Google redirect prêt pour ComboFix

[flhmd]

Bonjour,

 

Je suis au prise avec un virus de redirection Google. J'ai tout essayé sans succès ESET, Malwarebytes, SuperAntiSpyware, Spybot, CCleaner, tdskiller.

 

Je suis prêt à tenter ComboFix mais j'aurais besoin d'un guide.

 

Quelques détails:

J'utilise Windows 7 / 64

Mon antivirus est AVAST et il me donne constamment une alerte pour un bloquage de site malveillant (64.111.211.170)

URL:MAL

Il semble que IE soit lancé en cachette je le vois apparaitre dans mon Gestionnaire de tâche même s'il n'est pas visible sur le bureau.

Je l'ai stoppé avec le gestionnaire de tâche mais il réapparait après une ou 2 minutes (toujours en background).

 

Toute aide de quelqu'un s'y connaissant bien serait appréciée.

 

François

[pear]

Bonsoir,

 

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman

Décompresser le fichier ZHPDiag.fix sur le bureau

puis double-cliquer sur le fichier ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

 

Sous XP, double clic sur ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Clic sur la Loupe pour lancer le scan

En cas de blocage sur O80, cliquez sur le tournevis pour le décocher

Postez en le rapport ZhpDiag.txt qui apparait sur le bureau

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution:

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

[flhmd]

Salut pear,

 

C'est fait: Lien CJoint.com AHktwCbmT3r

 

Merci d'avance pour ton aide

[pear]

Bonsoir,

 

 

Spybot, totalement obsolète va être désinstallé.Vous pourrez utiliser Mbam pour le remplacer.

Auparavant, vous devez faire ceci, avant de lancer Zhpfix:

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Sous Vista, exécuter avec privilèges Administrateur

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

C:\ProgramData\Spybot - Search & Destroy\Snapshots

 

Cliquer sur l'icône Zhpfix qui est sur votre bureau

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

 

O1 - Hosts: 172.21.52.234 FXTS.wm.cginet => Infection Hosts (Hosts.Redirection)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] => Infection BT (Spyware.BHO)

C:\Users\Francois\AppData\Roaming\Adobe\plugs => Infection FakeAlert (Trojan.FakeAlert)

C:\Users\Francois\AppData\Roaming\Adobe\shed => Infection FakeAlert (Trojan.FakeAlert)

O4 - HKCU\..\Run: [spybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe => Safer Net Working®Spybot S&D

O4 - HKUS\S-1-5-21-1091086278-932031097-2343610859-1000\..\Run: [spybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe => Safer Net Working®Spybot S&D

O4 - Global Startup: C:\Users\Francois\Desktop\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.) -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe => Safer Net Working®Spybot S&D

O4 - Global Startup: C:\Users\Francois\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.) -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe => Safer Net Working®Spybot S&D

O23 - Service: SBSD Security Center Service (SBSDWSCService) . (.Safer Networking Ltd. - Spybot-S&D Security Center integration.) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe => Spybot®Search & Destroy

[MD5.00000000000000000000000000000000] [APT] [{02C4D354-1CE6-4D68-AFB3-B2A0B6D86370}] (...) -- D:\_MSSETUP.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{0E42AF5F-6FB2-4F36-9616-303125F0DBF9}] (...) -- D:\_MSTEST.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{34B43949-0C5F-4979-8785-1CE76B81FEBF}] (...) -- D:\_MSTEST.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{3858546B-34F0-4EEB-8924-C80685108520}] (...) -- D:\_MSTEST.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{91450A15-9F74-4297-9FB5-9A5DCB846B03}] (...) -- D:\_MSTEST.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{A0F260CB-E355-43E3-A0D6-53E6FEC736E9}] (...) -- D:\_MSTEST.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{C350452D-402E-42F6-88EF-F0A40D245688}] (...) -- D:\_MSTEST.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{C38CBDC7-E5EC-4316-8061-FC880C819201}] (...) -- D:\_MSSETUP.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{D7D915C0-596A-45E0-8459-AB607780EB19}] (...) -- D:\_MSTEST.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{E7E66D6C-4728-4237-A8DF-9AE7AE457D10}] (...) -- D:\_MSSETUP.exe (.not file.) => Fichier absent

O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 => Safer Networking Limited Spybot - S&D

O43 - CFD: 2/24/2010 - 4:17:26 AM - [1656] ----D- C:\ProgramData\Partner => Game

O43 - CFD: 7/12/2011 - 10:53:38 AM - [196811] ----D- C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy

