Infections trouvées par Antivir

[veuvenoire]

Bonjour à tous, mon Antivir m'a balancé ça à la tronche ce matin après une semaine de vacances, la prochaine fois je laisse que ma cession et je change le mot de passe...

 

Screen

 

 

Que puis-je faire pour virer ces 2 daubes svp ?

 

Merci d'avance.

 

 

[Edit] Voici un rapport ZHP.

 

Rapport

Modifié le 7 avril 2012 par veuvenoire

[pear]

Bonjour,

 

1)Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H-

 

 

O39 - APT:Automatic Planified Task - C:\Windows\Tasks\AutoKMS.job => Infection Diverse (Trojan.Keygen)

O39 - APT:Automatic Planified Task - C:\Windows\Tasks\AutoKMSDaily.job => Infection Diverse (Trojan.Keygen)

[MD5.E529A1BA814AB5AFA5068DB7E487B4BA] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS.exe => Infection Diverse (Trojan.Keygen)

[MD5.E529A1BA814AB5AFA5068DB7E487B4BA] [APT] [AutoKMSDaily] (...) -- C:\Windows\AutoKMS.exe => Infection Diverse (Trojan.Keygen)

[HKLM\Software\Iminent] => Infection PUP (Adware.IMBooster)

O44 - LFC:[MD5.CF7498ADA4AC2F50E5CA72205865D7CE] - 07/04/2012 - 16:17:35 ---A- . (.Pas de propriétaire - Local KMS Host.) -- C:\Windows\KMSEmulator.exe [78848] => Infection Diverse (Trojan.Keygen)

O87 - FAEL: "TCP Query User{92FABEF0-180A-469C-B9A4-CDEC2373CD86}C:\windows\kmsemulator.exe" | In - Private - P6 - TRUE | .(.Pas de propriétaire - Local KMS Host.) -- C:\Windows\KMSEmulator.exe => Infection Diverse (Trojan.Keygen)

O87 - FAEL: "UDP Query User{59F44F00-074D-44A9-98DC-D575A9A0B9E4}C:\windows\kmsemulator.exe" | In - Private - P17 - TRUE | .(.Pas de propriétaire - Local KMS Host.) -- C:\Windows\KMSEmulator.exe => Infection Diverse (Trojan.Keygen)

[HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}] => Infection BT (Adware.Hotbar)

[HKLM\Software\WOW6432Node\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}] => Infection BT (Toolbar.Babylon)

[HKLM\Software\WOW6432Node\Iminent] => Infection PUP (Adware.IMBooster)

O4 - Global Startup: C:\Users\VeuveBlack\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Ma config.lnk . (...) -- C:\Program Files (x86)\ma-config.com\StartDetection.html (.not file.) => Fichier absent

O4 - Global Startup: C:\Users\VeuveBlack\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\SFR Internet.lnk - Clé orpheline => Orphean Key not necessary

O10 - Broken Internet access because of LSP provider (.not file.) -- mswsock.dll => Fichier absent

O43 - CFD: 05/04/2012 - 09:22:27 - [0] ----D C:\Users\VeuveBlack\AppData\Local\{27EFDFC8-5545-4607-91C4-9B6B3F27845A} => Empty Folder not necessary

O43 - CFD: 05/04/2012 - 09:20:11 - [0] ----D C:\Users\VeuveBlack\AppData\Local\{92347268-0262-4311-8E05-CE6DDA155B40} => Empty Folder not necessary

O43 - CFD: 05/04/2012 - 09:21:49 - [0] ----D C:\Users\VeuveBlack\AppData\Local\{9AE0B2F5-6196-47FC-B3E9-0E989A73E329} => Empty Folder not necessary

O43 - CFD: 05/04/2012 - 09:20:11 - [0] ----D C:\Users\VeuveBlack\AppData\Local\{C7791615-1BEB-40C1-A66B-21CB65E1EBC2} => Empty Folder not necessary

