Suppression de malware suivi d'un écran noir au redémarrage

Résolu
Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   - 11 avril 2017 à 17:04
Bonjour,

Je viens vers vous parce que j'ai besoin de votre aide ! D:
Ce matin, alors que je regardais une vidéo youtube ( Bob Lennon pour les curieux ), firefox c'est mis à planté et m'a donc demandé de le redémarrer.. Bon jusque là pas de soucis, sauf qu'une fois redémarré je suis arrivé sur la page d'accueil de "Startsearch".. Et je suis pas si bête, je savais de suite que c'était un malware.. Et comme j'en ai eu un similaire il y a de ça 1 mois, j'ai appliqué la procédure pour le supprimé, c'est à dire aller voir dans Ccleaner ce qu'y s'est installé et le supprimer ( c'était Deskapp visiblement ), après j'ai retiré Firefox pour lancé malwarebyte et faire une analyse et une fois fait, j'ai lancé Junkware remove tool..

Et comme ces logiciels me demande de redémarrer mon pc, et bien, je l'ai fait...
Sauf qu'une fois le logo windows apparu, j'ai un black screen..

Je me suis donc dis que j'avais un soucis.. Et que j'avais fait une bétise, j'ai donc voulu faire une restauration du système pour pouvoir venir sur ce forum et demander de l'aide pour supprimer ce malware ( qui reviendrais surement ou était surement déjà là ) sauf qu'une fois la restauration faite ( de 5 jours auparavant ) j'ai toujours ce black screen..

Me voilà donc ici, pour solliciter votre aide, s'il-vous-plait.. Mon TFE n'avancera pas sans moi ! >.<

Je vais faire mon possible pour détailler ma configuration :

Windows 8.1 (Sur SSD )
Intel core I7 - 3770 U 3,40Ghz
Nvidia GEForce GTX 1050i
8Gb Ram

Je ne sais pas comment monter plus.. Mon domaine c'est l'animation, pas vraiment l'informatique.. Désolé D:

Merci d'avance à ceux qui m'aideront. :)
Je vous envoie paquet de frites virtuel.
A voir également:

7 réponses

Réponse 1 / 7
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 676
 
Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST, 3 rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site http://pjt.malekal.com/ et en retour donne les 3 liens pjt qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


1
Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
Salut,

Je ne m'attendais pas à une réponse aussi rapide..
Mais j'ai un petit problème.. Je ne parviens même pas à accéder au bureau. L'écran devient noir avant même de pouvoir me connecter à ma session. Y-a-t-il un moyen de lancer le logiciel quand même ? (Via clef USB ou autre ) ?

Merci :)
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 676 > Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
et en mode sans échec ?

sur cette page, tu peux tenter des trucs voir si tu arrives à charger le bureau : https://commentcamarche.telechargertorrent.org/ecran-noir-impossible-de-demarrer-windows/

il est aussi possible d'effectuer une restauration de Windows au démarrage :

Lancer une Restauration du Système à partir du menu "Réparer mon ordinateur". Pour cela, redémarre, avant le logo de Windows, tapote sur la touche F8, un menu va apparaître. Sélectionner Réparer mon ordinateur et appuyer sur la touche entrée du clavier. Laisse toi guider par le didacticiel. Pour plus d'informations ou de davantage d'aide, lire le paragraphe Restaurer mon ordinateur

[size=90]** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS DE LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE ! **

NB: La Restauration du Système ne provoque pas de perte de données, ça recharge une "image" de Windows précédente. Attention à bien lire, ne pas choisir une Restauration d'Usine sinon tu vas perdre toutes tes données !
0
Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention   > Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention  
 
Le mode sans échec et la restauration ne fonctionne pas..
Je vais donc tester avec Malekal Live sur une clef USB, je suppose que ca devrait fonctionner, mais est-ce qu'il est préférable de refaire une restauration du système une fois sur windows ou bien je fait la procédure demandée plus haut ? :)
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 676 > Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
ça roule =)
0
Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
Bon voilà, après avoir installer le Malekal Live sur ma clef usb et démarrer via le BIOS. J'arrive sur un écran où il est mis :
Try (hd0,0) :non-MS: skip
Try (hd0,1) : invalid or null
Try (hd0,2): invalid or null
Try (hd0,3): invalid or null
etc..
Cannot find GRLDR in all drives. Press Ctrl +AL+Del to restart

( que j'ai fais, mais rien ne chance )

Je précise aussi que j'ai pris la version win10PE ( étant donné que j'ai un Bios UEFI )
0
Réponse 2 / 7
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 676
 
Bha déjà ça c'est bizarre :

C:\Windows\System32\svchost.exe
[2014-11-21 01:18] - [2014-11-21 01:18] - 0038792 ____A () E4386981338BDE1807E7B6D43282533A
C:\Windows\System32\svchost.exe IS INFECTED. <===== ATTENTION!

et y en a encore plein d'adwares.

