le fichier et choisissez Exécuter en tant qu'Administrateur

L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours auparavant.

Cliquez sur le bouton Start pour lancer le processus.

Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux.

Laissez le programme s'exécuter sans l'interrompre.

Lorsqu'il aura terminé, l'outil pourrait vous demander faire redémarrer votre systèmepour parachever le nettoyage..

Si c'est le cas,faites redémarrer manuellement le PC

[WHYNOT8661]

Bonsoir Pear

 

Voici les rapports demandés :

 

Adwcleaner : recherche

 

© CJoint.com, 2012

 

 

adwcleaner : suppression

 

© CJoint.com, 2012

 

 

Rapport Jrt

 

© CJoint.com, 2012

 

J'avais bien vu pour ce dossier : fighters lol

 

 

Je pense qu'il n'y a pas de rapport pour TFC ?

 

 

d'autre part quand je redémarre l'ordi j'ai le message suivant sur écran noir :

 

vérification du système de fichiers sur C:

Le type du système de fichiers est FTNS.

Impossible d'ouvrir le volume en accès direct.

Windows a terminé la vérification du disque.

........

 

ensuite le bureau s'ouvre en mode normal mais au bout d'environ une minute il repasse sur l'écran bleu avec lignes.

 

Merci

[pear]

le bureau s'ouvre en mode normal mais au bout d'environ une minute il repasse sur l'écran bleu avec lignes.

 

Pendant cette minute, avez vous le temps de vérifier si vous avez une icône jaune dans le gestionnaire de périphériques ?

 

Ce ne serait pas alors un problème de démarrage mais plutôt une question de compatibilité ou de disfonctionnement d'un pilote mais en tout cas pas de sécurité.

[WHYNOT8661]

Re !

 

Oui j'ai pu le faire en mode normal

comme je suis curieux j'avais déjà été voir hier soir pendant que le scan tournait

J' ai remarqué dans le gestionnaire de périphérique un triangle jaune avec point d'exclamation concernant la carte miniport microsoft tun #2.

En cliquant droit et dans propriété il est dit :

 

ce périphérique ne peut pas démarrer.

 

Et en cherchant sur internet j'ai trouvé cela (sauf qu'il parle pour XP)

 

 

 

 

 

Qu'en penses tu ?

 

 

 

Pour supprimer le matériel carte miniport tun #2 il faut lancer l'éditeur de registre.

 

Pour cela cliquez sur démarrer->exécuter tapez regedit

Suivez l'arborescence suivante

HKEY_LOCAL_MACHINE\SYSTEME\Currentcontrolset\Enum\root\*TUNMP

 

Là se trouve les clés de reconnaissance du matériel "carte miniport microsoft"

Si vous n'en avez qu'une il faut supprimer la deuxieme

Regardez donc si vous avez plusieurs sous dossiers.

 

Vous ne devriez avoir que le sous dossier 0000 et pas le 0001

Il faut donc supprimer le 0001

si vous obtenet un message d'erreur vous ne pourrez pas supprimer le dossier 0001 parce que Windows XP ne permet pas de le faire.

 

La solution est simple "clic droit sur le dossier 0001"

->Autorisation : choisissez tout le monde et cochez toutes les autorisations.

 

Vous pouvez maintenant supprimer le dossier 0001

 

Faites de meme en remplaçant dans l'arborescence "currentcontrolset" par "controlset002" puis "controlset003"

 

Regardez le gestionnaire de périphérique et comme par magie la carte miniport tun microsoft #2 a disparu

 

Pas de paniqiue la premiere carte est toujours là!!

 

 

J'ai vérifié et je vois bien les dossiers 0000 et 0001

 

En mode sans échec avec prise en charge du reseau je vois en plus une erreur pour périphériques IR grand public. D'aprés ce que j'ai vu c'est l'infra rouge.

 

 

Je me suis permis de passer ZHPDIAG et voici le rapport (j'espère ne pas me faire engueuler)

 

© CJoint.com, 2012

 

 

En le mettant dans ZEBHELPROCESS j'ai cela en malware : j'ai fait une capture

 

© CJoint.com, 2012

[pear]

Vous devez trouver sur le bureau ces 3 icônes .

ou sinon dans le dossier où vous avez installé Zhpdiad (Program files ->Zhpdiag ->Zhpfix)

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document ou, mieux, en cliquant le bouton Coller le presse papier au milieu,en haut, à gauche[1]

 

O4 - HKLM\..\Run: [startertv] C:\Program Files\Startertv\startertv_fr_3.exe (.not file.) =>Adware.StarterTV

O42 - Logiciel: Startertv - (.StarterTV.) [HKLM] -- Startertv_is1 =>Adware.StarterTV

[HKLM\Software\StarterTV] =>Adware.StarterTV

O43 - CFD: 24/06/2013 - 18:46:50 - [1,986] ----D C:\Users\BEA\AppData\Local\startertv_fr_3 =>Adware.StarterTV

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Startertv_is1] =>Adware.StarterTV

[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]:Startertv =>Adware.StarterTV

C:\Users\BEA\AppData\Local\startertv_fr_3 =>Adware.StarterTV

~ Adware.StarterTV - Malicius Software Information =>Adware.StarterTV

O4 - HKCU\..\Run: [KgoMtnkh] C:\Users\BEA\AppData\Local\cawajket\kgomtnkh.exe (.not file.) => Fichier absent