O44 - LFC:[MD5.97B0AA2EC4714F0C9C25E3845817EB41] - 07/04/2012 - 16:15:08 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt [4743]

O44 - LFC:[MD5.EB325D8CCA2B3B9BC5211BBC286E93A5] - 07/04/2012 - 16:13:04 ---A- . (...) -- C:\Ad-Report-SCAN[1].txt [4729]

O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\InstallInfo\ShowIconsCommand] (...) -- G:\Programmes\Mozilla\uninstall\helper.exe (.not file.) => Fichier absent

O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\InstallInfo\ReinstallCommand] (...) -- G:\Programmes\Mozilla\uninstall\helper.exe (.not file.) => Fichier absent

O68 - StartMenuInternet: <FIREFOX.EXE> <Mozilla Firefox>[HKLM\..\InstallInfo\HideIconsCommand] (...) -- G:\Programmes\Mozilla\uninstall\helper.exe (.not file.) => Fichier absent

O87 - FAEL: "TCP Query User{4F087E92-D719-4E5F-9140-A9467D2147C6}D:\programmes\bmoworld\bomberman.exe" |In - Private - P6 - TRUE | .(...) -- D:\programmes\bmoworld\bomberman.exe (.not file.) => Fichier absent

O87 - FAEL: "UDP Query User{90D85649-CEEF-4CDA-A377-B9869E264D97}D:\programmes\bmoworld\bomberman.exe" |In - Private - P17 - TRUE | .(...) -- D:\programmes\bmoworld\bomberman.exe (.not file.) => Fichier absent

R3 - URLSearchHook: (no name) [64Bits] - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} . (...) (No version) -- (.not file.) => Toolbar.Conduit

[HKCU\Software\Ask.com.tmp] => Toolbar.Ask

[HKCU\Software\SweetIM] => Toolbar.SweetIM

[HKLM\Software\SweetIM] => Toolbar.SweetIM

[MD5.197215658B8015182192E1EBCA3BBCC3] [sPRF][07/01/2012] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\VeuveBlack\AppData\Local\Temp\AskSLib.dll [246440]

[HKLM\Software\WOW6432Node\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}] => Toolbar.Babylon

[HKLM\Software\WOW6432Node\Classes\CLSID\{ea551c00-2ae5-11d3-8592-00a0c98e9ea4}] => Toolbar.Agent

[HKCU\Software\Ask.com.tmp] => Toolbar.Ask

[HKCU\Software\SweetIM] => Toolbar.SweetIM

[HKLM\Software\WOW6432Node\SweetIM] => Toolbar.SweetIM

O53 - SMSR:HKLM\...\startupreg\NVRaidService [Key] . (.NVIDIA Corporation - NVIDIA RAID Service French language.) -- C:\Program Files\NVIDIA Corporation\Raid\nvraidservice.exe

 

EmptyFlash

EmptyTemp

FirewallRaz

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur

Copier-coller le rapport de suppression dans la prochaine réponse.

 

 

2)Zhpdiag indique:

RootKit.ZAccess found with file consvr.dll

 

.

SubSystems: Windows = basesrv,1 winsrv:UserServerDllInitialization,3 consrv:ConServerDllInitialization,2 sxssrv,4

ServerDll=consrv:ConServerDllInitialization,2 << malware

 

c'est le fait fait qu'il y ai "consrv" au lieu de "winsrv" qui fait que c'est infectieux ?

 

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

"Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4"

 

Il s'agit de ZeroAccess sur Windows7.

consrv est bien un des signes de l'infection.

 

2)Vérifier que le fichier %SYSDIR%\winsrv.dll existe.

 

Si le fichier n'existe pas, on ne peut pas supprimer consrv.dll ni modifier la clé de Registre.

 

Télécharger SEAF de C_XX

Double-cliquer sur le fichier SEAF.exe

Suivre les instructions à cocher sur cette fenêtre:

Occurences à rechercher, séparées par une virgules ->

Taper

winsrv.dll

Calculer le cheksum:Md5 .

