[Résolu]VIRUS+TROJAN+DÉMARRAGE EN BOUCLE

[elsag]

Bonjour, mon ordinateur est sous Windows 7, 32bits, j'utilise Microsoft Sécurity Essentials comme anti-virus et Google chrome pour naviguer sur internet.

Samedi dernier, en navigant sur internet, j'ai vu une fenêtre en haut de l'écran me demandant d'installer un plugin pour tout visualiser. J'ai fermé l'onglet et continué à naviguer, mais cette fenêtre apparaissait sur tous les sites. J'ai cliqué et une fenêtre s'est ouverte pour que j'installe flash player. J'ai annulé l'installation car mon pc l'a déjà, et en plus j'avais coché la case pour que la mise à jour se fasse automatiquement. Je suis quand même allée sur le site d'Adobe et j'ai téléchargé flash player.

Le lendemain, j’allume mon ordinateur et je vois que l'icône de l'antivirus est rouge. J'ouvre la fenêtre et je clique pour le démarrer. Impossible+message d'erreur: 0x80070424. Je vais sur le site de Microsoft et je vois que ce message correspond aussi à Windows Update. Je l'ouvre et lui aussi refuse de se lancer. A force de manipulations, j'ai réussi (je ne sais pas comment) à ce qu'il refonctionne mais il n'avait aucune mise à jour à faire. Je redémarre le pc et Windows Update est à nouveau bloqué. Je suis les instructions de Microsoft et je désinstalle puis réinstalle Microsoft sécurity essentials. Le scan se lance et trouve aussitôt 1 virus et 1 trojan. Je clique sur supprimer et il me demande de redémarrer le pc pour terminer la suppression. En même temps une fenêtre Windows s'ouvre m'indiquant que Windows a rencontré un problème et qu'il allait redémarrer le pc dans 1 minute.

A partir de ce moment, le pc a redémarré en boucle toutes les minutes, avec à chaque fois ces 2 fenêtres (Windows et Anti-virus) ouvertes avec les mêmes messages. J'ai essayé en mode sans échec, rien n'y fait, je n'ai plus accès à rien car le pc redémarre automatiquement toutes les minutes et je n'ai pas le temps de lancer Malwarebytes' Antimalware ni quoi que ce soit.

Pouvez-vous m'aider?
Merci d'avance

[angelique]

Comme ça : virus-gendarmerie-nationale-t35091.html#p271704 et poste le rapport

[elsag]

Bonjour Angélique.

D'abord merci pour votre intervention.
Je ne peux pas ouvrir le lien que vous m'indiquez, chaque fois j'ai une fenêtre qui s'ouvre et me dit que le certificat de sécurité a expiré.
Et je n'ai pas rallumé mon ordinateur depuis le week-end dernier, vu que je ne peux rien faire dessus, ne disposant que d'1 minute avant le redémarrage.
Je suis actuellement sur un autre ordinateur.
Mais j'avais lu un sujet sur votre site, sur le virus gendarmerie et la procédure pour lancer Windows Defender à partir d'un CD ou d'une clé USB sur lequel il y aurait Microsoft Standalone System Sweeper Tool.
Si c'est de cela que vous me parlez, est il possible que je prépare ce CD ou la clé USB sur le pc que j'utilise actuellement, sachant qu'il est sous Windows 7, 64 bits et que le mien est sous Windows 7, 32 bits?
Et vu que la clé USB sera formatée, pourrai-je la réutiliser après ou sera t'elle fichue?

[angelique]

Autorise le certificats.

Fait le bootable depuis un PC fonctionnel pour l'utiliser sur le PC à problemes, suis la procédure pour générer un rapport.

[elsag]

J'ai fait le CD, j'ai démarré mon pc, mais je rencontre plusieurs problèmes:
1) le clavier n'est plus en mode AZERTY et donc c'est la galère pour écrire et il ne semble pas possible de le paramétrer en français. Le CD est uniquement en anglais
2) je n'arrive pas à me connecter sur internet, que ce soit avec Internet Explorer ou Mozzila portable.

Donc j'en suis à copier/coller la longue liste...à ajouter sous Custom Scan box.
Je l'ai copiée sur une clé USB mais mon pc ne la reconnait pas, sûrement parce qu'il passe par le CD..
Je suis bloquée..

Que faire?

[angelique]

1) le clavier n'est plus en mode AZERTY et donc c'est la galère pour écrire et il ne semble pas possible de le paramétrer en français. Le CD est uniquement en anglais

bah ouai ç'est qwerty ;)

2) je n'arrive pas à me connecter sur internet, que ce soit avec Internet Explorer ou Mozzila portable.

faut etre branché par cable rj45 sur ton modem/routeur pour qu'à l'initialisation de Reatogo_X_Pe le dhcp prenne la main pour t'octroyer une IPette réseau.

faut Je l'ai copiée sur une clé USB mais mon pc ne la reconnait pas, sûrement parce qu'il passe par le CD..

Faut une clef USB classique pas U3 ou autre , sinon le support USB doit se voir via execute ---> diskmgmt.msc

le m =, en qwerty ---> disk,g,t.,sc

[elsag]

Bonsoir

J ai enfin reussi a suivre la procedure.
Voici le lien http://pjjoint.malekal.com/files.php?id ... 7l10g10z14

J espere que ca ira
Et vive le clavier qwerty...