Vois si tu peux faire cela depuis le CD Live :

Tu peux lancer une Réparation SFC

Clique-droit sur le menu "Démarrer" puis "Invites de commandes ()",
Saisir sfc /scannow dans la fenêtre.

Ça doit te dire que la protection a détecté des éléments endommagés,
qu'il faut redémarrer pour pouvoir les corriger. A ce moment, redémarre.

puis :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
2017-04-10 09:45 - 2017-04-10 09:56 - 00000000 ____A C:\s\Public\Documents\report.dat
2017-04-10 09:45 - 2017-04-10 09:48 - 00000000 ____A C:\s\Public\Documents\temp.dat
2017-04-08 13:03 - 2017-04-08 13:03 - 00000000 ____D C:\s\Robin\AppData\Local\Tempzxpsign34e0afc357c9f375
2017-04-07 09:21 - 2017-04-10 15:34 - 00000000 ____D C:\s\Robin\AppData\Roaming\WinSAPSvc
2017-04-07 09:21 - 2017-04-10 15:34 - 00000000 ____D C:\s\Robin\AppData\Roaming\SNARER
2017-04-07 09:21 - 2017-04-10 15:34 - 00000000 ____D C:\s\Robin\AppData\Local\AMD
2017-04-07 09:21 - 2017-04-10 15:34 - 00000000 ____D C:\Program Files (x86)\MIO
2017-04-07 09:21 - 2017-04-07 09:21 - 00000000 ____D C:\Update
2017-04-07 09:18 - 2017-04-07 09:21 - 00000000 ____D C:\Program Files\MK
2017-03-12 14:43 - 2017-03-12 15:02 - 00000000 ___HD C:\ProgramData\7011Y4124Y6181w3792
2017-04-06 16:24 - 2017-04-06 16:24 - 00000000 ____D C:\s\Robin\AppData\Local\Tempzxpsignd5ce947e942a70df
2017-04-06 15:25 - 2017-04-06 15:25 - 00000000 ____D C:\s\Robin\AppData\Local\Tempzxpsign2ae8c396834aef35
2017-04-06 13:07 - 2017-04-06 13:07 - 00000000 ____D C:\s\Robin\AppData\Local\Tempzxpsign39f9edd15f48a6e6
2017-04-05 18:06 - 2017-04-05 18:06 - 01129376 ____A (Google Inc.) C:\s\Robin\s\googledrivesync.exe
2017-04-04 20:30 - 2017-04-04 20:30 - 00000000 ____D C:\s\Robin\AppData\Local\Tempzxpsign5b31371ff9cfd10f
2017-04-04 20:18 - 2017-04-04 20:18 - 00000000 ____D C:\s\Robin\AppData\Local\Tempzxpsignd8148829dd8f350b
2017-04-03 17:31 - 2017-04-03 17:31 - 00000000 ____D C:\s\Robin\AppData\Local\Tempzxpsign91ae24b45bfad340
2017-04-03 16:59 - 2017-04-03 16:59 - 00000000 ____D C:\s\Robin\AppData\Local\Tempzxpsign3154f11980043136
2017-04-02 13:12 - 2017-04-02 13:12 - 00000000 ____D C:\s\Robin\AppData\Local\Tempzxpsign97a7f40233be8aa5
2017-03-28 19:35 - 2017-03-28 19:35 - 00000000 ____D C:\s\Robin\AppData\Local\Tempzxpsign69a6eacf94da68b9
2017-03-28 17:26 - 2017-03-28 17:26 - 00000000 ____D C:\s\Robin\AppData\Local\Tempzxpsign65542f0d76795f57
S2 SNARER; C:\s\Robin\AppData\Roaming\SNARER\Snarer.dll [792576 2017-04-07] () 
 S2 WinSAPSvc; C:\s\Robin\AppData\Roaming\WinSAPSvc\WinSAP.dll [188416 2017-04-07] () 
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.
0
Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
Je n'ai pas pu faire le sfc / scannow
Il ne pouvait pas..