Cocher Informations suppémentaires

la recherche dure quelques minutes et produit un rapport C:\SEAFlog.txt à poster

[veuvenoire]

Merci beaucoup.

 

 

Rapport ZHPFix

 

Rapport de ZHPFix 1.12.3372 par Nicolas Coolman, Update du 22/11/2011

Fichier d'export Registre :

Run by VeuveBlack at 08/04/2012 20:16:58

Windows 7 Ultimate Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

 

========== Processus mémoire ==========

SUPPRIME Memory Process: C:\Windows\AutoKMS.exe

 

========== Module(s) mémoire ==========

SUPPRIME Memory Module: C:\Users\VeuveBlack\AppData\Local\Temp\AskSLib.dll

 

========== Clé(s) du Registre ==========

ABSENT Key: HKLM\Software\Iminent

SUPPRIME Key: HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}

SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}

SUPPRIME Key: HKLM\Software\WOW6432Node\Iminent

SUPPRIME Key: HKCU\Software\Ask.com.tmp

SUPPRIME Key: HKCU\Software\SweetIM

ABSENT Key: HKLM\Software\SweetIM

SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\AppID\{5B1881D1-D9C7-46df-B041-1E593282C7D0}

SUPPRIME Key: HKLM\Software\WOW6432Node\Classes\CLSID\{ea551c00-2ae5-11d3-8592-00a0c98e9ea4}

SUPPRIME Key: HKLM\Software\WOW6432Node\SweetIM

SUPPRIME Key**: StartupReg: NVRaidService

 

========== Valeur(s) du Registre ==========

SUPPRIME TCP Query User{92FABEF0-180A-469C-B9A4-CDEC2373CD86}C:/windows/kmsemulator.exe

SUPPRIME UDP Query User{59F44F00-074D-44A9-98DC-D575A9A0B9E4}C:/windows/kmsemulator.exe

SUPPRIME TCP Query User{4F087E92-D719-4E5F-9140-A9467D2147C6}D:/programmes/bmoworld/bomberman.exe

SUPPRIME UDP Query User{90D85649-CEEF-4CDA-A377-B9869E264D97}D:/programmes/bmoworld/bomberman.exe

SUPPRIME URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

SUPPRIME FirewallRaz (Private) : TCP Query User{64BE36BE-DFB7-42ED-B20C-C2E3AAF446CE}G:\programmes\utorrent\utorrent.exe

SUPPRIME FirewallRaz (Private) : UDP Query User{38FA8578-03F2-4A8D-AA3A-035A0B21E93F}G:\programmes\utorrent\utorrent.exe

SUPPRIME FirewallRaz (None) : {1BF7D979-A94B-45F4-81D6-32F175D292C2}

 

========== Elément(s) de donnée du Registre ==========

SUPPRIME StartMenuInternet: G:\Programmes\Mozilla\uninstall\helper.exe

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\Users\VeuveBlack\AppData\Local\{27EFDFC8-5545-4607-91C4-9B6B3F27845A}

SUPPRIME Folder: C:\Users\VeuveBlack\AppData\Local\{92347268-0262-4311-8E05-CE6DDA155B40}

SUPPRIME Folder: C:\Users\VeuveBlack\AppData\Local\{9AE0B2F5-6196-47FC-B3E9-0E989A73E329}

SUPPRIME Folder: C:\Users\VeuveBlack\AppData\Local\{C7791615-1BEB-40C1-A66B-21CB65E1EBC2}

SUPPRIME Flash Cookies: 170

SUPPRIME Temporaires Windows: : 107

 

========== Fichier(s) ==========

SUPPRIME File: c:\windows\tasks\autokms.job

SUPPRIME File: c:\windows\tasks\autokmsdaily.job

SUPPRIME File: c:\windows\autokms.exe

ABSENT Folder/File: c:\windows\autokms.exe

SUPPRIME File: c:\windows\kmsemulator.exe

SUPPRIME File: c:\users\veuveblack\appdata\roaming\microsoft\internet explorer\quick launch\ma config.lnk

