Infection par Windows Vista Recovery

(4 Pages)
1
2
3
→
Dernière »

Vous ne pouvez pas commencer un sujet
Vous ne pouvez pas répondre à ce sujet

Infection par Windows Vista Recovery PC, graves plantages multiples Noter : 2 note(s)

#1 lionel.d397

Member

Groupe : Membres
Messages : 21
Inscrit(e) : 25-mai 11

Posté 25 mai 2011 - 08:46

Bonsoir

Je suis infecté depuis quelques jours par je ne sais combien de virus/spywares. J'ai eu très peur car c'est allé en se dégradant. J'avais sans cesse des alertes comme quoi j'étais infecté, comme quoi mon disque dur allait être détruit, ma mémoire RAM était défaillante, mes clusters étaient danger, etc... Je ne pouvais quasiment plus rien faire, me connecter à internet était une galère

Le bureau est devenu noir, tout a disparu (raccourcis, données...) à l'exception du logo d'IE, qui en plus a été modifié

J'ai tant bien que mal réussi à installer MBAM et à faire une analyse de 5 minutes qui m'a permis de détecter et de virer des nuisibles (j'ai interrompu l'analyse au bout de 5 min car sinon le PC redémarrait et donc anulait l'analyse MBAM!!!). Les plantages ont diminué et j'ai pu faire correctement une analyse MBAM, avec 18 éléments détectés. MBAM a planté lors de leur suppression!! Et impossible de trouver le moindre log de l'analyse...

Un des logiciel malveillant qui a été installé s'appele Windows Vista Recovery et un fichier nuisible qui a été supprimé est le fichier tafwyfiw.dll qui se trouvait dans system32

Disons que maintenant je peux acceder correctement à Internet et j'ai pu m'inscrire sur le forum.

Par ailleurs, tous mes dossiers (données) avaient disparus du bureau, je les ai retrouvés en réactivant les "dossiers cachés". Et oui, apparaissent maintenant en dossiers cachés tous mes répertoires dans lesquels j'ai mes données (fichiers word, photos, vidéos, etc)

Est-ce que quelqu'un peut me prendre en charge afin d'éliminer tous ces virus/trojans qui se trouvent encore dans mon ordinateur? Par avance, je vous remercie beaucoup!! :love:

Ce message a été modifié par lionel.d397 - 25 mai 2011 - 10:29 .

Retour en haut of the page up there ^

#2 pear

Devil Member !

Groupe : Equipe Sécurité
Messages : 16489
Inscrit(e) : 22-mars 05

Posté 26 mai 2011 - 10:13

Bonjour,

Unhide va restaurer les éléments du Menu Démarrer et de la Barre de lancement rapide (Quick Launch) qui ont été supprimés

Télécharger unhide de Grinler
sur le bureau puis lancez le en mode administrateur

Téléchargez AD-Remover sur le bureau
Image IPB

Déconnectez-vous et fermez toutes les applications en cours
Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .
Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel
Cliquez sur "OUI"
Double cliquer sur l'icône Ad-remover sur le bureau
Image IPB

Au menu principal choisir l'optionScanner et Validez

Patientez pendant le travail de l'outil.
Poster le rapport qui apparait à la fin .
Il est sauvegardé aussi sous C:\Ad-report.log

Ensuite

Relancer Ad- remover , choisir l'option Nettoyer

Il y aura 2 rapports à poster après :Scanner et Nettoyer

Pour désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.

Télécharger Rogue Killer par Tigzy sur le bureau
Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
Si le prgramme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..
Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe
Quittez tous tes programmes en cours et lancez le
Image IPB

Quand on vous le demande, tapez 1 et valider
Nettoyage du registre Passer en Mode 2
Si votre fichier HOSTS est corrompu (Section HOSTS du rapport), relancer RogueKiller en mode 3 pour en restaurer une copie saine
Pour supprimer un proxy[/b] Passer en Mode 4
Pour corriger les Dns Passer en Mode 5
Si vos raccourcis et dossiers du bureau/menu démarrer/etc ont diparu, relancer en Mode 6[/color]
Lancez succesivement toutes les options
Un rapport (RKreport.txt) apparaitra sur le bureau

En Copier/Coller le contenu dans la réponse

Désinstallez Mbam, s'il est installé
Téléchargez MBAM

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français
* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update et Launch soient cochées
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:
Image IPB

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.
* Une fois la mise à jour terminée, allez dans l'onglet Recherche.
* Sélectionnez "Exécuter un examen complet"
* Cliquez sur "Rechercher"
* .L' analyse prendra un certain temps, soyez patient !
* A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra

Nettoyage
Relancez Mbam(Malewares'Bytes)
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.

