Malekal's forum

[amelina112]

Bonjour,

Je m'occupe de l'informatique dans mon école, je vous contacte car j'ai 2 ordinateurs qui, je pense, sont infectés. Je vais déjà commencer par le 1er qui redémarre en boucle.
Il est sous XP, était connecté à internet via un câble éthernet mais sans antivirus (et ce depuis un moment hélas...). La collègue m'a donc demandé de remédier à cela. J'ai désinstallé avast (qui n'était pas à jour du tout) afin de mettre antivir et ai fait les mises à jour demandées par windows. Suite à cela, l'ordinateur a demandé de redémarrer, ce que j'ai laissé faire, malheureusement, depuis il redémarre en boucle.
Comme je peux accéder au mode sans échec avec prise en charge réseau, j'ai tenté d'appliquer ce qui était sur votre forum à la page "Tutorial et Guide Procédure standard de désinfection de virus", pensant que le pc était infecté. Seul ZoneAlarm n'a pas pu être fait.
Depuis, pas de changement. Je vous transmets le rapport de Combofix.
Pouvez-vous m'apporter votre aide ?

Cordialement,

Amélina PINEAU

[angelique]

ça redemarre en boucle à quel moment ??


ouvre ton bloc note[executer--notepad] et copies/colles le contenu du cadre ci dessous:

EXTRA::
File::
c:\documents and settings\All Users\Menu Démarrer\Programmes\Démarrage\OfferBox.lnk
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"KB923561"=-
"KB955759"=-
[HKEY_CURRENT_USER\Control Panel\Desktop]
"MenuShowDelay"="100"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"AlwaysUnloadDll"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
"link"=hex:00,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EnableBalloonTips"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
"IconStreams"=-
"PastIconsStream"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
"SetCommand"=dword:00000001
"SecurityLevel"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iTunesHelper"=-
"NeroFilterCheck"=-
DDS::
uStart Page = hxxp://home.sweetim.com/?crg=3.1010000.10015
mStart Page = hxxp://home.sweetim.com/?crg=3.1010000.10015

[*]Va en haut de la page et clique sur le menu"Fichier" , une liste apparait=>
[*]Choisis "Enregistrer sous" et choisis "Bureau"
[*]Dans le champs "Nom du fichier" en bas de page donne le nom suivant:CFScript
[*]Clique sur le bouton "Enregistrer" à droite du champs "nom du fichier"
[*]Quitte le Bloc Notes.
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture





* suis les instructions
* Patiente le temps du scan.Le bureau va disparaitre à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier n'apparait pas, il se trouve ici > C:\ComboFix.txt


===> ça redemarre ?

[amelina112]

Bonsoir,

désolée d'avoir tardé à répondre, comme une andouille, j'attendais un mail... Bref.
Donc, j'ai bien fait ce que vous m'aviez indiqué, sans changement. Je vous poste le rapport.
L'ordinateur se lance, un écran HP apparait sur lequel sont indiquées les touches de raccourcis pour démarrer sur une autre source (F1, etc...), puis l'écran avec Windows XP ainsi que la barre de chargement s'affichent mais cela ne va pas plus loin, on aperçoit en moins d'une seconde un écran bleu vif puis on entend la machine (dont le ventilateur) s'arrêter et elle repart. Après un épisode comme celui-ci, elle affiche alors l'écran noir demandant si l'on souhaite redémarrer normalement ou en mode sans échec, etc.

Merci d'avance,
Cordialement,

Amélina PINEAU

[angelique]

L'ordinateur se lance, un écran HP apparait sur lequel sont indiquées les touches de raccourcis pour démarrer sur une autre source (F1, etc...), puis l'écran avec Windows XP ainsi que la barre de chargement s'affichent mais cela ne va pas plus loin, on aperçoit en moins d'une seconde un écran bleu vif puis on entend la machine (dont le ventilateur) s'arrêter et elle repart. Après un épisode comme celui-ci, elle affiche alors l'écran noir demandant si l'on souhaite redémarrer normalement ou en mode sans échec, etc.

donc ça boot pas , ça redemarre .... comment tu fais pour poster le rapport CFScript de ComboFix ??


==> Téléchargez AdwCleaner ( d'Xplode ) sur votre bureau:
http://general-changelog-team.fr/telech ... adwcleaner

=> Lancez le, cliquez sur [Suppression] puis patientez le temps du scan.

=> Une fois le scan fini, un rapport s'ouvrira.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

[amelina112]

Bonjour,

j'arrive à poster le rapport de combofix car je parviens à accéder au "mode sans échec avec prise en charge réseau" (il reboot une fois et sur le reboot suivant s'arrête à l'écran du choix du mode de démarrage), c'est là que je fais toutes les manip et j'envoie via un autre ordi sur le forum.
J'ai fait le adwcleaner, voilà le rapport.