O43 - CFD: 4/22/2011 - 8:09:46 AM - [0] ----D- C:\Users\Francois\AppData\Local\{1895B8D0-034D-4EF8-8A4A-FB1E6F09FE58} => Empty Folder not necessary

O43 - CFD: 4/13/2011 - 2:09:00 PM - [0] ----D- C:\Users\Francois\AppData\Local\{1B9323A5-2CC6-4CAF-9908-E64B51FBD07F} => Empty Folder not necessary

O43 - CFD: 5/18/2011 - 3:46:44 PM - [0] ----D- C:\Users\Francois\AppData\Local\{5C76491D-3D33-4A5D-B599-6F6B0292273D} => Empty Folder not necessary

O43 - CFD: 7/10/2011 - 10:10:04 PM - [0] ----D- C:\Users\Francois\AppData\Local\{73E3E814-54F5-471A-8B50-EDCE3089C38F} => Empty Folder not necessary

O43 - CFD: 4/23/2011 - 7:43:12 AM - [0] ----D- C:\Users\Francois\AppData\Local\{B00835D8-63B0-4E72-8509-E5B8F5475A59} => Empty Folder not necessary

O43 - CFD: 4/23/2011 - 7:43:48 AM - [0] ----D- C:\Users\Francois\AppData\Local\{C91AE396-8599-42FE-8ED8-C0DA502266BD} => Empty Folder not necessary

O43 - CFD: 7/12/2011 - 2:23:38 AM - [70461882] ----D- C:\Program Files (x86)\Spybot - Search & Destroy => Spybot - Search & Destroy

O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\53847026.sys . (...) -- C:\Windows\system32\Drivers\53847026.sys (.not file.) => Fichier absent

O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\53847026.sys . (...) -- C:\Windows\system32\Drivers\53847026.sys (.not file.) => Fichier absent

SR - | Auto 7/12/2011 1153368 | (SBSDWSCService) . (.Safer Networking Ltd..) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe => Spybot®Search & Destroy

 

 

 

 

 

Cliquez ensuite sur le H-

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .

Acceptez de Redémarrer pour achever le nettoyage.

Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur

Copier-coller le rapport de suppression dans la prochaine réponse.

Modifié le 10 août 2011 par pear

[flhmd]

Bonsoir,

 

ZHPFIX s'arrête avec la barre de progression au 3/4 et le message d'erreur suivant apparait:

 

Violation d'accès à l'adresse 76B5FEB8 dans le module 'KERNELBASE.dll'. Lecture de l'adresse 00140043.

 

J'ai éxécuté Zhpfix en mode administrateur et j'ai même essayé en désactivant mon antivirus (Avast).

 

J'ai aussi désactivé SuperAntiSpyware.

 

En passant, la clé 01-Hosts:172.21.52.234FXTS.wm.cginet est en lien avec un de mes serveurs pour mon travail. Je peux quand même l'enlever, je le réinstallerai plus tard.

[flhmd]

Bonsoir,

 

J'y suis arrivé en scindant les clés en petits groupes.

 

Je copie les rapports ci dessous, tu remarquera que les 2 clés suivantes généraient l'erreur mentionnée précédemment.

A noter que j'ai désinstallé SPYBOT avec son désinstalleur mais je recevais quand même ces messages ???

 

Bien que je n'ai pas reçu la consigne de redémarrer, je l'ai fait quand même.

 

Y a t'il autre chose à faire?

 

Merci,

 

PREMIÈRE PASSE:

 

Rapport de ZHPFix 1.12.3348 par Nicolas Coolman, Update du 10/08/2011

Fichier d'export Registre :

Run by Francois at 2011-08-10 17:48:36

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

 

========== Fichier HOSTS ==========

Le fichier Hosts n'est pas réparé !

 

 

========== Récapitulatif ==========

1 : Fichier HOSTS

 

 

========== Chemin du fichier rapport ==========

C:\ZHP\ZHPFixReport.txt

 

 

 

End of the scan in 00mn 02s

 

J'ai nettoyé à la main les entrées de Spybot

 

DEUXIÈME PASSE:

 

Rapport de ZHPFix 1.12.3348 par Nicolas Coolman, Update du 10/08/2011

Fichier d'export Registre :

Run by Francois at 2011-08-10 17:52:43

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

 

========== Clé(s) du Registre ==========

ABSENT Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}

ABSENT Key: Service: SBSDWSCService

 

========== Valeur(s) du Registre ==========

ABSENT RunValue: SpybotSD TeaTimer

 