Si ce que tu as à dire ne vaut pas mieux que le silence, tais-toi (Confucius)

Retour en haut of the page up there ^

#3 lionel.d397

Member

Groupe : Membres
Messages : 21
Inscrit(e) : 25-mai 11

Posté 26 mai 2011 - 11:14

Bonjour pear, et merci beaucoup pour ton aide

Alors j'ai fait tout ce que tu m'as dit. Seul petit problème: j'avais désinstallé AD-R, et le rapport "Clean" avait disparu. Je l'ai donc résinstallé et fait un nouveau "nettoyage"
Tu as donc le rapport "Scan" qui date du début de la procédure (avant RogueKiller, MBAM...), et le rapport "Clean" qui date de la fin de toute la procédure

Voilà tous les rapports:

Le rapport SCAN de AD-R (date du début de l'après-midi):

Citation

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 15:13:56 le 26/05/2011, Mode normal

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 2 (X86)
simoncastagna@PC-DE-SIMONCAST (Hewlett-Packard HP ProBook 4515s)

============== RECHERCHE ==============

Fichier trouvé: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Navigateur OfferBox.lnk
Fichier trouvé: C:\Users\simoncastagna\AppData\Roaming\Mozilla\FireFox\Profiles\cw5elapu.default\searchplugins\web-search.xml
Dossier trouvé: C:\Users\simoncastagna\AppData\Roaming\CrazyLoader
Dossier trouvé: C:\Program Files\CrazyLoader
Dossier trouvé: C:\Program Files\Winsudate
Dossier trouvé: C:\Users\simoncastagna\AppData\Roaming\OfferBox
Dossier trouvé: C:\Program Files\OfferBox

-- Fichier ouvert: C:\Users\simoncastagna\AppData\Roaming\Mozilla\FireFox\Profiles\cw5elapu.default\Prefs.js --
Ligne trouvée: user_pref("extensions.vshare@toolbar.update.enabled", false);
Ligne trouvée: user_pref("keyword.URL", "hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=");
-- Fichier Fermé --

Clé trouvée: HKLM\Software\Classes\CLSID\{A7E8C343-7860-4A95-9AA8-AAF30D0F6D1E}
Clé trouvée: HKLM\Software\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}
Clé trouvée: HKLM\Software\Classes\Interface\{6612AFDD-34AD-4B89-A236-7E6D07C3FDCD}
Clé trouvée: HKLM\Software\Classes\TypeLib\{ED85AEBE-F834-4088-B5D3-97EB2478A6CD}
Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer
Clé trouvée: HKLM\Software\Classes\OfferBox.OfferBoxServer.1
Clé trouvée: HKLM\Software\OfferBox
Clé trouvée: HKLM\Software\Winsudate
Clé trouvée: HKCU\Software\OfferBox
Clé trouvée: HKCU\Software\Winsudate
Clé trouvée: HKU\.DEFAULT\Software\OfferBox
Clé trouvée: HKU\S-1-5-18\Software\OfferBox
Clé trouvée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB}
Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\OfferBox
Clé trouvée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\OfferBox
Clé trouvée: HKLM\Software\Google\Chrome\Extensions\bjeikeheijdjdfjbmknpefojickbkmom

Valeur trouvée: HKLM\Software\Mozilla\Firefox\Extensions|offerboxffx@offerbox.com

============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [3.5.19 (fr)] ****

HKCU_MozillaPlugins\@yahoo.com/BrowserPlus,version=2.6.0 (x)
Components\aboutCertError.js
Components\aboutPrivateBrowsing.js
Components\aboutRights.js
Components\aboutRobots.js
Components\aboutSessionRestore.js
Components\nsPostUpdateWin.js
Extensions - "talkback@mozilla.org" (?)
Extensions\{AB2CE124-6272-4b12-94A9-7303C7397BD1} (Skype extension )
HKLM_Extensions|{3112ca9c-de6d-4884-a869-9855de68056c} - C:\ProgramData\Google\Toolbar for Firefox\{3112ca9c-de6d-4884-a869-9855de68056c}
HKLM_Extensions|offerboxffx@offerbox.com - C:\Program Files\OfferBox\offerboxffx@offerbox.com

