Aide
Bonjour,
Je n'ai plus accès à mon ordinateur sauf en mode sans échec. Il semblerait que bagle soit à l'origine de ce désagrément. Il bloque avast et je ne peux plus rien faire.
J'ai essayé beaucoup de chose début juillet.
Je viens vers vous pour essayer de m'en sortir
Merci d'avance
pc infecté par "bagle"
Noter :
#1
tropdevirus 
- Member
-
- Groupe : Membres
- Messages : 34
- Inscrit(e) : 09-août 10
Posté 09 août 2010 - 10:26
#2
pear
- Devil Member !
-
- Groupe : Equipe Sécurité
- Messages : 16495
- Inscrit(e) : 22-mars 05
Posté 09 août 2010 - 10:42
Bonjour,
Télécharger FindyKill sur le bureau
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.
Si, donc, vous avez une version antérieure, désinstallez la.
Connecter tous les disques amovibles (disque dur externe, clé USB…).
Lancer l'installation avec les Paramètres par défaut
Exécuter en tant qu'administrateur
Sous Vista, Désactiver l'UAC
Pour désactiver l'UAC, ouvrez le panneau de configuration puis cliquez en haut à droite sur Comptes d'utilisateurs
Dans Comptes d'utilisateurs, cliquez sur la dernière option Activer ou désactiver le contrôle des comptes d'utilisateurs
Décochez l'option, Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger le système
Une popup s'ouvre alors pour vous demander de redémarrer l'ordinateur, cliquez alors sur Redémarrer maintenant
Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Vous devez désactiver vos protections et ne savez pas comment faire
Sur PCA,En Français
Cela est absolument nécessaire au succès de la procédure.
Bien évidemment, vous les rétablirez ensuite.
Double cliquer sur le raccourci présent sur le bureau
Tapez : F et touche [Entrée] pour avoir le programme en français
Au menu principal,choisir l'option 1 (Recherche)
le rapport C:\FindyKill.txt sera généré.
Télécharger FindyKill sur le bureau
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous allez charger sera obsolète dans quelques jours.
Si, donc, vous avez une version antérieure, désinstallez la.
Connecter tous les disques amovibles (disque dur externe, clé USB…).
Lancer l'installation avec les Paramètres par défaut
Exécuter en tant qu'administrateur
Sous Vista, Désactiver l'UAC
Pour désactiver l'UAC, ouvrez le panneau de configuration puis cliquez en haut à droite sur Comptes d'utilisateurs
Dans Comptes d'utilisateurs, cliquez sur la dernière option Activer ou désactiver le contrôle des comptes d'utilisateurs
Décochez l'option, Utiliser le contrôle des comptes d'utilisateurs pour vous aider à protéger le système
Une popup s'ouvre alors pour vous demander de redémarrer l'ordinateur, cliquez alors sur Redémarrer maintenant
Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Vous devez désactiver vos protections et ne savez pas comment faire
Sur PCA,En Français
Cela est absolument nécessaire au succès de la procédure.
Bien évidemment, vous les rétablirez ensuite.
Double cliquer sur le raccourci présent sur le bureau
Tapez : F et touche [Entrée] pour avoir le programme en français
Au menu principal,choisir l'option 1 (Recherche)
le rapport C:\FindyKill.txt sera généré.
Si ce que tu as à dire ne vaut pas mieux que le silence, tais-toi (Confucius)
#3
tropdevirus
- Member
-
- Groupe : Membres
- Messages : 34
- Inscrit(e) : 09-août 10
Posté 09 août 2010 - 11:38
Bonjour pear,
Merci de me prendre en charge.
