FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[sebhd27]

Bien le bonjour à tous (et toutes) et tout d'abord un grand merci aux bénévoles qui prennent le temps de lire et de répondre aux sujets.

Je viens à vous pour tenter de résoudre le soucis de mon jeune voisin qui a choppé Interpol sur un PC portable en windows 8.

J'ai tout bien lu un sujet sur ce forum traitant de ce malware, j'ai tout bien essayé ce que je pouvais faire sans vous déranger mais il me faut faire appel à vous pour la suite car rien à faire, il s'accroche le bougre !

Je vous joint les rapports Roguekiller et ZHPDiag en attendant votre intervention salvatrice !

PS : démarrer un PC windows 8 en mode sans échec, c'est possible ? Si oui, je dois être trop rouillé pour y arriver, j'ai beau faire F8 ds le démarrage, rien à faire, F5 non plus d'ailleurs...

A bientôt.

Rapport Roguekiller
http://cjoint.com/?0Ltq4jJy9lS

Rapport ZHPDiag
http://cjoint.com/?3Ltrc4AyF0e

[2011N2]

Bonjour,

Tu as donc accès au PC en mode normal ?

Gabriel.

[sebhd27]

Oui et non, par intermittence seulement...

J'ai choppé un petit ISO qui me permet de démarrer le PC en émulant un windows 8 après avoir désactivé une option de sécurité dans le BIOS mais pas sûr que cela soit très en adéquation avec les manipulations qu'il faut faire...

[2011N2]

Re,

Ok, alors essaye de passer Pre_Scan : http://www.forum-entraide-informatique. ... n-tutoriel
Et poste le rapport hébergé.

Sinon on fera autre chose.

Gabriel.

[sebhd27]

Bon, ça ne passe pas, j'ai systématiquement une erreur "Line 3704", quelle que soit l'extension

[2011N2]

Re,

As-tu le message d'erreur exact ? C'est pour transmettre au développeur.

Merci pour lui.

Gabriel.

[sebhd27]

ouaip :

"Line 3704 (File "C:\Pre_Scan.exe"):
Error : The requested action with this object has failed"

PC démarré en mode normal, sans antivirus actif et sans connexion internet.

[2011N2]

Re,

Ok, essaye en mode sans échec comme ceci : http://www.forum-entraide-informatique. ... -windows-8

Gabriel.

[sebhd27]

Ok, j'essaierai demain matin en rentrant du taf', je vais au lit là !   

Merci !

[2011N2]

Re,

Ok, bonne nuit et bon courage alors.

Gabriel.

[sebhd27]

Bonjour !
Pas possible de faire la manip pour le mode sans echec... mais j'ai réussi à lancer pre_scan en mode normal via une clé USB, voici le rapport.

http://cjoint.com/?0Lumc0fGDiI

[2011N2]

Bonsoir,

Ok.
Relance Pre_Scan, clique sur Diag et poste le rapport hébergé.

Gabriel.

[sebhd27]

Bonsoir !

Et voici :
http://cjoint.com/?3LuuP4i0Bc1

[g3n-h@ckm@n]

bonjour j'ai jamais vu une poubelle pareille !, c'est limite si je conseillerais pas de sauvegarder les données perso et de remettre le pc à l'état d'usine

[sebhd27]

Il n'a pas créer ses CD de restauration....

Le pire c'est que le PC n'a qu'un mois ! :p

[2011N2]

Re,

Passe Dr.Web et poste le rapport : http://www.forum-entraide-informatique. ... t-tutoriel

Gabriel.

[sebhd27]

Bonjour, impossible de lancer l'analyse. Il me dit que les bases virales sont périmées même après avoir re-téléchargé le logiciel... par contre, l'outil fonctionne sur mon PC à moi...

[2011N2]

Bonjour,

Bon, tant pis... On va faire autre chose.

Fais un diagnostic de ton PC avec ZHPDiag et poste le rapport hébergé : http://www.forum-entraide-informatique. ... g-tutoriel

Gabriel.

[sebhd27]

Et voici :

http://cjoint.com/?3LvmvwLPxJl

Pour la suite, je verrai cela ce soir en rentrant du taf' !

Merci !