ABSENT File: c:\program files (x86)\ma-config.com

SUPPRIME File: c:\users\veuveblack\appdata\roaming\microsoft\internet explorer\quick launch\sfr internet.lnk

SUPPRIME File: c:\ad-report-clean[1].txt

SUPPRIME File: c:\ad-report-scan[1].txt

SUPPRIME File: c:\users\veuveblack\appdata\local\temp\askslib.dll

SUPPRIME File: c:\program files\nvidia corporation\raid\nvraidservice.exe

SUPPRIME Flash Cookies: 116

SUPPRIME Temporaires Windows: : 152

 

========== Tache planifiée ==========

SUPPRIME Task: AutoKMS

SUPPRIME Task: AutoKMSDaily

 

 

========== Récapitulatif ==========

1 : Processus mémoire

1 : Module(s) mémoire

11 : Clé(s) du Registre

10 : Valeur(s) du Registre

1 : Elément(s) de donnée du Registre

6 : Dossier(s)

14 : Fichier(s)

2 : Tache planifiée

 

 

End of clean in 00mn 15s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 08/04/2012 20:16:58 [3903]

 

 

 

 

Rapport Seaf

 

 

1. ========================= SEAF 1.0.1.0 - C_XX

2.

3. Commencé à: 20:23:55 le 08/04/2012

4.

5. Valeur(s) recherchée(s):

6. winsrv.dll

7.

8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès

9.

10. (!) --- Calcul du Hash "MD5"

11. (!) --- Informations supplémentaires

12.

13. ====== Fichier(s) ======

14.

15.

16. "C:\Windows\System32\fr-FR\winsrv.dll.mui" [ ARCHIVE | 9 Ko ]

17. TC: 21/11/2010,08:18:23 | TM: 21/11/2010,08:18:23 | DA: 21/11/2010,08:18:23

18.

19. Hash MD5: B5F42F7ACE825E609B763394F30351A4

20.

21. CompanyName: Microsoft Corporation

22. ProductName: Système d’exploitation Microsoft® Windows®

23. InternalName: winsrv

24. OriginalFileName: winsrv.dll.mui

25. LegalCopyright: © Microsoft Corporation. Tous droits réservés.

26. ProductVersion: 6.1.7600.16385

27. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)

28.

29. =========================

30.

31.

32. "C:\Windows\system64\fr-FR\winsrv.dll.mui" [ ARCHIVE | 9 Ko ]

33. TC: 21/11/2010,08:18:21 | TM: 21/11/2010,08:18:21 | DA: 21/11/2010,08:18:22

34.

35. Hash MD5: E135E584FBE4C3F8AA260AB93F00CB68

36.

37. CompanyName: Microsoft Corporation

38. ProductName: Système d’exploitation Microsoft® Windows®

39. InternalName: winsrv

40. OriginalFileName: winsrv.dll.mui

41. LegalCopyright: © Microsoft Corporation. Tous droits réservés.

42. ProductVersion: 6.1.7600.16385

43. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)

44.

45. =========================

46.

47.

48. "C:\Windows\system64\winsrv.dll" [ ARCHIVE | 215 Ko ]

49. TC: 07/02/2012,21:49:33 | TM: 24/06/2011,07:34:53 | DA: 07/02/2012,21:49:33

50.

51. Hash MD5: EB6A48CC998E1090E44E8E7F1009A640

52.

53. CompanyName: Microsoft Corporation

54. ProductName: Système d’exploitation Microsoft® Windows®

55. InternalName: winsrv

56. OriginalFileName: winsrv.dll.mui

57. LegalCopyright: © Microsoft Corporation. Tous droits réservés.

58. ProductVersion: 6.1.7600.16385

59. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)

60.

