[Résolu] Virus Gendarmerie

[Poirelo]

Bonjour.

J'ai un souci avec un poste en Windows XP SP3.

Un soir le message de gendarmerie nationale (avec la tête du gendarme et la coquette somme à payer qui va bien) est apparu. J'étais déjà tombé sur ce genre de message malveillant, et j'avais réussi à m'en défaire sauf que celui-ci apparait sous une forme plutôt bizarre.

Après redémarrage de la machine, je m'attendais à voir réapparaitre le fameux message avec impossibilité d’accéder à quoi que ce soit sur le PC mais il n'est pas réapparu...

Au redémarrage, Windows s'est bien lancé, la session s'est ouverte normalement (hormis un ralentissement notable) et j'ai découvert que le menu Démarrer n'était plus accessible, le PC refusait d'aller sur Internet et d’accéder aux fichiers réseau, ou encore de copier/coller un fichier, de désinstaller un programme, d'utiliser Excel ou Word, de restaurer le système à une date ultérieure, de détecter un périphérique USB externe et bien d'autres fonctions... En bref, ça m'a ruiné mon poste.

 

J'ai tenté les procédures "d'usage" à savoir relance d'explorer.exe, redémarrage en mode sans échec, analyse antivirus en bootant le PC sur un CD BitDefender mais aucune menace n'a été détectée...

Le seul changement en mode sans échec, c'est qu'il a bien voulu accepter mon disque dur externe donc j'ai pu tenter d'installer MalwareBytes Antimalware, sauf qu'il m'a mis un message d'erreur système au lancement des MAJ, et impossible d'analyser le système donc pour l'instant ça m'a pas trop été utile. J'ai aussi voulu tenter de remplacer l'explorer.exe dysfonctionnant du poste par un explorer.exe d'un poste "sain" mais vu qu'il n'accepte aucun copier/coller, je ne peux rien en faire.

 

J'ai vu sur ce forum un message avec plus ou moins les mêmes symptômes que moi, et on lui avait proposé de tenter des RogueKiller et compagnie, mais n'étant pas suffisamment expert en la matière, je préfère me référer aux experts que comptent ce forum...

D'habitude, je suis assez débrouillard pour me sortir de ce genre de situation, mais là je suis coincé je l'avoue.

 

Quelqu'un a-t-il une idée de la manière dont je pourrais me débarrasser de cette chose afin de pouvoir réutiliser le PC correctement SVP ?

 

Pour info, c'est un HP dx2300 MT, et l'antivirus présent sur le poste était un Cloud BitDefender (probablement trop tolérant).

Et forcément, n'ayant plus accès au réseau, l'antivirus est par conséquent inactif sur le poste...

 

Merci d'avance pour votre aide

[pear]

Bonjour,

 

Il s'agit d'abord de tenter une Restauration à une date antérieure.

Cela n'a d'intétérêt que si la restauration est restée fonctionnelle et qu'il y a donc des points de restauration.

Si ce n'est pas le cas, passez au point 3)

Deux méthodes possibles:

 

1)Démarrer en mode sans échec

Choisir-> Dernière bonne configuration connue :

Cette option démarre Windows en utilisant une configuration précédente identifiée comme correcte.

 

2)tenter une restauration système à une date antérieure.

Démarrer->Tous les programmes->Accessoires->Outils Systeme->Restauration

si ça bloque:

Lancer la restauration en ligne de commande

 

Relancer Windows en tapotant la touche F8 pour choisir une option du Mode sans échec

Sélectionnez Invite de commande en mode sans échec

validez per la touche Entrée

 

Choisissez votre compte usuel, pas le compte Administrateur ou autre.

Tapez cmd puis dans la fenêtre qui s'ouvre:

%systemroot%\system32\restore\rstrui.exe

validez

La restauration devrait se lancer.

Choisissez un point antérieur au problème.

 

 

3)

Démarrer en Mode sans échec avec prise en charge du réseau

 

A défaut, installez Roguekiller sur une clé Usb sur une machine valide.

 

Télécharger RogueKiller (by tigzy) sur le bureau

Quitter tous les programmes

Lancer RogueKiller.exe.

Patienter le temps du Prescan ...

Cliquer sur Scan.

Cliquer sur Rapport et copier/coller le contenu

 

Nettoyage

 

Dans l'onglet "Registre",

Décocher les éventuels faux positifs, en général les modifications que vous y avez faites.

Laisser coché, si vous le voyez , ce qui concerne InetAccelerator.exe, il s'agit d'un malware.