[2011N2]

Re,

Ok, fais un examen complet sur tous les disques avec MBAM. Tu supprimeras tous les éléments détectés et me posteras le rapport : http://www.forum-entraide-informatique. ... m-tutoriel

Gabriel.

[sebhd27]

Chef oui chef !

[2011N2]

Héhé.

Gabriel.

[sebhd27]

Décidément, je suis maudit ! ^^

Au 1er passage, j'ai supprimé 38 éléments mais le rapport à buggué...

Voici donc le rapport du 2nd passage : http://cjoint.com/?3LvtMUToE7p

[2011N2]

Re,

Ok, fais moi un nouveau rapport ZHPDiag.

Gabriel.

[sebhd27]

C'est fait Patron : http://cjoint.com/?3LvuhvrkCcw

[2011N2]

Salut,

Bien.

On va juste vérifier quelque chose...
Analyse sur VirusTotal comme ceci, les deux fichiers suivants et poste les deux liens des analyses :
C:\Windows\System32\Drivers\amdxata.sys.bak
C:\Windows\System32\Drivers\appid.sys.bak

Gabriel.

[sebhd27]

Ok, je regarde cela de suite, par contre, question : Lorsque je rentre dans sa session windows, plus rien ne s'affiche, j'ai juste un fond bleu avec une flèche en bas....

Il me faut passer par le gestionnaire des tâches pour accéder au bureau type classique (j'aime pas windows 8 ! :p ).

Une fois sur le bureau, je ne peux rien exécuter, aucun exe, rien....

Tu as la solution aussi ?

[2011N2]

Re,

Ok on va voir ça après l'analyse des fichiers sur VirusTotal.

Gabriel.

[sebhd27]

amdxata.sys.bak
ratio de détection : 0/48
lien 1

appid.sys.bak
ratio de détection : 0/32
Lien 2

[2011N2]

Re,

Ok.
Par rapport à :

Il me faut passer par le gestionnaire des tâches pour accéder au bureau type classique (j'aime pas windows 8 ! :p ).

Une fois sur le bureau, je ne peux rien exécuter, aucun exe, rien....
Du coup comment as-tu fait pour faire les étapes que je t'ai demandé ? Via une autre session ?

Gabriel.

[sebhd27]

Non, j'ai tout fais via sa session mais en fermant le gestionnaire, j'ai accès à un bureau sans fioritures (pas d'images de fond,...)

J'ai donc installé les applis à la racine du C:/

Ensuite pour le VirusTotal, j'ai réussi à lancer google...

[2011N2]

Re,

Ok, mais il y a plusieurs antivirus qui tournent, c'est peut-être ça.

Essaye de virer Norton et Windows Defender.
Pour Norton, utilise Norton Removal Tool : https://support.norton.com/sp/fr/fr/hom ... file_fr_fr

Gabriel.

[sebhd27]

Ok, je regarderais cela demain soir, il est temps d'aller au dodo ! ^^ (pas facile de se lever à 4h !)

Bonne soirée !

[2011N2]

Re,

Ok, et tu désinstalleras aussi Avast : http://www.avast.com/uninstall-utility
On verra si sans AV ça bug toujours.

Bon courage à toi, et bonne nuit.

Gabriel.

[sebhd27]

Bonjour !

SI je lui vire Avast, y'a plus d'antivirus ! ^^
Le problème était déjà apparu avant...

[2011N2]

Bonjour,

Oui c'est le but, qu'aucun antivirus ne gêne dans les démarches...

Gabriel.

[sebhd27]

C'est toi le chef !   

[2011N2]

[sebhd27]

Bon par contre, j'ai un "petit" soucis.
La désinstallation de Avast a planté et le PC redémarre en boucle... il doit chercher le mode sans échec... :/

[2011N2]

Re,

Bizarre.
Tu n'as pas le CD de Windows 8 ?

Si non, télécharge-le ici (inscris-toi avant sinon tu ne pourras le télécharger) : http://www.downflex.com/telecharger-tag/windows-8/

Puis grave-le sur clé USB ou CD avec Iso2Disc comme ceci : http://www.forum-entraide-informatique. ... c-tutoriel

Puis change la séquence de boot comme ceci afin de démarrer dessus : http://www.commentcamarche.net/faq/7322 ... ce-de-boot

Gabriel.