[réglé] virus sacem

[daikini]

Bonjour,
Je suis nouveau sur le site mais je vois qu'il semble y avoir pas mal de gens compétents et j'ose espérer que vous pourrez m'aider.
je n'arrive à démarrer ni en mode sans échec, ni en ligne de commande.
j'arrive toujours sur l'écran SACEM/police nationale (si ordi connecté à internet, sinon ça donne un écran blanc)

j'ai tenté la restauration système avec windows 7, mais une fois celle ci effectuée, je retombe toujours sur l'écran SACEM.
du coup j'ai vu que vous demandiez un rapport OTL. J'ai donc téléchargé l'iso et booté sur la clef usb (y a pas de lecteur cd/dvd). et j'ai enfin extrait un rapport en mettant le texte que j'ai trouvé dans un autre post dans la partie personnalisation. J'ai mis ce rapport en fichier partagé ici:
http://ckxpxv.1fichier.com/

j'espère avoir bien fait les choses jusque là et compte maintenant sur votre soutien parce que là je sèche complètement, je n'arrive à démarrer ni en mode sans échec, ni en ligne de commande.

Merci par avance à toute âme généreuse et bonne qui acceptera de m'aider.

PS: je dispose d'un autre ordi clean avec connexion internet. Je regarderai d'éventuelles réponses demain soir.

[EinsteinZero]

Bonsoir daikini

bienvenu sur le forum

il y a en effet ces temps ci une épidémie de ce virus....ne t'en fait pas un helpers spécialisé va s'occuper de toi dès qu'il le pourra

..ne t’inquiète pas si ça prend un peu de temps car nous somme tous bénévoles (il faut avoir le temps )

[daikini]

Merci pour l'accueil.
En attendant une réponse je vais déjà télécharger Roguekiller, adwcleaner et malwarebyte... vu les réponses sur les autres topics, mon petit doigt me dit qu'ils vont me servir.

ptites questions subsidiaires sinon: quelles connaissances ont les "helpers"? il faut s'y connaitre en programmation? si oui quels langages? y a t'il des tuto pour comprendre les rapports OTL et pour exploiter le logiciel?

Encore merci pour tout

[bernard53]

Bonjour a tous.
Ton rapport n'est pas exploitable, il manque trop d'info

en premier comme tu es bloqué essai de revenir au moins a une situation a peu près normal via ces liens car selon ton cas va pouvoir t'orienter sur la meileur façon de procéder.

http://www.malekal.com/2012/03/13/virus ... nationale/
http://www.malekal.com/2012/03/12/votre ... oi-france/
http://www.malekal.com/2011/12/11/troja ... ie-nation/
si tu as des questions n'hésites pas.

[daikini]

Bonjour,
Merci pour cette réponse.
J'ai un peu avancé dans la résolution de mon problème, mais c'est encore un peu la mouise.
Bon alors déjà le virus qui me concerne est celui du premier lien:
http://www.malekal.com/2012/03/13/virus ... nationale/

J'ai tenté la restauration système au démarrage... aucun effet.
Puis j'ai téléchargé Kaspersky windows unlocker et l'outil pour créer une clé usb bootable... quand j'ai essayé de démarrer avec la clé, j'ai eu un message "missing operating system". Après plusieurs tentative de reformatage de la clé, toujours le même problème.
J'ai donc laché l'affaire et suis passé à la solution suivante proposée, le Microsoft Standalone System Sweeper Tool.
Cette fois la clé a bien booté, le scan s'est bien déroulé et a détecté un virus:
Ddos.win32/Abot.A
j'ai cliqué sur nettoyer et là encore j'ai eu un message comme quoi tout s'était bien déroulé.

Je redémarre donc l'ordi pour voir ce qui se passe. Le logo windows apparait et l'OS commence à se charger, jusqu'à arriver à un écran noir et plus rien.
Dépité, je fais donc CTRL-ALT-SUPPR, et là surprise, je tombe sur l'écran qui permet de redémarrer l'ordi, et aussi au gestionnaire des tâches. Sauf que quand j'essaye d'accéder au gestionnaire des tâches, j'ai le message:
"Le Gestionnaire des tâches a été désactivé par votre administrateur"
L'accès au mode sans échec conduit au même résultat.
En revanche j'ai maintenant accès au mode ligne de commande.
Je lance un "sfc /scannow". ça me dit que tous les fichiers endommagés n'ont pas pu être réparés.