========== Fichier(s) ==========

ABSENT Folder/File: c:\users\francois\appdata\roaming\adobe\plugs

ABSENT Folder/File: c:\users\francois\appdata\roaming\adobe\shed

ABSENT File: c:\program files (x86)\spybot - search & destroy\teatimer.exe

ABSENT File: c:\users\francois\desktop\spybot - search & destroy.lnk

ABSENT File: c:\users\francois\appdata\roaming\microsoft\internet explorer\quick launch\spybot - search & destroy.lnk

 

 

========== Récapitulatif ==========

2 : Clé(s) du Registre

1 : Valeur(s) du Registre

5 : Fichier(s)

 

 

========== Chemin du fichier rapport ==========

C:\ZHP\ZHPFixReport.txt

 

 

 

End of the scan in 00mn 00s

 

 

TROISIÈME PASSE:

Rapport de ZHPFix 1.12.3348 par Nicolas Coolman, Update du 10/08/2011

Fichier d'export Registre :

Run by Francois at 2011-08-10 17:55:03

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

 

========== Tache planifiée ==========

ABSENT Task: {02C4D354-1CE6-4D68-AFB3-B2A0B6D86370}

ABSENT Task: {0E42AF5F-6FB2-4F36-9616-303125F0DBF9}

ABSENT Task: {34B43949-0C5F-4979-8785-1CE76B81FEBF}

ABSENT Task: {3858546B-34F0-4EEB-8924-C80685108520}

ABSENT Task: {91450A15-9F74-4297-9FB5-9A5DCB846B03}

ABSENT Task: {A0F260CB-E355-43E3-A0D6-53E6FEC736E9}

ABSENT Task: {C350452D-402E-42F6-88EF-F0A40D245688}

ABSENT Task: {C38CBDC7-E5EC-4316-8061-FC880C819201}

ABSENT Task: {D7D915C0-596A-45E0-8459-AB607780EB19}

ABSENT Task: {E7E66D6C-4728-4237-A8DF-9AE7AE457D10}

 

 

========== Récapitulatif ==========

10 : Tache planifiée

 

 

========== Chemin du fichier rapport ==========

C:\ZHP\ZHPFixReport.txt

 

 

 

End of the scan in 00mn 03s

 

QUATRIÈME PASSE:

Rapport de ZHPFix 1.12.3348 par Nicolas Coolman, Update du 10/08/2011

Fichier d'export Registre :

Run by Francois at 8/10/2011 5:57:31 PM

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

 

========== Logiciel(s) ==========

ABSENT Software Key: {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1

 

 

========== Récapitulatif ==========

1 : Logiciel(s)

 

 

========== Chemin du fichier rapport ==========

C:\ZHP\ZHPFixReport.txt

 

 

 

End of the scan in 00mn AMs

 

CINQUÈME PASSE:

Rapport de ZHPFix 1.12.3348 par Nicolas Coolman, Update du 10/08/2011

Fichier d'export Registre :

Run by Francois at 8/10/2011 6:01:03 PM

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

 

========== Dossier(s) ==========

ABSENT C:\ProgramData\Partner

ABSENT C:\ProgramData\Spybot - Search & Destroy

 

 

========== Récapitulatif ==========

2 : Dossier(s)

 

 

========== Chemin du fichier rapport ==========

C:\ZHP\ZHPFixReport.txt

 

 

 

End of the scan in 00mn AMs

 

SIXIÈME PASSE:

========== Dossier(s) ==========

ABSENT C:\Users\Francois\AppData\Local\{1895B8D0-034D-4EF8-8A4A-FB1E6F09FE58}

 

 

SEPTIÈME PASSE:

========== Dossier(s) ==========

ABSENT C:\Users\Francois\AppData\Local\{1B9323A5-2CC6-4CAF-9908-E64B51FBD07F}

 

HUITIÈME:

========== Dossier(s) ==========

ABSENT C:\Users\Francois\AppData\Local\{5C76491D-3D33-4A5D-B599-6F6B0292273D}

 

NEUVIÈME:

========== Dossier(s) ==========

ABSENT C:\Users\Francois\AppData\Local\{73E3E814-54F5-471A-8B50-EDCE3089C38F}

 

 

DIXIÈME:

******************************************************************************************

Cette clé cause l'erreur:

O43 - CFD: 4/23/2011 - 7:43:12 AM - [0] ----D- C:\Users\Francois\AppData\Local\{B00835D8-63B0-4E72-8509-E5B8F5475A59} => Empty Folder not necessary

 

 

ONZIÈME:

*********************************************************************************************

Cette clé aussi:

O43 - CFD: 7/12/2011 - 2:23:38 AM - [70461882] ----D- C:\Program Files (x86)\Spybot - Search & Destroy => Spybot - Search & Destroy

 

DOUZIÈME et dernière:

Rapport de ZHPFix 1.12.3348 par Nicolas Coolman, Update du 10/08/2011

Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-2011-08-10-18-12-53.txt

Run by Francois at 2011-08-10 18:12:53

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

 

========== Clé(s) du Registre ==========

SUPPRIME O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\53847026.sys . (...) -- C:\Windows\system32\Drivers\53847026.sys (.not file.)