Voilà le contenu du fixlog :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 10-07-2013 01
Ran by Système at 2017-04-10 18:45:37 Run:1
Running from Y:\Programs\FRST
Boot Mode: Recovery

==============================================

C:\s\Public\Documents\report.dat => Moved successfully.
C:\s\Public\Documents\temp.dat => Moved successfully.
C:\s\Robin\AppData\Local\Tempzxpsign34e0afc357c9f375 => Moved successfully.
C:\s\Robin\AppData\Roaming\WinSAPSvc => Moved successfully.
C:\s\Robin\AppData\Roaming\SNARER => Moved successfully.
C:\s\Robin\AppData\Local\AMD => Moved successfully.
C:\Program Files (x86)\MIO => Moved successfully.
C:\Update => Moved successfully.
C:\Program Files\MK => Moved successfully.
C:\ProgramData\7011Y4124Y6181w3792 => Moved successfully.
C:\s\Robin\AppData\Local\Tempzxpsignd5ce947e942a70df => Moved successfully.
C:\s\Robin\AppData\Local\Tempzxpsign2ae8c396834aef35 => Moved successfully.
C:\s\Robin\AppData\Local\Tempzxpsign39f9edd15f48a6e6 => Moved successfully.
C:\s\Robin\s\googledrivesync.exe => Moved successfully.
C:\s\Robin\AppData\Local\Tempzxpsign5b31371ff9cfd10f => Moved successfully.
C:\s\Robin\AppData\Local\Tempzxpsignd8148829dd8f350b => Moved successfully.
C:\s\Robin\AppData\Local\Tempzxpsign91ae24b45bfad340 => Moved successfully.
C:\s\Robin\AppData\Local\Tempzxpsign3154f11980043136 => Moved successfully.
C:\s\Robin\AppData\Local\Tempzxpsign97a7f40233be8aa5 => Moved successfully.
C:\s\Robin\AppData\Local\Tempzxpsign69a6eacf94da68b9 => Moved successfully.
C:\s\Robin\AppData\Local\Tempzxpsign65542f0d76795f57 => Moved successfully.
SNARER => Service deleted successfully.
WinSAPSvc => Service not found.

End of Fixlog

0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 676 > Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
tu avais quelle erreur sur SFC ?

il faudrait tenter plutôt comme cela : https://commentcamarche.telechargertorrent.org/malekal-live-cd-reparer-depanner-pc-windows/#SFC

sfc /scannow /offbootdir=C:\ /offwindir=C:\Windows
0
Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
Il est mis :
La protection des ressources windows n'a pas réussi à démarrer le service de réparation.

J'essaye maintenant ce que tu m'as dis.
0
Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
La même phrase revient avec l'autre manipulation.. :/
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 676 > Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
ha merde ok,

Je t'ai mis un svchost là, si tu arrives à le placer dans system32 : http://https://commentcamarche.telechargertorrent.org//svchost.exe.zip

sinon faudra faire ça : https://forums.commentcamarche.telechargertorrent.org/forum/affich-34513829-suppression-de-malware-suivi-d-un-ecran-noir-au-redemarrage#7
0
Réponse 3 / 7
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 676
 
Télécharger l'ISO Windows 8 : https://commentcamarche.telechargertorrent.org/telecharger-iso-windows/
et tu peux créer une clé USB avec Rufus : https://commentcamarche.telechargertorrent.org/creer-cle-usb-bootable-installation-windows/

Démarre dessus
vas dans réparer ordinateur
avancé et fais une réinitialisation

si pas mieux lance une installation de Windows

- Laisse toi guider pour installer Windows 8.
- Durant la phase des partitions, sélectionne la partition système et formate la.
- Procède à l'installation sur cette partition système.
- Sélectionne la partition principale
- L'installeur va te dire que Windows est déjà présent et propose de le déplacer.
Surtout ne formate pas.

Tes données utilisateurs seront copiées dans un sous-dossiers de Windows.old.
0
Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
D'accord.
Je vais faire ça de suite !