-- C:\Users\simoncastagna\AppData\Roaming\Mozilla\FireFox\Profiles\cw5elapu.default --
Extensions\DivXWebPlayer@divx.com (?)
Extensions\DivXWebPlayer@divx.com-trash (?)
Extensions\{3112ca9c-de6d-4884-a869-9855de68056c} (Google Toolbar for Firefox)
Searchplugins\web-search.xml (?)
Searchplugins\YouGoo.xml (<SearchPlugin xmlns=hxxp://www.mozilla.org/2006/browser/search/<ShortNameYouGoo</ShortName <DescriptionMéta-annuaire Yo...)
Prefs.js - browser.download.dir, C:\\Users\\simoncastagna\\Downloads
Prefs.js - browser.search.defaultenginename, Web Search...
Prefs.js - browser.search.defaulturl, hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=
Prefs.js - browser.search.selectedEngine, Google
Prefs.js - browser.startup.homepage, hxxp://www.google.fr
Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.1.19
Prefs.js - keyword.URL, hxxp://vshare.toolbarhome.com/search.aspx?srch=ku&q=

========================================

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=all&pf=cmnb
HKCU_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKCU_Main|Start Page - hxxp://www.google.fr/
HKLM_Main|Default_Page_URL - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=all&pf=cmnb
HKLM_Main|Default_Search_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Search Page - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Start Page - hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=fr_fr&c=92&bd=all&pf=cmnb
HKCU_URLSearchHooks|{08C06D61-F1F3-4799-86F8-BE1A89362C85} - "Search Class" (C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll) (x)
HKCU_SearchScopes\{652AE0B2-53A2-46B3-9D1D-6CA014D3AF03} - "Wikipedia (en)" (hxxp://en.wikipedia.org/w/index.php?title=Special:Search&search={searchTerms})
HKCU_SearchScopes\{CA6C2A15-1280-4AEA-A034-F2DC2310DC30} - "AlloCine" (hxxp://www.allocine.fr/recherche/?motcle={searchTerms})
HKCU_SearchScopes\{E45C4287-3DD6-451F-9C1A-566974DFB774} - "PriceMinister" (hxxp://www.priceminister.com/navigation/se/category/sa/opensearchversion/1/kw/{s...)
HKLM_Toolbar|{0BF43445-2F28-4351-9252-17FE6E806AA0} (x)
HKCU_ElevationPolicy\{D09C464F-07DE-4C04-ABB4-88C30329C02D} - C:\Users\simoncastagna\AppData\Local\Yahoo!\BrowserPlus\2.5.1\BrowserPlusCore.exe (x)
HKLM_ElevationPolicy\{1950F857-D7D8-4617-8A85-BF48A10483D8} - C:\Program Files\Hewlett-Packard\File Sanitizer\CoreShredder.exe (Hewlett-Packard)
HKLM_ElevationPolicy\{37F4A335-D085-423e-A425-0370799166FB} - C:\Program Files\OfferBox\OfferBox.exe (Secure Digital Services Limited)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{BB64A76C-9578-433f-949F-142997978A62} - c:\Program Files\Hewlett-Packard\IAM\Bin\asghost.exe (Bioscrypt Inc.)
HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
BHO\{3134413B-49B4-425C-98A5-893C1F195601} - "BHO_Startup Class" (C:\Program Files\Hewlett-Packard\File Sanitizer\IEBHO.dll)
BHO\{DF21F1DB-80C6-11D3-9483-B03D0EC10000} - "Credential Manager for HP ProtectTools" (c:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll)
BHO\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - "OfferBox" (C:\Program Files\OfferBox\OfferBoxBHO.dll)

========================================

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 26/05/2011 15:14:16 (7222 Octet(s))

Fin à: 15:15:15, 26/05/2011

============== E.O.F ==============

Le rapport CLEAN de AD-R (fait à la fin, c'est à dire après RogueKiller et MBAM):

Citation

Voilà les 6 rapports (RKreport.txt) de RogueKiller:

Rapport 1:

Citation

RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/23)

