[Pris en charge par Elowen] bluescreen vista (infection rogue : Security Center ?) [Résolu]

[manubiseb]

Bonjour à tous,

J'utilise un PC sous windows vista, c'est un Dell inspiron I1720
processeur intel core 2 duo CPU 1.66Ghz
2 Go de mémoire vive
32 bits

Voici mon problème :

je surfais sur internet quand un bluscreen est apparu. Mon PC portable s'est donc éteint tout seul puis quand je le rallume, je n'ai plus que ma corbeille sur mon bureau et le message suivant :
C:\windows\system32\config\systemprofile\desktop n'est pas accessible. Accès refusé

Je tente donc une restauration de mon système ( dans le menu démarrer, accesoire, outils systeme, restauration du systeme) mais rien n'y fait : toujours des petits problème, j'ai essayé deux ou trois petites choses et maintenant, quand je démarre en mode sans échec, deux problème apparaissent :
le centre de sécurité windows ne démarre pas (puis impossible de le mettre à jour)
et plus récemment : " le processus hôte a cessé de fonctionner et a été arreté"

Que faire ???

[maxou45]

Bonjour
Essaye de restaurer ton PC a une date antérieure en mode sans echec

• Redémarrez l’ordinateur.
  L'ordinateur démarre en chargeant les instructions du BIOS.
  
  
• À la fin du chargement du BIOS, commencez à tapoter la touche F8 de votre clavier (ou F5 si F8 ne fonctionne pas).
  Le menu des options avancées de Windows apparait
  
  
• En utilisant les flèches de votre clavier, sélectionnez "Mode sans échec" dans le menu puis appuyez sur Entrée.
  Le mode sans échec est le mode diagnostic de Windows. Lorsque vous démarrez votre ordinateur en mode sans échec, seuls les composants spécifiques nécessaires à l'exécution du système d'exploitation sont chargés.
  Le mode sans échec ne permet pas certaines fonctions, comme la connexion à Internet par exemple.
  Il charge également un pilote vidéo de base avec une basse résolution, ce qui explique l'aspect différent de vos programmes et du bureau de Windows.
  Les icônes du bureau peuvent également avoir changé d'emplacement en raison de cette basse résolution.
  

[Elowen]

Bonsoir

Désolée d'intervenir mais j'ai une question très importante :

D'abord, bienvenue ici manubised

Avant l'écran bleu, as-tu vu une fenêtre "Windows Recovery" s'afficher ?

Je pense que ton PC est atteint du dernier rogue en vogue...en tous cas, il en présente les symptômes.

• Télécharge sur le bureau RogueKiller
  
• Quitte tous tes programmes en cours
  
• Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
  
• Sinon lance simplement RogueKiller.exe
  
• Lorsque demandé, tape 1 [SCAN] et valide
  
• Un rapport (RKreport.txt) a du se créer sur le bureau, poste-le.

* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois.

[manubiseb]

alors :

1) je ne sais pas ce qu'est un "rogue" mais je suis en train de scanné comme tu me l'as dit.
2) j'ai, comme on me l'avait conseillé avant, restauré mon PC à une date antérieur, et là, mon ordi s'est rallumé correctement jusqu'à ce qu'un nouvel écran bleu apparaisse (donc là, je vous parle depuis le mode sans echec avec prise en charge réseau). J'ai d'ailleurs eu juste le temps de prendre une photo de l'écran bleu... La voulez-vous ?
3) j'ai appelé un informaticien qui m'a dit (par téléphone, donc cela ne vaut peut-etre pas grand chose étant donné qu'il n'a pas vu le PC) que cet écran bleu peut venir d'une pièce défectueuse : ram ou carte video ou autre... vous en pensez quoi ?

(je vous transmets le rapport du scan quand je l'ai)

[manubiseb]

Le scan :


RogueKiller V4.3.5 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Manu [Droits d'admin]
Mode: Recherche -- Date : 30/03/2011 21:01:07

Processus malicieux: 0

Entrees de registre: 3
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : lsfek ("c:\users\manu\appdata\local\lsfek.exe" lsfek) -> FOUND
[APPDT/TMP/DESKTOP] HKUS\S-1-5-21-16426895-2095553011-909477946-1000[...]\Run : lsfek ("c:\users\manu\appdata\local\lsfek.exe" lsfek) -> FOUND
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (172.16.0.1:3128) -> FOUND

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[1].txt >>
RKreport[1].txt

[Elowen]

Re,

Un rogue est un faux logiciel de sécurité.

• Quitte tous les programmes en cours
  
• Relance Rogue Killer
  
• Lorsque demandé, tape 2 (mode Suppression) et valide
  
• Copie/colle le rapport qui sera généré dans ta prochaine réponse.
  