SUPPRIME O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\53847026.sys . (...) -- C:\Windows\system32\Drivers\53847026.sys (.not file.)

ABSENT Key: Service: SBSDWSCService

 

========== Fichier(s) ==========

ABSENT File: c:\windows\system32\drivers\53847026.sys

ABSENT File: c:\program files (x86)\spybot - search & destroy\sdwinsec.exe

 

 

========== Récapitulatif ==========

3 : Clé(s) du Registre

2 : Fichier(s)

 

 

========== Chemin du fichier rapport ==========

C:\ZHP\ZHPFixReport.txt

 

 

 

End of the scan in 00mn 02s

[pear]

Bonjour,

 

Si les redirections persistent:

 

Télécharger aswMBR.exe sur le bureau

Double clic sur l'icône

Puis Scan

 

Le scan fini, cliquer sur "SAVE LOG" et sauvegarder le fichier sur le Bureau,

Copier/Coller le contenu dans la réponse.

 

Un fichier "MBR.dat" apparait sur le Bureau.

Faites clic droit -> Envoyer vers- > "Dossier compressé".

Conserver ce fichier MBR.zip sur clé Usb

 

 

Nettoyage

Relancer aswMBR.exe

Click [scan]

A l'issue du scan

Clic sur [Fix] pour TDL4 (MBRoot)

Clic sur [FixMBR] pour Whistler

[flhmd]

Bonjour Pear

 

J'ai effectué les opération pour TDL4 et mon ordi ne veut plus redémarrer. J'ai sauvegarder le MBR.dat sur une clé USB mais il semblait très petit (1K). J'ai placé plus bas une copie du log.

Il passe en mode réparation du démarrage les détails du problème sont les suivants:

Nom du problème: StartupRepairOffline

Signature du problème 01: 6.1.7600.16385

Signature du problème 02: 6.1.7600.16385

Signature du problème 03: unknow

Signature du problème 04: 187

Signature du problème 05: AutoFailover

Signature du problème 06: 1

Signature du problème 07: MissingOsLoader

Version du système: 6.1.7600.2.0.0.256.1

Identificateur de paramêtres régionaux: 1036

 

 

Si je regarde dans les options avancées j'ai un point de récupération ZHPFix en date d'hier après-midi.

Dois-je l'utiliser?

 

il y a eu plusieurs Windows Update et mon point de restauration le plus ancien date d'après l'infection.

 

J'écris à partir d'un portable, je ne recevrai pas de notification de zebulon.fr.

Je regarderai régulièrement sur le forum pour la réponse.

 

Merci,

 

Copie du log:

 

aswMBR version 0.9.8.978 Copyright© 2011 AVAST Software

Run date: 2011-08-11 08:41:20

-----------------------------

08:41:20.902 OS Version: Windows x64 6.1.7601 Service Pack 1

08:41:20.902 Number of processors: 4 586 0x1E05

08:41:20.902 ComputerName: FRANCOIS-PC UserName: Francois

08:41:23.149 Initialize success

08:41:23.273 AVAST engine defs: 11081100

08:41:34.989 Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IAAStorageDevice-1

08:41:34.989 Disk 0 Vendor: Hitachi_ ST6O Size: 953869MB BusType: 3

08:41:35.005 Disk 0 MBR read successfully

08:41:35.005 Disk 0 MBR scan

08:41:35.020 Disk 0 MBR:Alureon-I [Rtk]

08:41:35.020 Disk 0 TDL4@MBR code has been found

08:41:35.020 Disk 0 Windows 7 default MBR code found via API

08:41:35.020 Disk 0 MBR hidden

08:41:35.020 Disk 0 MBR [TDL4] **ROOTKIT**

08:41:35.036 Disk 0 trace - called modules:

08:41:35.036 ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0xfffffa800898a254]<<

08:41:35.036 1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0xfffffa8008976060]

08:41:35.051 3 CLASSPNP.SYS[fffff88001bd043f] -> nt!IofCallDriver -> \Device\Ide\IAAStorageDevice-1[0xfffffa8007adb050]

08:41:35.051 \Driver\iaStor[0xfffffa8007aae550] -> IRP_MJ_INTERNAL_DEVICE_CONTROL -> 0xfffffa800898a254

