[Réglé] écran blanc au démarrage • page 3

[arlette]

2ème lien
c:\windows\system32\spoolsv.exe
fichier introuvable

[guugues]

Ok !

On a des choses à fixer :


ComboFix – Script :


Ce logiciel doit être exécuté uniquement sous l'assistance d'un Helper
Désactive impérativement toute protection antivirale (aide en images)

• Télécharge la pièce jointe suivante sur ton bureau (au même endroit que ComboFix) :

CFScript.txt

• Ferme toutes les applications en cours, y compris Internet.
• Fais un glisser/déposer du fichier CFScript.txt sur le fichier ComboFix.exe, comme ceci :

• Le logiciel commence son analyse. Le bureau est susceptible de disparaître.
• Ne touche surtout pas au PC pendant le scan :

• Lorsque la correction sera terminée, un rapport apparaîtra.
• Celui-ci est disponible ici : C:\Combofix.txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

-------------------------------------------------------------

Est attendu le rapport de ComboFix.

[arlette]

voilà le rapport comme attendu
Vraiment merci pour votre aide

[guugues]

L'opération ne s'est pas déroulée comme prévu : il faut impérativement que tu désactives ton antivirus (Norton) comme je l'ai indiqué.

Désactive donc ton antivirus, et refais la procédure avec ComboFix comme indiqué dans mon message précédent.

[guugues]

Et n'utilise pas un raccourci de la pièce jointe :

CFScript.txt - Raccourci.lnk

Mais directement le fichier CFScript.txt lors du glisser/déposer.

[arlette]

Bonsoir
Voilà enfin le rapport attendu

[guugues]

Salut !

Bien ! Est-ce que le PC démarre normalement désormais ?

[arlette]

oui

[guugues]

Ah ! Très bonne nouvelle !

Mais ce n'est pas encore fini, il reste du boulot : on va recontrôler le PC, notamment afin de voir s'il n'y a pas d'autres fichiers système qui ont été patchés (à priori non, mais sait-on jamais...) :


Tu feras désormais toutes les manipulations en mode normal (plus en mode sans échec) :


OTL – Analyse :

• Relance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
• Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

• Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
activex
/md5start
sppsvc.exe
SearchIndexer.exe
wbengine.exe
snmptrap.exe
msiexec.exe
msdtc.exe
fxssvc.exe
dllhost.exe
alg.exe
cmd.exe
rundll32.exe
searchindexer.exe
wmiapsrv.exe
vssvc.exe
vds.exe
ui0detect.exe
spoolsv.exe
atiesrxx.exe
wStLibG64.sys
afd.sys
atapi.sys
cdfs.sys
cdrom.sys
dfsc.sys
hdaudbus.sys
i8042prt.sys
ipnat.sys
ipsec.sys
mrxsmb.sys
netbt.sys
ntfs.sys
parport.sys
rasl2tp.sys
rdpdr.sys
smb.sys
tcpip.sys
tdx.sys
volsnap.sys
explorer.exe
services.exe
svchost.exe
userinit.exe
wininit.exe
winlogon.exe
kernel32.dll
rpcss.dll
user32.dll
/md5stop
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.*
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%SystemDrive%\$RECYCLE.BIN\* /s
%SystemDrive%\RECYCLER\* /s
%SystemRoot%\assembly\GAC\*.*
%SystemRoot%\assembly\GAC_32\*.*
%SystemRoot%\assembly\GAC_64\*.*
%LOCALAPPDATA%\*.
%LOCALAPPDATA%\*.*
%LOCALAPPDATA%\Google\Desktop\* /s
%ProgramFiles%\Google\Desktop\* /s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software
hkcu\software
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT

• Puis colle-le sous la catégorie Personnalisation d’OTL.
• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
• A la fin du scan, un rapport s'ouvrira : OTL.txt. Celui-ci est présent sur ton bureau.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

------------------------------------------------------

Est donc attendu le rapport de OTL.

[arlette]

RE
Fichier OTL.text et EXTRA.text attendus

[guugues]

Re!

Cela a bien avancé ! Maintenant, tu vas avoir un peu de boulot : encore des analyses VirusTotal, car certains fichiers système ont des MD5 inconnus.


Tout d'abord, désinstalle Malwarebytes (si présent) via Démarrer → Panneau de configuration → Programmes → Programmes et fonctionnalités.

On utilisera, après ces manips, une version plus récente de MBAM.


1- OTL – Correction :

• Relance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Télécharge la pièce jointe suivante sur ton bureau :

fix.txt

• Ouvre le fichier fix.txt puis copie toutes les lignes qui sont dedans, de :Services à [emptytemp].

• Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d'OTL.

• Ferme toutes les applications en cours, y compris Internet.
• Puis clique sur le bouton Correction. Patiente.
• S'il t'est demandé de redémarrer le PC : accepte.
• Le rapport est sauvegardé ici : C:\_OTL\MovedFiles\ sous la forme date_heure.log.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

2- VirusTotal :

• Rends-toi sur le site suivant : VirusTotal.
• Clique sur Choisir un fichier :

• Une fenêtre s'ouvre : dans la partie basse de la fenêtre, dans le cadre Nom du fichier, colle la ligne suivante :

Code: Tout sélectionner

C:\Windows\SysNative\alg.exe

• Puis clique sur le bouton Ouvrir :

• Clique ensuite sur le bouton Analyser!.
• Si une fenêtre Fichier déjà analysé apparaît, clique sur le bouton Réanalyser.
• Patiente le temps de l'analyse, jusqu'à ce que les 49 antivirus aient analysé le fichier.
• Copie le lien de la page puis colle-le dans ta prochaine réponse :