Enfin j'ai tenté une restauration du système à un point antérieur (option jusque là indisponible), et ça a marché, me revoici sur le bureau.
J'imagine qu'il y a encore des traces de virus, je vais tenter un coup de malwarebyte et adwcleaner.

Si vous voyez autre chose à faire, je suis preneur. En tout cas merci déjà pour ce début d'aide, ça m'a été bien utile et j'ai l'impression de voir le bout du tunnel

[daikini]

voila je viens de faire tourner adwcleaner qui a enlevé quelques trucs
puis un coup de roguekiller, qui a supprimé (ou réparé) 2 clé de registres
et enfin malwarebyte avec un scan rapide qui n'a rien trouvé.

il se fait tard j'en reste là pour aujourd'hui. J'aimerais m'assurer qu'il reste rien. je ferai un scan complet demain.
Si je dois poster un rapport quelconque, merci de me le dire, histoire de mettre le topic en résolu.

Merci pour votre précieuse aide

[bernard53]

Bonsoir
Fait ceci pour voir si un reste est toujours sur le pc.


Télécharges << ZHPDiag>> (de Nicolas Coolman)

dezzipes le fichier sur ton bureau...
Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".


L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau




A la fin de l'installation ZHPDiag va se lancer....

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.
Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

Mets le rapport ici car il prend bien de la place.

http://cjoint.com/

[daikini]

super! merci bernard
vla le lien du rapport:
http://cjoint.com/?BEovsyvrltP

je croise les doigts pour que ça soit clean (je viens de faire un scan malwarebyte en complet et toujours RAS) en attendant une réponse

[bernard53]

ok pas de soucis juste ceci pour du superflus


* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

R3 - URLSearchHook: pc gear fr Toolbar - {3f1fbbdd-1444-4838-b1b7-726d9bcf32ab} . (...) (No version) -- C:\Program Files\pc_gear_fr\tbpc_g.dll
R3 - URLSearchHook: pc gear fr Toolbar - {3f1fbbdd-1444-4838-b1b7-726d9bcf32ab} . (...) (No version) -- C:\Program Files\pc_gear_fr\tbpc_g.dll
O2 - BHO: pc gear fr - {3f1fbbdd-1444-4838-b1b7-726d9bcf32ab} . (...) -- C:\Program Files\pc_gear_fr\tbpc_g.dll (.not file.)
O3 - Toolbar: pc gear fr Toolbar - {3f1fbbdd-1444-4838-b1b7-726d9bcf32ab} . (...) -- C:\Program Files\pc_gear_fr\tbpc_g.dll
O42 - Logiciel: pc gear fr Toolbar - (.pc gear fr.) [HKLM] -- pc_gear_fr Toolbar
[HKCU\Software\AppDataLow\Software\pc_gear_fr]
[HKLM\Software\ASK]
[HKLM\Software\pc_gear_fr]
O69 - SBI: prefs.js [Pascal - ttyw6gx5.default] user_pref("extensions.enabledItems", "engine@conduit.com:3.2.5.2,{3f1fbbdd-1444-4838-b1b7-726d9bcf32ab}:3.2.5.2,{972ce4c6-7e08-447[...]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3f1fbbdd-1444-4838-b1b7-726d9bcf32ab}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3f1fbbdd-1444-4838-b1b7-726d9bcf32ab}]
[HKLM\Software\Classes\CLSID\{3f1fbbdd-1444-4838-b1b7-726d9bcf32ab}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3f1fbbdd-1444-4838-b1b7-726d9bcf32ab}]
[HKCU\Software\AppDataLow\Software\pc_gear_fr]
[HKLM\Software\pc_gear_fr]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\pc_gear_fr Toolbar]
C:\Users\Pascal\AppData\LocalLow\pc_gear_fr

FirewallRaz
EmptyFlash
Emptytemp

Puis Lance ZHPFix depuis le raccourci du bureau.