61. =========================

62.

63.

64. "C:\Windows\SysWOW64\fr-FR\winsrv.dll.mui" [ ARCHIVE | 9 Ko ]

65. TC: 21/11/2010,08:18:23 | TM: 21/11/2010,08:18:23 | DA: 21/11/2010,08:18:23

66.

67. Hash MD5: B5F42F7ACE825E609B763394F30351A4

68.

69. CompanyName: Microsoft Corporation

70. ProductName: Système d’exploitation Microsoft® Windows®

71. InternalName: winsrv

72. OriginalFileName: winsrv.dll.mui

73. LegalCopyright: © Microsoft Corporation. Tous droits réservés.

74. ProductVersion: 6.1.7600.16385

75. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)

76.

77. =========================

78.

79.

80. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_3c41044b1116075a\winsrv.dll.mui" [ ARCHIVE | 9 Ko ]

81. TC: 21/11/2010,08:18:21 | TM: 21/11/2010,08:18:21 | DA: 21/11/2010,08:18:22

82.

83. Hash MD5: E135E584FBE4C3F8AA260AB93F00CB68

84.

85. CompanyName: Microsoft Corporation

86. ProductName: Système d’exploitation Microsoft® Windows®

87. InternalName: winsrv

88. OriginalFileName: winsrv.dll.mui

89. LegalCopyright: © Microsoft Corporation. Tous droits réservés.

90. ProductVersion: 6.1.7600.16385

91. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)

92.

93. =========================

94.

95.

96. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.1.7601.17514_none_14a49c11b2f4bfec\winsrv.dll" [ ARCHIVE | 214 Ko ]

97. TC: 21/11/2010,05:24:16 | TM: 21/11/2010,05:24:16 | DA: 21/11/2010,05:24:16

98.

99. Hash MD5: E0406AEF04B088D1C49FC78D0546F689

100.

101. CompanyName: Microsoft Corporation

102. ProductName: Système d’exploitation Microsoft® Windows®

103. InternalName: winsrv

104. OriginalFileName: winsrv.dll.mui

105. LegalCopyright: © Microsoft Corporation. Tous droits réservés.

106. ProductVersion: 6.1.7600.16385

107. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)

108.

109. =========================

110.

111.

112. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.1.7601.17641_none_14812d55b30fc4e1\winsrv.dll" [ ARCHIVE | 215 Ko ]

113. TC: 07/02/2012,21:49:33 | TM: 24/06/2011,07:34:53 | DA: 07/02/2012,21:49:33

114.

115. Hash MD5: EB6A48CC998E1090E44E8E7F1009A640

116.

117. CompanyName: Microsoft Corporation

118. ProductName: Système d’exploitation Microsoft® Windows®

119. InternalName: winsrv

120. OriginalFileName: winsrv.dll.mui

121. LegalCopyright: © Microsoft Corporation. Tous droits réservés.

122. ProductVersion: 6.1.7600.16385

123. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)

124.

125. =========================

126.

127.

128. "C:\Windows\winsxs\amd64_microsoft-windows-winsrv_31bf3856ad364e35_6.1.7601.21756_none_1504fba6cc30ff4f\winsrv.dll" [ ARCHIVE | 215 Ko ]

129. TC: 07/02/2012,21:49:33 | TM: 24/06/2011,07:27:05 | DA: 07/02/2012,21:49:33

130.

131. Hash MD5: C13D05A015346DED3D722BE285814495

132.

133. CompanyName: Microsoft Corporation

134. ProductName: Système d’exploitation Microsoft® Windows®

135. InternalName: winsrv

136. OriginalFileName: winsrv.dll.mui

137. LegalCopyright: © Microsoft Corporation. Tous droits réservés.

138. ProductVersion: 6.1.7600.16385

139. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)

140.

141. =========================

142.

143.