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: simoncastagna [Droits d'admin]
Mode: Recherche -- Date : 26/05/2011 15:32:08

Processus malicieux: 1
[SUSP PATH] lsnfier.exe -- c:\users\simoncastagna\appdata\roaming\microsoft\notification de cadeaux msn\lsnfier.exe -> KILLED

Entrees de registre: 10
[BLACKLIST DLL] HKCU\[...]\Run : Mtebamal (rundll32.exe "C:\Users\simoncastagna\AppData\Local\mdmfalt.dll",Startup) -> FOUND
[BLACKLIST DLL] HKUS\.DEFAULT[...]\Run : Metropolis (rundll32.exe C:\windows\system32\sshnas21.dll,GetHandle) -> FOUND
[SUSP PATH] HKUS\.DEFAULT[...]\Run : SNJQ66R8MU (C:\windows\TEMP\Hlr.exe) -> FOUND
[BLACKLIST DLL] HKUS\S-1-5-21-922052643-1355534777-890176683-1004[...]\Run : Mtebamal (rundll32.exe "C:\Users\simoncastagna\AppData\Local\mdmfalt.dll",Startup) -> FOUND
[BLACKLIST DLL] HKUS\S-1-5-18[...]\Run : Metropolis (rundll32.exe C:\windows\system32\sshnas21.dll,GetHandle) -> FOUND
[SUSP PATH] HKUS\S-1-5-18[...]\Run : SNJQ66R8MU (C:\windows\TEMP\Hlr.exe) -> FOUND
[SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\windows\temp\hls.exe -> FOUND
[SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\temp\hlq.exe -> FOUND
[SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\windows\temp\hlr.exe -> FOUND
[SUSP PATH] Notification de cadeaux MSN.lnk : C:\Users\simoncastagna\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe -> FOUND

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
[...]

Termine : << RKreport[1].txt >>
RKreport[1].txt

Rapport 2:

Citation

RogueKiller V5.1.6 [21/05/2011] par Tigzy
contact sur Forum Sciences / Forum Informatique - Sur la Toile (SLT)
mail: tigzyRK<at>gmail<dot>com
Remontees: [RogueKiller] Remontées (1/23)

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: simoncastagna [Droits d'admin]
Mode: Suppression -- Date : 26/05/2011 15:33:08

Processus malicieux: 0

Entrees de registre: 7
[BLACKLIST DLL] HKCU\[...]\Run : Mtebamal (rundll32.exe "C:\Users\simoncastagna\AppData\Local\mdmfalt.dll",Startup) -> DELETED
[BLACKLIST DLL] HKUS\.DEFAULT[...]\Run : Metropolis (rundll32.exe C:\windows\system32\sshnas21.dll,GetHandle) -> DELETED
[SUSP PATH] HKUS\.DEFAULT[...]\Run : SNJQ66R8MU (C:\windows\TEMP\Hlr.exe) -> DELETED
[SUSP PATH] {BBAEAEAF-1275-40e2-BD6C-BC8F88BD114A}.job : c:\windows\temp\hls.exe -> DELETED
[SUSP PATH] {810401E2-DDE0-454e-B0E2-AA89C9E5967C}.job : c:\windows\temp\hlq.exe -> DELETED
[SUSP PATH] {22116563-108C-42c0-A7CE-60161B75E508}.job : c:\windows\temp\hlr.exe -> DELETED
[SUSP PATH] Notification de cadeaux MSN.lnk : C:\Users\simoncastagna\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe -> DELETED

Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1001namen.com
127.0.0.1 1001namen.com
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
[...]

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Rapport 3:

Citation

Rapport 4:

Citation

Rapport 5:

Citation

Rapport 6:

Citation

Et voilà le rapport MBAM:

Citation

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6684

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

26/05/2011 18:28:19
mbam-log-2011-05-26 (18-28-19).txt

Type d'examen: Examen complet (C:\|D:\|F:\|)
Elément(s) analysé(s): 381262
Temps écoulé: 2 heure(s), 21 minute(s), 36 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 11