Le rapport de FindyKill :
############################## | FindyKill V5.045 |
# User : bruno (Administrateurs) # GUYON-SERVEUR
# Update on 23/06/2010 by El Desaparecido
# Start at: 12:29:14 | 09/08/2010
# Website : Bienvenue dans nos Pages Persos
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon™ XP 2200+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : avast! Antivirus 5.0.83886674 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 39,06 Go (19,49 Go free) [logiciel] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 75,98 Go (21,88 Go free) [document] # NTFS
# G:\ # Disque fixe local # 39,06 Go (6,44 Go free) [transfert] # NTFS
# H:\ # Disque fixe local # 58,59 Go (28,32 Go free) [attente] # NTFS
# I:\ # Disque fixe local # 308,59 Go (2,85 Go free) [multimédia] # NTFS
# J:\ # Disque fixe local # 59,51 Go (39,82 Go free) [WoW] # NTFS
# K:\ # Disque amovible # 983,72 Mo (295,75 Mo free) [UDISK 2.0] # FAT
# L:\ # Disque amovible # 243,73 Mo (80,22 Mo free) [STORE'N'GO] # FAT
# M:\ # Disque amovible # 3,85 Go (1,4 Go free) [KINGSTON] # FAT32
################## | Eléments infectieux |
K:\autorun.inf
L:\autorun.inf
C:\Documents and Settings\nathalie\Application Data\drivers
C:\Documents and Settings\nathalie\Local Settings\Temporary Internet Files\Content.IE5\PHRABLME\mxd[1].jpg.XXX
################## | Registre |
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s1a]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_111111s1ro1s1a]
[HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_111111s1ro1s1a]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S]
[HKCU\Software\MuleAppData]
[HKCR\ed2k]
[HKCU\Software\Classes\ed2k]
[HKU\S-1-5-21-436374069-839522115-954134952-1003\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-436374069-839522115-954134952-1003\Software\Local AppWizard-Generated Applications\key_generator]
[HKU\S-1-5-21-436374069-839522115-954134952-1003\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.045 ! |
Merci de me prendre en charge.
Le rapport de FindyKill :
############################## | FindyKill V5.045 |
# User : bruno (Administrateurs) # GUYON-SERVEUR
# Update on 23/06/2010 by El Desaparecido
# Start at: 12:29:14 | 09/08/2010
# Website : Bienvenue dans nos Pages Persos
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon™ XP 2200+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Disabled
# AV : avast! Antivirus 5.0.83886674 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 39,06 Go (19,49 Go free) [logiciel] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 75,98 Go (21,88 Go free) [document] # NTFS
# G:\ # Disque fixe local # 39,06 Go (6,44 Go free) [transfert] # NTFS
# H:\ # Disque fixe local # 58,59 Go (28,32 Go free) [attente] # NTFS
# I:\ # Disque fixe local # 308,59 Go (2,85 Go free) [multimédia] # NTFS
# J:\ # Disque fixe local # 59,51 Go (39,82 Go free) [WoW] # NTFS
# K:\ # Disque amovible # 983,72 Mo (295,75 Mo free) [UDISK 2.0] # FAT
# L:\ # Disque amovible # 243,73 Mo (80,22 Mo free) [STORE'N'GO] # FAT
# M:\ # Disque amovible # 3,85 Go (1,4 Go free) [KINGSTON] # FAT32
################## | Eléments infectieux |
K:\autorun.inf
L:\autorun.inf
C:\Documents and Settings\nathalie\Application Data\drivers
C:\Documents and Settings\nathalie\Local Settings\Temporary Internet Files\Content.IE5\PHRABLME\mxd[1].jpg.XXX
################## | Registre |
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_111111s1ro1s1a]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_111111s1ro1s1a]
[HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_111111s1ro1s1a]
[HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet002\Enum\Root\LEGACY_SK9OU0S]
[HKLM\SYSTEM\ControlSet004\Enum\Root\LEGACY_SK9OU0S]
[HKCU\Software\MuleAppData]
[HKCR\ed2k]
[HKCU\Software\Classes\ed2k]
[HKU\S-1-5-21-436374069-839522115-954134952-1003\Software\MuleAppData]
[HKCU\Software\Local AppWizard-Generated Applications\key_generator]
[HKCU\Software\Local AppWizard-Generated Applications\winupgro]
[HKU\S-1-5-21-436374069-839522115-954134952-1003\Software\Local AppWizard-Generated Applications\key_generator]
[HKU\S-1-5-21-436374069-839522115-954134952-1003\Software\Local AppWizard-Generated Applications\winupgro]
################## | Etat |
# Affichage des fichiers cachés : OK
# Mode sans echec : OK
# (!) Ndisuio -> Start = 4 ( Good = 3 | Bad = 4 )
# (!) Ip6Fw -> Start = 4 ( Good = 2 | Bad = 4 )
# SharedAccess -> Start = 2 ( Good = 2 | Bad = 4 )
# wuauserv -> Start = 2 ( Good = 2 | Bad = 4 )
# wscsvc -> Start = 2 ( Good = 2 | Bad = 4 )
################## | ! Fin du rapport # FindyKill V5.045 ! |
#4
pear
- Devil Member !