144. "C:\Windows\winsxs\wow64_microsoft-windows-winsrv.resources_31bf3856ad364e35_6.1.7600.16385_fr-fr_4695ae9d4576c955\winsrv.dll.mui" [ ARCHIVE | 9 Ko ]

145. TC: 21/11/2010,08:18:23 | TM: 21/11/2010,08:18:23 | DA: 21/11/2010,08:18:23

146.

147. Hash MD5: B5F42F7ACE825E609B763394F30351A4

148.

149. CompanyName: Microsoft Corporation

150. ProductName: Système d’exploitation Microsoft® Windows®

151. InternalName: winsrv

152. OriginalFileName: winsrv.dll.mui

153. LegalCopyright: © Microsoft Corporation. Tous droits réservés.

154. ProductVersion: 6.1.7600.16385

155. FileVersion: 6.1.7600.16385 (win7_rtm.090713-1255)

156.

157. =========================

158.

159.

160. =========================

161.

162. Fin à: 20:24:53 le 08/04/2012

163. 407094 Éléments analysés

164.

165. =========================

166. E.O.F

[pear]

Avant tout, il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

 

Télécharger OTLPEStd.exe

 

Ou à partir de ce lien

sur le Bureau

Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.

Lancez le fichier OTLPEStd.exe ;

Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.

Vous devez voir bureau REATOGO-X-PE

 

Double-click sur l'icone OTLPE

A "Do you wish to load the remote registry"->choisir Yes

et "Do you wish to load remote user profile(s) for scanning"->choisir Yes

si vous avez un message :

RunScanner Error - Target is not windows 2000 or later

, il faut descendre jusqu'au dossier c:\windows dans l'arborescence de local disk (c:)

 

 

Vérifier que Automatically Load All Remaining Users est coché et valider par OK

 

» OTLPE se lançe alors

 

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

 

SAVEMBR:0

NetSvcs

msconfig

safebootminimal

safebootnetwork

activex

drivers32

%systemroot%\system32\*.ini

%systemroot%\Tasks\*.*

%systemroot%\system32\Tasks\*.*

%SYSTEMDRIVE%\*.exe

%systemroot%\*. /mp /s

%systemroot%\system32\*.dll /lockedfiles

%systemroot%\Tasks\*.job /lockedfiles

%systemroot%\system32\drivers\*.sys /lockedfiles

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

/md5start

winsrv.dll

AGP440.sys

ahcix86s.sys

alg.exe

atapi.sys

cdrom.sys

cngaudit.dll

csrss.exe

eNetHook.dll

eventlog.dll

explorer.exe

fxssvc.exe

iastorv.sys

IdeChnDr.sys

iesetup.dll

inseng.dll

KR10N.sys

logevent.dll

lsass.exe

locator.exe

msdtc.exe

mshtml.dll

ndis.sys

netlogon.dll

nvatabus.sys

nvata.sys

nvgts.sys

nvstor.sys

nvstor32.sys

pngfilt.dll

rdpclip.exe

SafeBoot.sys

scecli.dll

sceclt.dll

spoolsv.exe

snmptrap.exe

sppsvc.exe

taskhost.exe

taskeng.exe

tcpip.sys

UI0Detect.exe

usbscan.sys

usbprint.sys

userinit.exe

vaxscsi.sys

vds.exe

viamraid.sys

ViPrt.sys

volsnap.sys

vssvc.exe

WatAdminSvc.exe

wbengine.exe

webcheck.dll

wininit.exe

winlogon.exe

WmiApSrv.exe

wmpnetwk.exe

wscntfy.exe

/md5stop

CREATERESTOREPOINT

 

Clic sur Analyse (Run Scan)

le scan terminé , le fichier se trouve là C:\OTL.txt

 

Depuis la machine propre, copier/coller tout le texte suivant (en vert) dans un nouveau fichier du Bloc-notes :

:reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

"Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

""=""%1" %*"

64bit: - HKLM\...exe [@ = exefile] -- "%1" %*

:commands

[PURITY]

[EMPTYTEMP]

[REBOOT]

 

Sauvegardez le fichier et nommez-le fix.txt

et installez le sur clé USB

Démarrez la machine infectée avec le CD OTLPE dans le lecteur.