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\idgbn5xehg (Malware.Trace) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{E3EE6235-CD54-4268-19E5-F325D0B6B717} (Trojan.ZbotR.Gen) -> Value: {E3EE6235-CD54-4268-19E5-F325D0B6B717} -> Delete on reboot.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\newdnswatch (Trojan.SpyEyes) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\programdata\47177464.exe (Rogue.WindowsRecoveryConsole) -> Quarantined and deleted successfully.
c:\Users\simoncastagna\AppData\Local\Temp\tmp858F.tmp (Trojan.FakeMS.Gen) -> Quarantined and deleted successfully.
c:\Users\simoncastagna\downloads\plugin-vlc-win32.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\captura.bmp (Malware.Traces) -> Quarantined and deleted successfully.
c:\codigo1.bmp (Malware.Traces) -> Quarantined and deleted successfully.
c:\codigo2.bmp (Malware.Traces) -> Quarantined and deleted successfully.
c:\codigo3.bmp (Malware.Traces) -> Quarantined and deleted successfully.
c:\codigo4.bmp (Malware.Traces) -> Quarantined and deleted successfully.
c:\error.bmp (Malware.Traces) -> Quarantined and deleted successfully.
c:\newdnswatch\config.bin (Trojan.SpyEyes) -> Quarantined and deleted successfully.
c:\Users\simoncastagna\AppData\Roaming\Afgiq\poyxu.exe (Trojan.ZbotR.Gen) -> Quarantined and deleted successfully.

Merci encore!! :love:

Ce message a été modifié par lionel.d397 - 26 mai 2011 - 11:18 .

Retour en haut of the page up there ^

#4 lionel.d397

Member

Groupe : Membres
Messages : 21
Inscrit(e) : 25-mai 11

Posté 30 mai 2011 - 01:47

Hello

Il y a une suite à la procédure je suppose?

Le PC n'a pas l'air désinfecté. Par exemple, quand je l'éteins, il se rallume et je suis obligé de l'éteindre une 2e fois...

Retour en haut of the page up there ^

#5 jeanmimigab

Extrem Member

Groupe : Equipe Sécurité
Messages : 765
Inscrit(e) : 21-janvier 10

Posté 31 mai 2011 - 04:13

Bonjour Lionel,

Pear a un petit souci et ne peux intervenir sur le forum en ce moment, en attendant je vais t'assister...

Le rogue "WindowsRecovery" qui t'a infecté a la mauvaise idée de faire planter un PC sur trois en fin de désinfection.

Donc avant de continuer fais une sauvegarde de tous ce qui est important sur un support externe (Disque dure/ DVD etc...)
Ensuite dis moi si en cas de problème tu as de quoi Réparer/restaurer le PC (DVD de Windows ou DVD de restauration)

ensuite je te donne la suite de la procédure

Notre ami...

私の友人に勇気

Retour en haut of the page up there ^

#6 lionel.d397

Member

Groupe : Membres
Messages : 21
Inscrit(e) : 25-mai 11

Posté 31 mai 2011 - 10:39

Bonsoir

Je pensais bien qu'il y avait un souci; j'espère que ce n'est pas un souci de santé et que ce n'est pas grave

J'ai sauvegardé mes données les plus importantes (pas toutes, mais les plus sensibles). Hélas, je n'ai pas de DVD de restauration. Et mon DVD de Windows, je ne le trouve plus, j'ai passé une heure à le chercher; je pense qu'il est chez mon frère; peut-être vaut-il mieux que j'attende de l'avoir pour continuer??

Merci à toi en tout cas

Retour en haut of the page up there ^

#7 jeanmimigab

Extrem Member

Groupe : Equipe Sécurité
Messages : 765
Inscrit(e) : 21-janvier 10

Posté 01 juin 2011 - 05:07

Salut,

* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "rapport minimal " soit cochée.

* Coches les case situées devant "Tous les utilisateurs", " Recherche LOP" et "Recherche Purity".

* Copier et colle le contenue de cette citation dans la partie inférieure d'OTL "personnalisation"

Citation

%temp%\1\*. /s
%temp%\2\*. /s
%temp%\4\*. /s
%temp%\1\*.* /s
%temp%\2\*.* /s
%temp%\4\*.* /s
nslookup www.google.fr /c
SAVEMBR:0
NetSvcs
%systemroot%\system32\drivers\*.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
dwm.exe
taskhost.exe
taskeng.exe
wscntfy.exe
ctfmon.exe
rdpclip.exe
volsnap.sys
sptd.sys
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
tcpip.sys
Sfloppy.sys
Changer.sys
cdrom.sys
disk.sys
ndis.sys
usbscan.sys
usbprint.sys
tdtcp.sys
tdpipe.sys
swmidi.sys
splitter.sys
rdpwd.sys
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
RASACD.SYS
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( réduit dans la barre des taches).
* Copie et colle les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL

@++

Notre ami...