-
- Groupe : Equipe Sécurité
- Messages : 16495
- Inscrit(e) : 22-mars 05
Posté 09 août 2010 - 12:41
Relancez Findykill
Ensuite le Nettoyage
Double cliquer sur le raccourci présent sur le bureau
Au menu principal,choisir l'option 2 (Suppression)
il y aura 2 redémarrages du PC
avec Suppression des fichiers découverts et des clés de régistre infectées
Restauration du Mode sans échec et de certaines valeurs du régistre
Réparation de l'affichage des fichiers cachés
Relance des services
Laissez travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !"
Lisez attentivement le rapport C:\FindyKill.txt qui vous indiquera les logiciels à réparer
Ensuite postez le .
[ Option 4 ( Désinstal ) XP ]
• Double clic sur le raccourci FindyKill présent sur lebureau
• Au menu principal choisir l'option " F " pour français et taper sur [entrée] .
• Au second menu Choisir l'option " 4 " (Désinstaller) et taper sur [entrée]
Ensuite le Nettoyage
Double cliquer sur le raccourci présent sur le bureau
Au menu principal,choisir l'option 2 (Suppression)
il y aura 2 redémarrages du PC
avec Suppression des fichiers découverts et des clés de régistre infectées
Restauration du Mode sans échec et de certaines valeurs du régistre
Réparation de l'affichage des fichiers cachés
Relance des services
Laissez travailler l'outil jusqu'à l'apparition du message "Nettoyage effectué !"
Lisez attentivement le rapport C:\FindyKill.txt qui vous indiquera les logiciels à réparer
Ensuite postez le .
[ Option 4 ( Désinstal ) XP ]
• Double clic sur le raccourci FindyKill présent sur lebureau
• Au menu principal choisir l'option " F " pour français et taper sur [entrée] .
• Au second menu Choisir l'option " 4 " (Désinstaller) et taper sur [entrée]
Si ce que tu as à dire ne vaut pas mieux que le silence, tais-toi (Confucius)
#5
tropdevirus
- Member
-
- Groupe : Membres
- Messages : 34
- Inscrit(e) : 09-août 10
Posté 09 août 2010 - 03:57
Re,
XP a démarré correctement j'ai accès à Internet sur une session utilisateur.
Le rapport de FindyKill :
############################## | FindyKill V5.045 |
# User : bruno (Administrateurs) # GUYON-SERVEUR
# Update on 23/06/2010 by El Desaparecido
# Start at: 14:29:19 | 09/08/2010
# Website : Bienvenue dans nos Pages Persos
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon™ XP 2200+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83886674 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 39,06 Go (19,4 Go free) [logiciel] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 75,98 Go (21,88 Go free) [document] # NTFS
# G:\ # Disque fixe local # 39,06 Go (6,44 Go free) [transfert] # NTFS
# H:\ # Disque fixe local # 58,59 Go (28,32 Go free) [attente] # NTFS
# I:\ # Disque fixe local # 308,59 Go (2,85 Go free) [multimédia] # NTFS
# J:\ # Disque fixe local # 59,51 Go (39,82 Go free) [WoW] # NTFS
# K:\ # Disque amovible # 983,72 Mo (295,75 Mo free) [UDISK 2.0] # FAT
# L:\ # Disque amovible # 243,73 Mo (80,22 Mo free) [STORE'N'GO] # FAT
# M:\ # Disque amovible # 3,85 Go (1,4 Go free) [KINGSTON] # FAT32
################## | Eléments infectieux |
Supprimé ! K:\autorun.inf
Supprimé ! L:\autorun.inf
Supprimé ! C:\WINDOWS\prefetch\WINUPGRO.EXE-28701271.pf
Supprimé ! C:\Documents and Settings\nathalie\Application Data\drivers
Supprimé ! C:\Documents and Settings\nathalie\Local Settings\Temporary Internet Files\Content.IE5\PHRABLME\mxd[1].jpg.XXX
################## | MD5 ... |
################## | CRC32 ... |
J'attends les éventuelles manip restantes à faire.
Merci.
Edit :Avast n'a pas démarré
XP a démarré correctement j'ai accès à Internet sur une session utilisateur.