Double-clique sur l'icône OTLPE sur le Bureau.

 

A la demande Do you wish to load the remote registry cliquezYes

et de même Do you wish to load remote user profile(s) for scanning cliquez Yes

Vérifiez que Automatically Load All Remaining Users est bien coché et validez

Insèrez la clé USB sur la machine infectée

 

- Dans la fenêtre de l'outil OTLPE, cliquez sur Run Fix

L'outil ne trouvant pas de "Fix" à exécuter, il ouvrira une invite avec le message suivant :

No Fix has been Provided! Do you want to load it from a file?

Cliquez Yes

 

Depuis la fenêtre de navigation, recherchez le fichier fix.txt sur la clé USB et sélectionnez-le ;

Le contenu devrait maintenant en apparaître dans la fenêtre de l'outil ;

Cliquez à nouveau sur Run Fix

Patientez maintenant jusqu'à la création du rapport (C:\OTL.txt)

Collez le rapport sur la clé USB.

Faites un "Shutdown" de l'environnement OTLPE (via le bouton "Start" au bas à gauche) et redémarrez normallement la machine infectée après avoir retiré le CD OTLPE.

 

Comment poster les rapports

Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

ou Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Ensuite appuyez sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message

 

Dites-moi comment la machine fonctionne à présent, et collez le rapport de OTLPE également, dans la réponse.

[veuvenoire]

Bonjour, désolé j'ai été indisponible plusieurs jours...

 

Alors pour la première partie voici le scan OTL

 

OTL

 

Petite précision il ne m'a pas demandé "Do you wish to load the remote registry"

 

 

En revanche pour cette partie là...

 

Depuis la machine propre, copier/coller tout le texte suivant (en vert) dans un nouveau fichier du Bloc-notes :

 

:reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

"Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

""=""%1" %*"

64bit: - HKLM\...exe [@ = exefile] -- "%1" %*

:commands

[PURITY]

[EMPTYTEMP]

[REBOOT]

 

 

Sauvegardez le fichier et nommez-le fix.txt

et installez le sur clé USB

Démarrez la machine infectée avec le CD OTLPE dans le lecteur.

Double-clique sur l'icône OTLPE sur le Bureau.

 

A la demande Do you wish to load the remote registry cliquezYes

et de même Do you wish to load remote user profile(s) for scanning cliquez Yes

Vérifiez que Automatically Load All Remaining Users est bien coché et validez

Insèrez la clé USB sur la machine infectée

 

- Dans la fenêtre de l'outil OTLPE, cliquez sur Run Fix

L'outil ne trouvant pas de "Fix" à exécuter, il ouvrira une invite avec le message suivant :

No Fix has been Provided! Do you want to load it from a file?

Cliquez Yes

 

Depuis la fenêtre de navigation, recherchez le fichier fix.txt sur la clé USB et sélectionnez-le ;

Le contenu devrait maintenant en apparaître dans la fenêtre de l'outil ;

Cliquez à nouveau sur Run Fix

Patientez maintenant jusqu'à la création du rapport (C:\OTL.txt)

Collez le rapport sur la clé USB.

Faites un "Shutdown" de l'environnement OTLPE (via le bouton "Start" au bas à gauche) et redémarrez normallement la machine infectée après avoir retiré le CD OTLPE.

 

 

Pas moyen de le faie car des que j'essaye d'aller chercher le fix.txt sur la clé USB j'ai un message d'erreur "acces violiation... etc"

 

 

Et donc j'ai toujours les 2 infections détectés par Antivir...

[pear]

Je suis surpris.

 

Avant d'aller plus loin postez le rapport Otl

 

Clic sur Analyse (Run Scan)

le scan terminé , le fichier se trouve là C:\OTL.txt

[veuvenoire]

J'ai déjà posté le rapport OTL dans ma précédente réponse si je ne me suis pas trompé...