[Malekal_morte]

Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
[2012/08/04 10:56:56 | 000,043,480 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\dumlnxir.sys
[2012/07/29 08:32:32 | 000,043,480 | ---- | C] (Microsoft Corporation) -- C:\Windows\System32\drivers\ugcqpgqi.sys

* redemarre le pc sous windows et poste le rapport ici


~~

Désinstalle ces barres d'outils :
Google Toolbar
IsoBuster Toolbar
Yahoo! Toolbar



Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

Les barres d'outils sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire : http://forum.malekal.com/les-toolbars-e ... t6173.html Les toolbars c'est pas obligatoire!


~~

Désinstalle Spybot, il est dépassé et inefficace.


~~

Désinstalle les programmes Iobits, sert à rien.
Lire : http://forum.malekal.com/nettoyeur-defr ... 26069.html


Vois ce que ça donne.

[elsag]

Bonjour Malekal morte,

Voici le rapport

========== OTL ==========
C:\Windows\System32\drivers\dumlnxir.sys moved successfully.
C:\Windows\System32\drivers\ugcqpgqi.sys moved successfully.

OTLPE by OldTimer - Version 3.1.48.0 log created on 08062012_152941

Il n y aurait pas de virus alors? Pourquoi l anti virus en a detecte au moins 2 ?
Je vais redemarer le pc normalement maintenant

[elsag]

Le probleme est toujours la

Apres le demarrage de windows
1- une fenetre de microsoft security essentials s ouvre avec un message disant que les elements detectes vont etre supprimes - ou quelque chose comme ca -
2- une autre fenetre de microsoft security essentials s ouvre avec un message disant que l ordinateur doit etre redemarre pour finaliser le nettoyage
3- une fentetre de windows s ouvre disant que windows rencontre un probleme critique et va redemarrer automatiquement dans une minute

Donc a nouveau les redemarrages en boucle avec les memes messages.

J ai laisse l ordinateur redemarrer 3 fois puis j ai remis le CD REATOGO dans le lecteur pour qu il redemarre a partir de la

[Malekal_morte]

Quelle buze ce Microsoft Security Essential.

Sur OTLPE :

copie C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe sur C:\Windows\System32\services.exe en écrasant celui existant.

Redémarre sur Windows et désinstalle Microsoft Security Essential.

Puis :

Sauvegarde tes documents importants.
A lire en entier.


<gras>Désactive les logiciels de protection (Antivirus, Antispywares) </gras>
En Général, cela se fait par un clic droit sur l'icône de ton antivirus en bas à droite et désactiver protection/agent ou autres.

ensuite :

Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.

Eventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici

Tu as le tutorial sur ce lien pour t'aider : http://www.bleepingcomputer.com/combofi ... r-combofix

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

<gras>Si Combofix émet toujours une alerte sur l'antivirus :</gras> Si tu es en mode sans échec continue, si tu es en mode normal et que l'antivirus est bien désactivé. Continue.
<gras>Hébergement du rapport :</gras> Utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport, donne le lien pjjoint qui pointent vers ce rapport dans un nouveau message.

[elsag]

Avant de faire tout ca, j ai plusieurs questions car ca devient serieux et ca me fait assez peur. Je suis tres loin d etre une pro de l informatique et j ai peur de provoquer une mega catastrophe...

Sur OTLPE :

copie C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe sur C:\Windows\System32\services.exe en écrasant celui existant.

Ou se trouve C:\Windows\System32\services.exe sur OTLPE ? Quel est le but de cette action ? Es ce de bloquer le redemarrage en boucle de windows ? Ecraser, ca veut dire copier dessus ?

Sauvegarde tes documents importants.

Ca veut dire que tout ce que j ai sur l ordinateur va etre efface ? Et si j utilise un disque dur externe pour sauvegarder ce que je peux, le virus ne va pas l infecter par la meme occasion ?

Eventuellement, installe la console de récupération comme cela est conseillé

A l origine l ordinateur etait sous Windows Vista - sans CD d installation -. Il y a quelques annees on l a porte chez un professionnel pour installer Windows 7 a la place. Et je n ai toujours pas de CD d installation. Donc je ne suis pas sure du tout de pouvoir avoir acces a la recuperation du systeme.

Je commence a avoir des sueurs froides....

[Malekal_morte]

Tu es infecté par ZeroAccess qui a remplacé le fichier C:\Windows\system32\services.exe - fichier systèmes Windows - et du coup ce crétin de MSE fait planter l'ordinateur car il doit essayer de supprimer le fichier ou je sais pas ce qu'il fabrice.
C'est un symptome connu.

La copie depuis OTLPE que je t'ai demandé de faire devrait remettre un fichier valide et ça devrait arreter de faire planter l'ordinateur.

C:\Windows\System32\services.exe => Poste de Travail => Disque C => Dosssier Windows => Dossier System32 => services.exe

Pour la sauvegarde avant Combofix, c'est par précaution.

[elsag]

Malekal_morte a écrit:Eventuellement, installe la console de récupération comme cela est conseillé

A l origine l ordinateur etait sous Windows Vista - sans CD d installation -. Il y a quelques annees on l a porte chez un professionnel pour installer Windows 7 a la place. Et je n ai toujours pas de CD d installation. Donc je ne suis pas sure du tout de pouvoir avoir acces a la recuperation du systeme.

Es que si je grave sur CD la console de reparation sur un ordinateur ayant Windows 7 64bits edition familiale, il sera compatible avec mon ordinateur sous Windows 7 32bits - edition ultimate il me semble - ?
Si non, je risque de me retrouver avec un boitier vide, sans plus aucun systeme d exploitation ?

Desolee, je dois vous paraitre empotee

[Malekal_morte]

Je crois que non.

Fais la copy, ça va déjà arranger les choses.