08:41:36.346 AVAST engine scan C:\Windows

08:41:38.546 AVAST engine scan C:\Windows\system32

08:42:28.201 AVAST engine scan C:\Windows\system32\drivers

08:42:35.548 AVAST engine scan C:\Users\Francois

08:55:02.992 AVAST engine scan C:\ProgramData

08:56:11.180 Scan finished successfully

09:03:47.575 Disk 0 MBR has been saved successfully to "C:\Users\Francois\Desktop\Documents\Francois\Download\aswMBR\MBR.dat"

09:03:47.575 The log file has been saved successfully to "C:\Users\Francois\Desktop\Documents\Francois\Download\aswMBR\aswMBR.txt"

[pear]

Accéder à la console WinRE par les Options de démarrage avancées[/url]

 

Accéder à la console WinRE par lesOptions de démarrage avancées :

Au démarrage , tapoter les touches F8 (F5 pour certaines marques de PC) ou ALT + F10 ou ALT GR + F10

Dans la fenêtre des Options de démarrage avancées

Sélectionner Réparer l’ordinateur et valider

 

Si cela ne suffisait pas:

Utiliser l'outil Bootrec.exe pour dépanner et résoudre les problèmes de démarrage dans Windows Vista/7:

Dans la fenêtre des Options de démarrage avancées

Sélectionner Invite de commandes et valider

exécuter successivement les commandes suivantes:

bcdedit /export C:\BCD_Backup

C:

cd boot

attrib bcd -s -h -r

ren C:\boot\bcd bcd.old

bootrec /RebuildBcd

 

Redémmarrez.

 

 

 

Ou sinon:

 

Avant tout, il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

 

Si tout va bien, la machine démarrera sur l'environnement OTLPE

Lors du démarrage de OTLPE.exe il sera demandé à l'utilisateur s'il veut charger le Registre distant et il doit choisir Yes/Oui.

Ensuite, il lui sera demandé s'il veut charger les profils utilisateur distants, et il devra de nouveau choisir Yes/Oui.

Enfin, une liste des profils distants trouvés sera affichée, avec l'option par défaut de les charger tous, et l'utilisateur devra une fois encore choisir Yes/Oui.

S'il ne respecte pas cette procédure, il ne verra pas les comptes d'utilisateur distants.

 

Double-click sur l'icone OTLPE

A la demande "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

vérifier que "Automatically Load All Remaining Users" est sélectionné et presser OK

 

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%SYSTEMDRIVE%\*.exe

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

/md5start

AGP440.sys

ahcix86s.sys

alg.exe

atapi.sys

cdrom.sys

cngaudit.dll

csrss.exe

eNetHook.dll

eventlog.dll

explorer.exe

fxssvc.exe

iastorv.sys

IdeChnDr.sys

iesetup.dll

inseng.dll

KR10N.sys

logevent.dll

lsass.exe

locator.exe

mountmgr.sys

msdtc.exe

mshtml.dll

ndis.sys

netlogon.dll

nvatabus.sys

nvata.sys

nvgts.sys

nvstor.sys

nvstor32.sys

pngfilt.dll

rdpclip.exe

SafeBoot.sys

scecli.dll

sceclt.dll

spoolsv.exe

snmptrap.exe

sppsvc.exe

taskhost.exe

taskeng.exe

tcpip.sys

UI0Detect.exe

usbscan.sys

usbprint.sys

userinit.exe

vaxscsi.sys

vds.exe

viamraid.sys

ViPrt.sys

volsnap.sys

vssvc.exe

WatAdminSvc.exe

wbengine.exe

webcheck.dll

wininit.exe

winlogon.exe

WmiApSrv.exe

wmpnetwk.exe

wscntfy.exe

/md5stop

 

CREATERESTOREPOINT

 

Clic sur Analyse (Run Scan)

le scan terminé , le fichier se trouve là C:\OTL.txt

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

ou Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

Pour cela,Cliquer sur Insérer un rapport,en bas de page,à gauche[/url] et cliquer sur Parcourir pour trouver le rapport sur votre bureau

Modifié le 11 août 2011 par pear

[flhmd]

Bonsoir Pear,

 

Je suis de retour sur mon ordi. J'ai du utiliser bootrec /fixmbr et bootrec /fixboot à partir de mon boot DVD.

 

J'avais un problème de driver signature enforcement pour winload.exe après avoir fait le bootrec /RebuildBCD.

 

J'ai fait quelques test dans google search et je ne semble plus être redirigé.

 

Comment m'assurer que l'infection a bien été éradiquée? Y a t'il un scan recommandé?

 

Encore une fois merci pour votre aide,

 

François