[pear]

Exact.

Excusez moi.

 

Nettoyage

 

Double-clic sur l'icône OTLPE sur le Bureau.

 

A la demande Do you wish to load the remote registry cliquezYes

et de même Do you wish to load remote user profile(s) for scanning cliquez Yes

Vérifiez que Automatically Load All Remaining Users est bien coché et validez

 

copier/coller tout le texte suivant (en vert) dans la fenêtre de Personnalisation Custom Scan/Fixes

:reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

"Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

""=""%1" %*"

64bit: - HKLM\...exe [@ = exefile] -- "%1" %*

:commands

[PURITY]

[EMPTYTEMP]

[REBOOT]

Dans la fenêtre de l'outil OTLPE, cliquez sur [bRun Fix][/b] ;

Patientez juqu'à l'apparition du rapport

Faites un "Shutdown" de l'environnement OTLPE (via le bouton "Start" au bas à gauche) et redémarrez normalement la machine infectée après avoir retiré le CD OTLPE.

collez le rapport de OTLPE dans votre réponse

[veuvenoire]

Exact.

Excusez moi.

 

Nettoyage

 

Double-clic sur l'icône OTLPE sur le Bureau.

 

A la demande Do you wish to load the remote registry cliquezYes

et de même Do you wish to load remote user profile(s) for scanning cliquez Yes

Vérifiez que Automatically Load All Remaining Users est bien coché et validez

 

copier/coller tout le texte suivant (en vert) dans la fenêtre de Personnalisation Custom Scan/Fixes

:reg

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]

"Windows"="basesrv,1 winsrv:UserServerDllInitialization,3 winsrv:ConServerDllInitialization,2 sxssrv,4"

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]

""=""%1" %*"

64bit: - HKLM\...exe [@ = exefile] -- "%1" %*

:commands

[PURITY]

[EMPTYTEMP]

[REBOOT]

Dans la fenêtre de l'outil OTLPE, cliquez sur [bRun Fix][/b] ;

Patientez juqu'à l'apparition du rapport

Faites un "Shutdown" de l'environnement OTLPE (via le bouton "Start" au bas à gauche) et redémarrez normalement la machine infectée après avoir retiré le CD OTLPE.

collez le rapport de OTLPE dans votre réponse

 

 

 

Re bonjour, alors j'ai fait ce qui été demandé, première surprise à la fin de l'action j'ai un message d'erreur en anglais au moment de l'affichage du rapport "syntax error" ou quelque chose comme ça donc je n'ai pas de rapport.

 

Mais j'ai un problème beaucoup plus ennuyeux... Au moment de redémarrer il ne redémarre plus et me propose l'outils de redémarrage puis après avoir analyser quelques secondes il me propose la restauration. mais il me dit :

 

" Instruction à 0xfc00584d emploie l'adresse mémoire 0x00000008. La mémoire ne peut pas être en état "read" "

 

Après quoi il me fait ouvrir ma cession et il m'est proposé les choses suivantes :

 

1) Récupération de démarrage

2) Restaurer le système

3) Récupération de l'image système

4) Dignostic de mémoire

5) Invite de commande

 

 

Quand je fais le 1) rebelotte pour le même schéma et pour le 2) rebelotte pour le message "Instruction à 0xfc00584d..."

 

 

Alors là je suis un peu en stress car je ne peux plus démarrer mon PC du tout...

[pear]

Si vous ne démarrez plus sur le cd Otlpe, c'est un problème matériel (ou logiciel) qui n'a rien à voir avec les tentatives de désinfection.

 

Tentez ceci:

 

Lancer la restauration en ligne de commande

vous ne pouvez démarrer Windows en boot normal, ni en mode sans échec,

On peut tenter la Restauration du système, à partir de Invite de commandes en mode sans échec

Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.