Fais la même procédure pour les fichiers suivants (désolé pour le nombre ^^) :

• C:\Windows\SysNative\atiesrxx.exe
• C:\Windows\SysWOW64\cmd.exe
• C:\Windows\SysWOW64\dllhost.exe
• C:\Windows\SysNative\dllhost.exe
• C:\Windows\SysNative\fxssvc.exe
• C:\Windows\SysNative\msdtc.exe
• C:\Windows\SysNative\msiexec.exe
• C:\Windows\SysWOW64\msiexec.exe
• C:\Windows\SysNative\searchindexer.exe
• C:\Windows\SysWOW64\SearchIndexer.exe
• C:\Windows\SysNative\snmptrap.exe
• C:\Windows\SysNative\spoolsv.exe
• C:\Windows\SysNative\ui0detect.exe
• C:\Windows\SysNative\vds.exe
• C:\Windows\SysNative\vssvc.exe
• C:\Windows\SysNative\wbengine.exe
• C:\Windows\SysNative\wbem\wmiapsrv.exe

---------------------------------------------------------------------------------

Sont donc attendus : le rapport OTL et les liens VirusTotal.

[arlette]

Voici les 18 liens et le fichier OTL attendus
https://www.virustotal.com/fr/file/3a73 ... 400201554/
https://www.virustotal.com/fr/file/dc1a ... 400201807/
https://www.virustotal.com/fr/file/4ded ... 400201908/
https://www.virustotal.com/fr/file/f27c ... 400201999/
https://www.virustotal.com/fr/file/ba3c ... 400202079/
https://www.virustotal.com/fr/file/0ee8 ... 400202171/
https://www.virustotal.com/fr/file/d27a ... 400202277/
https://www.virustotal.com/fr/file/7e1a ... 400202415/
https://www.virustotal.com/fr/file/35f5 ... 400202587/
https://www.virustotal.com/fr/file/dda4 ... 400202680/
https://www.virustotal.com/fr/file/11e2 ... 400202768/
https://www.virustotal.com/fr/file/48c9 ... 400202849/
https://www.virustotal.com/fr/file/4cee ... 400203000/
https://www.virustotal.com/fr/file/aa6b ... 400203107/
https://www.virustotal.com/fr/file/ca1a ... 400203192/
https://www.virustotal.com/fr/file/c952 ... 400203291/
https://www.virustotal.com/fr/file/d636 ... 400203404/
https://www.virustotal.com/fr/file/dd82 ... 400203485/

[guugues]

Hello !

Merci pour les liens (et pour ta persévérance !).
Maintenant que Windows démarre normalement, on va faire deux analyses de contrôle mais à priori, on a réussi à avoir le Virus Expiro !


1- AVG Remover Expiro :

• Télécharge Remover-Expiro sur ton bureau.
• Lance l'application.

Sous Windows Vista/Seven/8, clique droit sur l'application puis Exécuter en tant qu'administrateur

• Patiente pendant le temps de l'analyse, jusqu'à ce que l'outil affiche Work complete.
• Une fois celle-ci terminée, clique sur File, en haut à gauche, puis sur Save log.
• Enregistre alors le fichier VirusRemover.log sur ton bureau.
• Héberge ce rapport en utilisant le site 1fichier.com pour poster le lien dans ta prochaine réponse.

2- Malwarebytes Anti-Malware :

• Télécharge Malwarebytes Anti-Malware sur ton bureau.
• Le fichier mbam-setup apparaît sur ton bureau : lance-le pour installer le logiciel.
• Lors de l'installation, décoche la case Activer l'essai gratuit de Malwarebytes Anti-Malware Premium.
• Clique sur le bouton Terminer. Le logiciel démarre.
• Pour changer la langue, clique sur Settings, dans General Settings, choisis French pour Language.
• Dans l'onglet Détection et protection, configure le logiciel comme ci-dessous :

• Dans l'onglet Examen, coche la case Examen « Menaces » :

• Clique alors sur Examiner maintenant :

• Mets alors le logiciel à jour en cliquant sur Mettre à jour maintenant :

• Le logiciel se met à jour et l'analyse commence. Cela peut prendre un certain temps.
• Laisse travailler l'outil sans l’interrompre, jusqu'à ce que l'analyse soit terminée.
• Si des menaces sont détectées, clique sur le bouton Tout mettre en quarantaine :

• Clique ensuite sur Exporter le journal puis sur Fichier texte (*.txt) :

• Attribue au fichier le nom de mbam puis clique sur Enregistrer.
• Le rapport est disponible ici : C:\mbam.txt.
• Si l'outil t'a demandé de redémarrer le PC, fais-le de suite.
• Joins le rapport dans ta prochaine réponse en suivant ce tutoriel.

-------------------------------------------------------------------------------------

Sont attendus les rapports de Remover-Expiro et MBAM.

[arlette]

Bonjour
Voilà le lien pour virusRemover.log
http://987gn4032f.1fichier.com/

quant à 2 problème d'installation
Au moment de l'installer ce message apparaît
Erreur interne :Expression error ' Runtime Error(at 57:177):External exception EO6D7363' .

[guugues]

Voilà le lien pour virusRemover.log

Merci ! J'analyse le rapport.

Au moment de l'installer ce message apparaît
Erreur interne :Expression error ' Runtime Error(at 57:177):External exception EO6D7363' .

Dans ce cas, vas dans le panneau de configuration et désinstalle Malwarebytes, puis réinstalle-le, ça devrait marcher.