Merci quand même de m'avoir aidé et d'avoir essayé de résoudre mon problème ! ( Il se résoud au final )
Je vais faire ça à mon aise tranquillement pour ne pas faire de bétise, et je reviendrais dans la soirée ou demain donner des nouvelles. :)
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 676 > Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
Pas de soucis =)
0
Réponse 4 / 7
Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
He ben voilà, au final il aura fallu que je fasse un reboot..
Dans un sens, le problème est résolu !

Ce m'ennuie un peu de devoir tout réinstaller.. mais quand il faut, il faut.
Je te remercie énormément, d'avoir pris le temps de m'aider, d'avoir pris de ton temps. Je trouve ca incroyable de parvenir à comprendre quoi faire dans chaque situation..

J'avais dis que j'enverrais un paquet de frites virtuel à celui qui m'aiderait, le voilà ! un paquet de frite bien Belge, bon appétit ! ( Oui à 9h18.. )
https://o1.llb.be/image/thumb/553b239035704bb01bf1fee3.jpg

J'aurais une dernière choses à te demander, si ca ne t'ennuie pas..
Est-ce que tu sais d'où venait ces malwares que je n'arrivais pas à éliminer ? (Malgré l'utilisation de malware byte, JRT, ) Car j'ai l'impression qu'ils datent d'il y a au moins 1 mois, quand j'ai eu un changement de moteur de recherche et que j'ai visiblement mal éliminer..

Et aussi.. comment je peux à l'avenir, éviter d'en avoir ? Antivirus payant ?
Anti Malware payant ? Gratuit ca suffit ? Ou juste faire des analyse régulièrement et demander une aide lorsque le problème est là ? :)
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 676
 
Bonne nouvelle,
je sais pas, déjà JRT sert à rien.

AdwCleaner et Malwarebytes sont suffisant, pas besoin de scanner avec 3 000 trucs, tu augmentes les chances d'avoir des problèmes.

Faudrait faire le SFC depuis ton Windows.
Refaire un scan FRST pour voir.

Veuillez appuyer sur une touche pour continuer la désinfection...
0
Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
D'accord ! Je fais ca de suite et j'envoie les résultats. :)
0
Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
Voilà voilà, pour le scan SFC il n'a trouvé aucune violation d'intégrité.

Et voilà les 3 fichiers :

FRST
https://pjt.malekal.com/files.php?id=FRST_20170411_l10p10x6i11k11

Addition

https://pjt.malekal.com/files.php?id=20170411_b5c15m6d6u6

shortcut

https://pjt.malekal.com/files.php?id=20170411_h5j9m8z11b8
0
Réponse 6 / 7
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 676
 
C:\WINDOWS\system32\svchost.exe => Le fichier est signé numériquement
C:\WINDOWS\SysWOW64\svchost.exe => Le fichier est signé numériquement

niquel =)
0
Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
Super ! :)
Je vais pouvoir me remettre au travail.

Encore merci de m'avoir aidé, je pense pas l'avoir dit assez.. D:
Je vais faire attention et vérifier régulièrement si j'ai pas choper des trucs bizarre maintenant..
0
Réponse 7 / 7
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 676
 
de rien =)

Une fois que tu auras tout réinstalle et que tout fonctionne,

Je t'invite à créer une image système maintenant que tu as un Windows stable.
=> Comment créer une image système Windows
Cette image système peut être restaurée à tout moment, cela incluant Windows, les mises à jour et les programmes installés.
Très pratique pour remettre Windows facilement quand tout est planté.

Ainsi si tu dois réinstaller Windows, tu peux restaurer ton image, cela évite de devoir remettre toutes les mises à jour fastidieuses, réinstallation d'application de logiciels et application.

0
Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
Oh d'accord ! En effet, c'est bien pratique.
J'avais l'habitude de faire des back up régulièrement de mes fichiers, mais je ne connaissais pas vraiment ça.. je n'ai jamais vraiment chercher.. honte à moi !

Je vais tout remettre et je suivrait le tuto. :)
0
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 676 > Sakaii Messages postés 20 Date d'inscription   Statut Membre Dernière intervention  
 
de rien et bon courage =)
0

Discussions similaires

Comment supprimer tor.jack sur Android
sabinelouisonbruno -
akaloupile -

4 réponses
La moitié de l'écran de ma smart tv est sombre sur une moiti
6rizzzly -
MPMP10 -

7 réponses