私の友人に勇気

Retour en haut of the page up there ^

#8 lionel.d397

Member

Groupe : Membres
Messages : 21
Inscrit(e) : 25-mai 11

Posté 03 juin 2011 - 01:19

Bonjour jeanmimigab

Juste pour te dire que j'attends demain soir d'avoir un autre DD externe pour sauvegarder toutes mes données, ainsi que tous mes CDs, qui sont chez mon frangin

J'espère que ça ne te dérange pas

Dès que j'ai tout ça, je continue la procédure et je poste les rapports ici

Là j'écris d'un autre PC car le mien plante de plus en plus, je te mettrai tout demain dans la réponse

Merci encore de ton aide

Retour en haut of the page up there ^

#9 jeanmimigab

Extrem Member

Groupe : Equipe Sécurité
Messages : 765
Inscrit(e) : 21-janvier 10

Posté 03 juin 2011 - 02:36

hello,

Pas de soucis, prend ton temps

Notre ami...

私の友人に勇気

Retour en haut of the page up there ^

#10 lionel.d397

Member

Groupe : Membres
Messages : 21
Inscrit(e) : 25-mai 11

Posté 05 juin 2011 - 05:19

Bonjour jeanmimigab

Alors voilà où en sont les choses

Ca s'est agravé. Je n'arrive plus à démarrer l'ordinateur.

J'ai le choix entre "démarrer Windows normalement" et "démarrer en utilisant l'outil de redémarrage système" (1)

-Quand je choisis "démarrer Windows normalement", l'ordi se met en marche, puis revient au choix précédent (1)

-Quand je choisis "démarrer en utilisant l'outil de redémarrage système", ça finit par me lancer "HP Recovery Manager" qui me propose de restaurer les paramètres d'origine, donc en effaçant mes données (!!!)

-Même si je choisis le "Mode sans échec", je reviens inlassablement au choix (1)

Je n'arrive donc ni à démarrer le PC, encore moins à sauvegarder mes données

PS: je t'écris d'un autre PC, mais j'ai les 2 PCs côte à côte et je peux mettre ma connexion internet sur l'un ou sur l'autre...

Merci

Ce message a été modifié par lionel.d397 - 05 juin 2011 - 05:19 .

Retour en haut of the page up there ^

(4 Pages)
1
2
3
→
Dernière »

Vous ne pouvez pas commencer un sujet
Vous ne pouvez pas répondre à ce sujet

Similar Topics
Sujet	Commencé par	Statistiques	Infos sur le dernier message
ecran noir après démarrage windows 7	ReeLaX_FranK	1 réponses 13 vues	Aujourd'hui, 14:19 Par : Tonton
Drivers Windows 7	hanech57	5 réponses 100 vues	Hier, 07:00 Par : Tonton
Windows 7 ne répond plus !	Donlarbe	7 réponses 86 vues	Hier, 17:16 Par : Tonton
Fenêtre Recherche dans Windows XP 1 2	Shadowlady	18 réponses 635 vues	12 mai 2012 - 04:53 Par : Tonton
Anomalies au démarrage de Windows XP 1 2 3	pyramides	26 réponses 1329 vues	01 mai 2012 - 09:00 Par : Tonton
Analyse ZHPDiag - problème démarrage Vista Suite éradication virus, problème démarrage	caledonous	8 réponses 260 vues	20 mai 2012 - 08:44 Par : caledonous
Windows ne se lance plus 1 2	ivy	12 réponses 271 vues	23 mai 2012 - 05:43 Par : Zonk
Windows XP redémarre en boucle 1 2 3 7 →	oggy&lescafards	67 réponses 1568 vues	08 mai 2012 - 04:03 Par : tomtom95
Windows redémarre again & again Mais il démarre en mode sans échec	Stere	0 réponses 97 vues	24 mai 2012 - 03:13 Par : Stere
Problème de démarrage de Windows 1 2 Quelques jours après l'installation de SP3	capucine	12 réponses 351 vues	22 mai 2012 - 12:24 Par : capucine