[angelique]

au "mode sans échec avec prise en charge réseau"

• Téléchargez OTL sur votre Bureau.
  
  ou:
  
  OTL com
  
  OTL scr
  
  
  ou:
  
  OTL com
  
  OTL scr
  
  
  
• Faites un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous vista|seven). Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
  
• Quand la fenêtre apparaît, sous Rapport en haut, cochez Rapport minimal, ainsi que all users
  
• Sous Registre: standard cochez Tous.
  
• Cochez les cases à coté de Recherche Lop et Recherche Purity.
  
  
• Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous "Personalisation":
  
  

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  %SYSTEMDRIVE%\*.exe
  /md5start
  services.exe
  explorer.exe
  userinit.exe
  winlogon.exe
  wininit.exe
  afd.sys
  ipsec.sys
  netbt.sys
  tcpip.sys
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\System32\config\*.sav
  CREATERESTOREPOINT
  

  
  
  
• Cliquez sur le bouton Analyse. Ne modifiez aucun paramètre sans qu'on vous ait dit de le faire. L'analyse ne va pas durer longtemps.
  
  
  
  • Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés au même endroit que OTL.
    
  • Veuillez copier (Edition->Sélectionner tout, Edition->Copier) le contenu de ces fichiers, l'un après l'autre, et envoyez-les dans votre prochaine réponse.
    
  • Si ton rapport est trop long, utilise le site http://pjjoint.malekal.com/ ou http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse
    
    
    
    tuto : http://www.malekal.com/tutorial_OTL.php

[amelina112]

Bonjour,

Voilà les rapports OTL.

Cordialement,

Amélina PINEAU

[angelique]

toujours dans ce meme mode , ouvre une invite de commandevia executer---> cmd

dans la fenetre qui s'ouvre tape en respectant les espaces et valide par "enter" :

Code: Tout sélectionner

chkdsk /f /r

==> repond Oui \ Yes (O\Y) et valide par "enter" car il va te dire que les lecteurs sont en cours d'utilisations...etc

==> redemarre le PC et laisse la planification de la verif de dique se faire, une fois fini il va redemarrer , en mode normal essaie.


---------------------

si tu as toujours un blue screen of death decoche :




ce qui aura pour effet que le PC ne va pas redemarrer sur le bref ecran bleu de la mort , et tu pourras lire et m'indiquer ce qui est marqué.


Quand ily 'a un BSOD , Windows reporte un evenement dans c:\windows\minidump\ fichier.dmp , cependant tu ne peux le lre comme ça , aussi:

===> telecharge et dezippe http://www.nirsoft.net/utils/bluescreenview.zip sur cette page http://www.nirsoft.net/util/blue_screen_view.html

il va lire les *.dmp

Lignes selectionnées, file save as.... te permettra de joindre un rapport de lecture du dmp

[amelina112]

Aie, la vérif ne se lance pas. Quand je redémarre, il ne la fait pas et continue de redémarrer en boucle. Même en relançant le mode sans échec, la vérif ne se lance pas.

[angelique]

Passe par les proprietes du disque alors , voir : http://www.malekal.com/2010/12/04/erreu ... ichiers/2/

Met le resultat de bluescreenview

[amelina112]

Pour l'instant, il ne veut même plus redémarrer en mode sans échec... Quand je fais "entrée", il me met un écran noir avec un petit tiret noir qui clignote style MS-DOS. Je l'ai éteint, le laisse tranquille et reprends après. Je vous tiens au courant.

[angelique]

Mouai, tiens au courant ;)

[amelina112]

Je suis parvenue à revenir au mode sans échec, j'ai donc fait la vérif de disque pour les 2 partitions (et oui, il y en a 2 en plus). Pour la 1ère qui est la partition système je pense, il ne voulait pas faire avec la réparation automatique des erreurs sans redémarrer donc j'ai fini par ça. Il a tout fait pour l'autre (qui est une mini partition...) mais je n'ai aucun résultat qui s'affiche.
Donc là je l'ai redémarré sur la vérif de disque avec réparation automatique des erreurs, il me fait comme tout à l'heure : écran noir avec tiret blanc qui clignote, je me dis que peut-être est-il en train de faire la fameuse réparation... donc je le laisse faire !

Merci pour ta patience

[angelique]

heu non "il me fait comme tout à l'heure : écran noir avec tiret blanc qui clignote, je me dis que peut-être est-il en train de faire la fameuse réparation."

il repare rien

faut un "rapport" de bluescreenview voir la cause du BSOD

[amelina112]

Ok.
Par contre je n'ai aucune idée de comment accéder à ce rapport bluescreen, y a-t-il un moyen par le mode sans échec ?