O4 - HKUS\S-1-5-21-4038594158-1098001074-514804678-1000\..\Run: [KgoMtnkh] C:\Users\BEA\AppData\Local\cawajket\kgomtnkh.exe (.not file.) => Fichier absent

O10 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll => Fichier absent

O43 - CFD: 27/06/2013 - 16:56:55 - [0] ----D C:\Users\BEA\AppData\Local\cawajket => Empty Folder not necessary

O44 - LFC:[MD5.9A708726A88755DFDB0F1DBADF49CE93] - 27/06/2013 - 13:47:43 ---A- . (...) -- C:\Upload_UsbFix.zip [80444871] => El Desaparecido

O45 - LFCP:[MD5.8E2A8934127AC03766FE5473B6E90EA4] - 23/06/2013 - 16:22:20 ---A- - C:\Windows\Prefetch\CNQMUPDT.EXE-4DC97776.pf => Fichier du dossier Prefetcher

O45 - LFCP:[MD5.5FDD8AC9DBC18C54318D56E190B6CE81] - 23/06/2013 - 16:24:14 ---A- - C:\Windows\Prefetch\CNQMSWCS.EXE-AEB4914D.pf => Fichier du dossier Prefetcher

O45 - LFCP:[MD5.310419110D9D6FD55AD894E8849D0F64] - 23/06/2013 - 16:47:40 ---A- - C:\Windows\Prefetch\ECBL-LBP.EXE-F3C410A1.pf => Fichier du dossier Prefetcher

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C9A6357B-25CC-4BCF-96C1-78736985D412}] =>Toolbar.Agent

[MD5.E5CEF41978E57DADC3BA943F858CE3D5] [sPRF][28/06/2013] (...) -- C:\ProgramData\nvModes.dat [27649] => nVidia Modes (Possible

 

EmptyFlash

EmptyTemp

EmptyClsid

FirewallRaz

Hostfix

SysRestore

 

Cliquer sur "Go" |2]

 

Si vous ne voyez pas le boutonGo, cliquez sur le bouton du milieu, en haut, à gauche.[1]

Redémarrer pour achever le nettoyage.

 

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .

Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

[WHYNOT8661]

Re !

 

Voilà le rapport de Zhpfix

 

© CJoint.com, 2012

[WHYNOT8661]

Bonjour Pear

 

Je ne sais pas si vous (je n'ose plus dire 'tu' car vous employez le vouvoiement) êtes dispo aujourd'hui afin de trouver d'autres solutions au problème mais je ne voudrais pas abuser de votre temps saut si vous pensez que la remise en état de cet ordi et toujours possible. Dans l'incertitude et en demandant l'accord à la propriétaire de l'ordi, serait il envisageable de le réinitialiser "sortie d'usine"

J'ai trouvé le topic mais j'ai vu que des dvd de restauration ont déjà été crée car il est précisé qu'on ne peut le faire qu'une fois. A savoir si la personne a bien conservé ces dvd, ou alors le faire en tapotant la touche F11 et en essayant l'option "réinstaller en sauvegardant les données

 

Restaurer un ordinateur HP à son état d'usine

 

Ce qui implique bien sûr la réinstallation de pas mal de logiciel.

 

Par contre si vous êtes d'accord pour continuer, je suis partant aussi car la désinfection m’intéresse beaucoup.

 

Je proposais seulement cette solution dans le but de ne pas abuser de votre temps libre surtout que c'est le week end.

Je dois lui redonner l'ordi mercredi et je ne l'ai pas informée encore du gros problème qui s'est passé.

Cela me servira de leçon, j'aurais du directement venir ici plutôt que de le laisser bidouiller par quelqu'un.

 

En attendant merci de votre dévouement.

[pear]

Avant de recourir à cette extrémité(qu'on ne peut exclure), sauvegardez les données

Pour cela, il vous faut utiliser Linux qui permet de lire et sauvegarder les fichiers Windows.

 

J'ai une autre option à vous proposer, sans risque mais sans garantie de succes.

Voici:

 

Il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Vous devez voir bureau REATOGO-X-PE

 

Double-click sur l'icone OTLPE

A "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

si vous avez un message :

RunScanner Error - Target is not windows 2000 or later

, il faut descendre jusqu'au dossier c:\windows dans l'arborescence de local disk (c:)

 

 

Vérifier que Automatically Load All Remaining Users est coché et valider par OK

 

» OTLPE se lançe alors

 

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

 

 

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.exe

%USERPROFILE%\AppData\Local\*.*

%USERPROFILE%\AppData\Roaming\*.*

%systemroot%\system32\*.ini

%systemroot%\Tasks\*.*

%systemroot%\system32\Tasks\*.*

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

/md5start

eventlog.dll

scecli.dll

netlogon.dll

cngaudit.dll

sceclt.dll

ntelogon.dll

logevent.dll

iaStor.sys

nvstor.sys

atapi.sys

IdeChnDr.sys

viasraid.sys

AGP440.sys

vaxscsi.sys

nvatabus.sys

viamraid.sys

nvata.sys

nvgts.sys

iastorv.sys

ViPrt.sys

eNetHook.dll

ahcix86.sys

KR10N.sys

nvstor32.sys

ahcix86s.sys

nvrd32.sys

userinit.exe

explorer.exe

ntoskrnl.exe

services.exe

wininit.exe

afd.sys

ipsec.sys

netbt.sys

tcpip.sys

/md5stop

CREATERESTOREPOINT

Clic sur Analyse (Run Scan)

le scan terminé , le fichier se trouve là C:\OTL.txt

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

ou Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.