Puis, fais ceci :

• Télécharge Malwarebytes'Antimalwares
  
• La mise à jour du programme va se faire directement ; si ce n'est pas le cas, clique sur Recherche de mises à jour
  
• Fais une analyse complète en cliquant sur Exécuter un examen complet
  
• Sélectionne les lecteurs à analyser et clique sur Lancer l'examen
  
• L'analyse peut durer un certain temps
  
• Lorsque l'analyse est terminée, clique sur OK puis sur Afficher les résultats
  
• Assure-toi que tout est coché et clique sur Supprimer la sélection puis sur OK
  
• Le bloc-note va s'ouvrir qui contiendra un rapport
  
• Copie (Ctrl+C)/Colle (Ctrl+V) le rapport dans ta prochaine réponse

/!\ Il est possible que certains fichiers devront être supprimés au redémarrage du PC. Il faut le faire en cliquant sur Oui à la question posée

[manubiseb]

RogueKiller V4.3.5 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Manu [Droits d'admin]
Mode: Suppression -- Date : 30/03/2011 22:04:50

Processus malicieux: 0

Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (172.16.0.1:3128) -> NOT REMOVED, USE PROXYFIX

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost


Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

[Elowen]

Poste-moi le rapport Malwarebytes lorsque l'analyse sera terminée

[manubiseb]

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6219

Windows 6.0.6002 Service Pack 2 (Safe Mode)
Internet Explorer 8.0.6001.19019

31/03/2011 00:23:28
mbam-log-2011-03-31 (00-23-28).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 353677
Temps écoulé: 1 heure(s), 35 minute(s), 27 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 3
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\OOO (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\OOO (Rogue.LivePlayer) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\PDFFORGE TOOLBAR\FF\COMPONENTS\PDFFORGETOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: PDFFORGETOOLBARFF.DLL -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\agent.exe (Trojan.FraudPack) -> Value: agent.exe -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Rogue.PrivacyCenter) -> Value: Shell -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell (Hijack.Shell) -> Bad: (C:\Program Files\PC\pc.exe) Good: (Explorer.exe) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\program files\pdfforge toolbar\FF\components\pdfforgetoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\Users\Manu\AppData\Local\microsoft\Windows\temporary internet files\Low\Content.IE5\YT6JRXZN\flashplayer.v9[1].exe (Rogue.Installer) -> Quarantined and deleted successfully.
c:\Users\Manu\downloads\vlcsetup(2).exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\Users\Manu\downloads\VLCSetup.exe (Adware.Hotbar) -> Quarantined and deleted successfully.
c:\Users\Manu\local settings\application data\lsfek_nav.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.
c:\Users\Manu\local settings\application data\lsfek_navps.dat (Adware.NaviPromo) -> Quarantined and deleted successfully.

[Elowen]

Bonsoir

As-tu retrouvé tes raccourcis sur ton bureau ?

Dans la négative, fais ceci :

• Relance RogueKiller
  
• Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
  
• Lorsque demandé, taper 6 (mode Raccourcis HJ) et valider

Poste-moi le rapport qui sera généré.

[manubiseb]

Quand je démarre en mode normal, j'ai encore le même problème : juste la corbeille et un autre logiciel. pas de réseau, rien ne marche...
J'essaye donc le roguekiller en mode 6 voici ce qu'il me donne :
RogueKiller V4.3.6 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Manu [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 01/04/2011 20:17:07

Processus malicieux: 0

Attributs de fichiers restaures:
Bureau: Success 0 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 1 / Fail 0
Menu demarrer: Success 1 / Fail 0
Dossier utilisateur: Success 16 / Fail 0
Mes documents: Success 3 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 25 / Fail 0

Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt







PS : un informaticien (comme je l'ai dit plus haut) m'a dit qu'un bluescreen pouvait venir d'une pièce déterriorée... style ram. Qu'en pensez vous ?

[Elowen]

Bonsoir

Ton PC est infecté.

Il faut d'abord désinfecter le PC pour envisager ensuite un problème matériel.

Un écran bleu peut avoir une multitude de causes, y compris liées à un virus mais aussi à n'importe quel matériel et pas forcément la RAM.

Rogue Killer en option 6 n'a donc pas résolu le problème des icônes ?

- Ouvre l'explorateur
- clique sur Outils puis Options des dossiers
- dans la liste, coche la case "Afficher les fichiers, dossiers et lecteurs cachés"
- applique ton choix

Retourne ensuite sur le bureau et dis-moi si tu vois de nouveau tes icônes.

Dans la foulée, fais ceci :

Utilise ce logiciel de diagnostic :

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
• Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
• Clique sur l'icône représentant une loupe

• Patiente durant l'analyse
  
• NB : Il est possible qu'à un certain moment, tu aies l'impression que l'outil est "bloqué" : patiente

• Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
• Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

/!\ Sous Vista et Windows 7 :

• lancer le fichier téléchargé par clic droit et "Exécuter en tant qu'administrateur"
  
• Exécuter le programme en cliquant droit sur son icône et "Exécuter en tant qu'administrateur"

[Elowen]

Bonjour

Pas de suite ?

[manubiseb]

Oui je peux essayer ce que tu m'as dit, sinon, je peux tout simplement formater mon PC... Au moins, je sais qu'il ne trainera pas un petit bout de virus... lol

Dans ce cas, y'a-t-il quelque chose de particulier à faire avant de tout écraser ?

[Elowen]

Bonsoir

Oui je peux essayer ce que tu m'as dit, sinon, je peux tout simplement formater mon PC... Au moins, je sais qu'il ne trainera pas un petit bout de virus... lol

Sache d'abord que certains virus résistent au formatage.
Par ailleurs, il y a des gens qui travaillent à créer des outils justement pour éradiquer les infections et éviter ainsi un formatage.

Je sais que ça peut paraître long une procédure de désinfection (quoi que, dans ton cas, on n'a pas encore fait grand chose)

Naturellement, je ne te force pas. Tu es libre de faire comme tu l'entends

On a encore des choses à essayer pour résoudre tes problèmes avant d'aller au formatage.

Tout dépend de si tu veux poursuivre ou non.

Ca vaudrait la peine de tenter Rogue Killer en option 6 comme je te l'ai proposé.