Le rapport de FindyKill :
############################## | FindyKill V5.045 |
# User : bruno (Administrateurs) # GUYON-SERVEUR
# Update on 23/06/2010 by El Desaparecido
# Start at: 14:29:19 | 09/08/2010
# Website : Bienvenue dans nos Pages Persos
# Contact : FindyKill.Contact@gmail.com
# AMD Athlon™ XP 2200+
# Microsoft Windows XP Professionnel (5.1.2600 32-bit) # Service Pack 2
# Internet Explorer 6.0.2900.2180
# Windows Firewall Status : Enabled
# AV : avast! Antivirus 5.0.83886674 [ Enabled | Updated ]
# A:\ # Lecteur de disquettes 3 ½ pouces
# C:\ # Disque fixe local # 39,06 Go (19,4 Go free) [logiciel] # NTFS
# D:\ # Disque CD-ROM
# E:\ # Disque CD-ROM
# F:\ # Disque fixe local # 75,98 Go (21,88 Go free) [document] # NTFS
# G:\ # Disque fixe local # 39,06 Go (6,44 Go free) [transfert] # NTFS
# H:\ # Disque fixe local # 58,59 Go (28,32 Go free) [attente] # NTFS
# I:\ # Disque fixe local # 308,59 Go (2,85 Go free) [multimédia] # NTFS
# J:\ # Disque fixe local # 59,51 Go (39,82 Go free) [WoW] # NTFS
# K:\ # Disque amovible # 983,72 Mo (295,75 Mo free) [UDISK 2.0] # FAT
# L:\ # Disque amovible # 243,73 Mo (80,22 Mo free) [STORE'N'GO] # FAT
# M:\ # Disque amovible # 3,85 Go (1,4 Go free) [KINGSTON] # FAT32
################## | Eléments infectieux |
Supprimé ! K:\autorun.inf
Supprimé ! L:\autorun.inf
Supprimé ! C:\WINDOWS\prefetch\WINUPGRO.EXE-28701271.pf
Supprimé ! C:\Documents and Settings\nathalie\Application Data\drivers
Supprimé ! C:\Documents and Settings\nathalie\Local Settings\Temporary Internet Files\Content.IE5\PHRABLME\mxd[1].jpg.XXX
################## | MD5 ... |
################## | CRC32 ... |
J'attends les éventuelles manip restantes à faire.
Merci.
Edit :Avast n'a pas démarré
Ce message a été modifié par tropdevirus - 09 août 2010 - 04:02 .
#6
pear
- Devil Member !
-
- Groupe : Equipe Sécurité
- Messages : 16495
- Inscrit(e) : 22-mars 05
Posté 09 août 2010 - 04:47
Vous allez télécharger Combofix.
Ce logiciel est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.
Télécharger combofix.exe de sUBs
et sauvegardez le sur le bureau
La console de Récupération
Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.
Certaines infections comme braviax empêcheront son installation.
La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).
Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage
C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.
Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,
D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée
C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .
Les utilisateurs de Windows Vista peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)
Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.
Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:
cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:
Ne modifiez pas le nom du fichier
Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2
Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe
Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
Après installation,vous devriez voir ce message:
The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:
Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Pour cela:
Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections
Cela est absolument nécessaire au succès de la procédure.
Bien évidemment, vous les rétablirez ensuite.
Vous avez téléchargé Combofix.
Double cliquer sur combofix.exe pour le lancer.
Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!
Pour lancer le scan
Connecter tous les disques amovibles (disque dur externe, clé USB…).
Taper sur la touche 1 pour démarrer le scan.
Si pour une raison quelconque, combofix ne se lançait pas,
Sous Vista, désactivez l'UAC
Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix
Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec
Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.
Le scan pourrait prendre un certain temps, il y a 50 procédures successives:
Patientez au moins 30 minutes pendant l'analyse.
Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.
A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.
Si le rapport est trop long, postez le en deux fois.
Il se trouve à c:\combofix.txt
Si ce que tu as à dire ne vaut pas mieux que le silence, tais-toi (Confucius)
#7
tropdevirus
- Member
-
- Groupe : Membres
- Messages : 34
- Inscrit(e) : 09-août 10
Posté 09 août 2010 - 09:24
Re,
1er souci, Avast est toujours présent dans la zone de notification malgré la désactivation dans msconfig ou par l'arrêt des processus en cliquant droit sur l'icône de la zone de notification.
Windows le considère toujours actif.
2eme souci, Combofix se lance (fenêtre avec barre de progression verte) mais rien de se passe.
Que dois-je faire ?
1er souci, Avast est toujours présent dans la zone de notification malgré la désactivation dans msconfig ou par l'arrêt des processus en cliquant droit sur l'icône de la zone de notification.
Windows le considère toujours actif.
2eme souci, Combofix se lance (fenêtre avec barre de progression verte) mais rien de se passe.
Que dois-je faire ?