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

-> laisse travailler l'outil et ne touche à rien ...

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !.

si tout va donc bien après cela tu signales si un modo peux valider ton post en résolu.
Bonne après midi.

[daikini]

Vraiment super et réactif
voici le rapport après le fix (on dirait un drogué qui parle ;o) ):
Rapport de ZHPFix 1.2.05 par Nicolas Coolman, Update du 30/04/2012
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-16-05-2012-05-14-00.txt
Run by Pascal at 16/05/2012 05:14:00
Windows 7 Starter Edition, 32-bit Service Pack 1 (Build 7601)
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Logiciel(s) ==========
ABSENT Uninstall Process: c:\progra~1\pc_gea~1\unwise.exe

========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\pc_gear_fr Toolbar]
SUPPRIME Key*: CLSID BHO: {3f1fbbdd-1444-4838-b1b7-726d9bcf32ab}
SUPPRIME Key*: HKCU\Software\AppDataLow\Software\pc_gear_fr
SUPPRIME Key*: HKLM\Software\ASK
SUPPRIME Key*: HKLM\Software\pc_gear_fr
SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3f1fbbdd-1444-4838-b1b7-726d9bcf32ab}
SUPPRIME Key*: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3f1fbbdd-1444-4838-b1b7-726d9bcf32ab}
ABSENT Key: HKLM\Software\Classes\CLSID\{3f1fbbdd-1444-4838-b1b7-726d9bcf32ab}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3f1fbbdd-1444-4838-b1b7-726d9bcf32ab}
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\pc_gear_fr Toolbar

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {3f1fbbdd-1444-4838-b1b7-726d9bcf32ab}
SUPPRIME Toolbar: {3f1fbbdd-1444-4838-b1b7-726d9bcf32ab}
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (None) : {D2F14ADB-DCDD-4DCA-9AB0-D2F4BE4DBD05}
SUPPRIME FirewallRaz (Private) : {1748B03D-44BA-4F71-8B72-7FCBA20BCA92}
SUPPRIME FirewallRaz (Private) : {41478B14-D8FE-4D78-994B-8B7F0F262728}
SUPPRIME FirewallRaz (Public) : TCP Query User{A16AE296-A4CE-4E23-BB57-6ACA26D0851F}C:\program files\vuze\azureus.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{15F23403-F9B9-4964-A2AF-F88CF0118945}C:\program files\vuze\azureus.exe
SUPPRIME FirewallRaz (Private) : TCP Query User{5CBF9E87-2431-414F-B5B0-F5D6F02F3F11}C:\program files\emule\emule.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{2929C74B-F06A-49D6-B1F5-20636C958F66}C:\program files\emule\emule.exe

========== Préférences navigateur ==========
SUPPRIME Mozilla Pref: user_pref("extensions.enabledItems", "engine@conduit.com:3.2.5.2,{3f1fbbdd-1444-4838-b1b7-726d9bcf32ab}:3.2.5.2,{972ce4c6-7e08-447[...]

========== Dossier(s) ==========
SUPPRIME Folder: c:\users\pascal\appdata\locallow\pc_gear_fr
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:

========== Fichier(s) ==========
ABSENT File: c:\program files\pc_gear_fr\tbpc_g.dll
SUPPRIME Flash Cookies:
SUPPRIME Temporaires Windows:


========== Récapitulatif ==========
10 : Clé(s) du Registre
11 : Valeur(s) du Registre
3 : Dossier(s)
3 : Fichier(s)
1 : Logiciel(s)
1 : Préférences navigateur


End of clean in 00mn 16s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 16/05/2012 05:14:00 [2987]



Je peux faire clore le topic? si oui il faut que je contacte directement un modo ou bien je dis le dis juste dans mon prochain et ultime (sur ce topic, je pense que je vais squatter un peu le forum, ça a l'air sympa ^^) message?

[bernard53]

Pas de soucis signale que tout est ok et il sera valider

Bon après midi.

[daikini]

problème résolu, ordi clean.
Merci à bernard et à l'équipe du forum.
Vous pouvez clore le topic

[EinsteinZero]

Bonsoir

je m'en occupe