#8
tropdevirus
- Member
-
- Groupe : Membres
- Messages : 34
- Inscrit(e) : 09-août 10
Posté 10 août 2010 - 10:22
Bonsoir pear,
Combofix a fini par s'exécuter, mais il a "planté".
Je n'ai plus accès à rien après redémarrage du PC :
Une fois le PC redémarré, le bureau semble normal, mais je n'ai plus accès au poste de travail et je ne peux arrêter la machine qu'en appuyant de façon prolongé sur le bouton de mise en marche. Je n'ai plus accès à Internet.
Que faire ?
Formatage ?
Récupération des fichiers de données avec un live CD Linux ?
J'attends vos conseils avec impatience.
je serai présent demain toute la journée devant la machine de secours.
Cordialement.
tropdevirus
Combofix a fini par s'exécuter, mais il a "planté".
Je n'ai plus accès à rien après redémarrage du PC :
Une fois le PC redémarré, le bureau semble normal, mais je n'ai plus accès au poste de travail et je ne peux arrêter la machine qu'en appuyant de façon prolongé sur le bouton de mise en marche. Je n'ai plus accès à Internet.
Que faire ?
Formatage ?
Récupération des fichiers de données avec un live CD Linux ?
J'attends vos conseils avec impatience.
je serai présent demain toute la journée devant la machine de secours.
Cordialement.
tropdevirus
#9
pear
- Devil Member !
-
- Groupe : Equipe Sécurité
- Messages : 16495
- Inscrit(e) : 22-mars 05
Posté 11 août 2010 - 12:11
Bonjour,
Désolé pour cette réponse tardive.Il y avait une panne sur le site.
Avant tout, il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)
Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)
Voir ici (en français): .
Télécharger OTLPEStd.exe
Ou à partir de ce lien
sur le Bureau
Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.
Lancez le fichier OTLPEStd.exe ;
Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.
Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.
Si tout va bien, la machine démarrera sur l'environnement OTLPE
Double-click sur l'icone OTLPE
A la demande "Do you wish to load the remote registry"->choisir Yes
et "Do you wish to load remote user profile(s) for scanning"->choisir Yes
vérifier que "Automatically Load All Remaining Users" est sélectionné et presser OK
L' écran d'OTLPE s'affiche:
Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.
sous Custom Scan/Fixes copier_coller le contenu ci dessous ,en vert :
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
taskmgr.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT
clic Run Scan .
le scan terminé , le fichier se trouve là C:\OTL.txt
Comment poster les rapports
Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.
Autre solution:
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Ensuite appuyez sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.
Désolé pour cette réponse tardive.Il y avait une panne sur le site.
Avant tout, il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)
Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)
Voir ici (en français): .
Télécharger OTLPEStd.exe
Ou à partir de ce lien
sur le Bureau
Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.
Lancez le fichier OTLPEStd.exe ;
Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.
Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.
Si tout va bien, la machine démarrera sur l'environnement OTLPE
Double-click sur l'icone OTLPE
A la demande "Do you wish to load the remote registry"->choisir Yes
et "Do you wish to load remote user profile(s) for scanning"->choisir Yes
vérifier que "Automatically Load All Remaining Users" est sélectionné et presser OK
L' écran d'OTLPE s'affiche:
Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.
sous Custom Scan/Fixes copier_coller le contenu ci dessous ,en vert :
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
taskmgr.exe
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT
clic Run Scan .
le scan terminé , le fichier se trouve là C:\OTL.txt
Comment poster les rapports
Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.
Autre solution:
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Ensuite appuyez sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.
Si ce que tu as à dire ne vaut pas mieux que le silence, tais-toi (Confucius)
#10
tropdevirus
- Member
-
- Groupe : Membres
- Messages : 34
- Inscrit(e) : 09-août 10
Posté 11 août 2010 - 03:36
Bonjour Pear
J'ai pu scanner mon disque avec OTL PE dont voici le lien :
© CJoint.com, 2008
Par contre, je n'ai pas pu l'envoyer à partir de la session ouverte avec le dvd de boot (la connexion internet ne fonctionnait pas)
Merci pour la continuité des opérations a envisager
cordialement
tropdevirus
edit: orthographe
J'ai pu scanner mon disque avec OTL PE dont voici le lien :
© CJoint.com, 2008
Par contre, je n'ai pas pu l'envoyer à partir de la session ouverte avec le dvd de boot (la connexion internet ne fonctionnait pas)
Merci pour la continuité des opérations a envisager
cordialement
tropdevirus
edit: orthographe
Ce message a été modifié par tropdevirus - 11 août 2010 - 03:37 .