 

Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu

Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait

Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu

Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu

Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu

Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad

Sauf avis contraire, ne touchez pas aux index SSDT

Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT

(Liste des indexes)

 

 

 

 

Téléchargez MBAM

ICI

ou LA

Avant de lancer Mbam

Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire

Cliquer ici

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Exécuter avec droits d'administrateur.

Sous Vista , désactiver l'Uac

 

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

.L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Et un fichier Mbam.log apparaitra

 

 

Nettoyage

Relancez Mbam(Malewares'Bytes)

Sélectionnez "Exécuter un examen complet"

Cliquez sur "Rechercher"

L' analyse prendra un certain temps, soyez patient !

A la fin , un message affichera :

L'examen s'est terminé normalement.

Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

Copiez-collez ce rapport dans la prochaine réponse.

Modifié le 21 février 2013 par pear

[Poirelo]

Bonjour Pear et d'abord merci pour cette réponse rapide...

 

Alors j'ai d'abord tenté une restauration système.

La 1ère option n'étant pas disponible car n'ayant pas accès au menu Démarrer, j'ai tenté le coup en Invite de Commande en

 

mode sans échec et là il me sort un message d'erreur :

 

"Restauration du système ne peut pas protéger votre ordinateur. Faites redémarrer votre ordinateur, puis relancer Restauration du Système"

 

Donc je suis directement passé à l'étape RogueKiller...

J'avais déjà fait une première tentative avant de venir ici mais je n'ai pas enregistré de rapport, c'est probablement une erreur de ma part...

 

Voici les rapports générés automatiquement sur le bureau...

 

- Le 1er : RogueKiller V8.5.1 [Feb 20 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Administrateur [Droits d'admin]

Mode : Recherche -- Date : 20/02/2013 22:47:33

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 4 ¤¤¤

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 :

 

(C:\RECYCLER\S-1-5-21-1462436763-2361402349-1068876153-500\$ff24043d55f85ce9a20a8337d9b4b888\n) [-] -> TROUVÉ

[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\n) [-] -> TROUVÉ

[HJ INPROC][ZeroAccess] HKLM\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\n) [-] -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\n [-] --> TROUVÉ

[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-21-1462436763-2361402349-1068876153-500\$ff24043d55f85ce9a20a8337d9b4b888\n [-] --> TROUVÉ

[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\@ [-] --> TROUVÉ

[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-1462436763-2361402349-1068876153-500\$ff24043d55f85ce9a20a8337d9b4b888\@ [-] --> TROUVÉ

[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U --> TROUVÉ

[ZeroAccess][FOLDER] U : C:\RECYCLER\S-1-5-21-1462436763-2361402349-1068876153-500\$ff24043d55f85ce9a20a8337d9b4b888\U --> TROUVÉ

[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\L --> TROUVÉ

[ZeroAccess][FOLDER] L : C:\RECYCLER\S-1-5-21-1462436763-2361402349-1068876153-500\$ff24043d55f85ce9a20a8337d9b4b888\L --> TROUVÉ

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 54c91526a04cfbef92ec8f44c3fc8f31

[bSP] 93f98c2992b116900957441009ecd9b2 : HP tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228212 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 467395110 | Size: 10244 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1]_S_20022013_224733.txt >>

RKreport[1]_S_20022013_224733.txt

 

 

- Le 2ème : RogueKiller V8.5.1 [Feb 20 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Administrateur [Droits d'admin]

Mode : Suppression -- Date : 20/02/2013 22:48:43

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 3 ¤¤¤

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 :

 

(C:\RECYCLER\S-1-5-21-1462436763-2361402349-1068876153-500\$ff24043d55f85ce9a20a8337d9b4b888\n) [-] -> REMPLACÉ

 

(C:\WINDOWS\system32\shell32.dll)

[HJ INPROC][ZeroAccess] HKCR\[...]\InprocServer32 : (C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\n) [-] -> REMPLACÉ (C:\WINDOWS\system32\wbem\fastprox.dll)

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\n [-] --> SUPPRIMÉ

[ZeroAccess][FILE] n : C:\RECYCLER\S-1-5-21-1462436763-2361402349-1068876153-500\$ff24043d55f85ce9a20a8337d9b4b888\n [-] --> SUPPRIMÉ

[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\@ [-] --> SUPPRIMÉ

[ZeroAccess][FILE] @ : C:\RECYCLER\S-1-5-21-1462436763-2361402349-1068876153-500\$ff24043d55f85ce9a20a8337d9b4b888\@ [-] --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\U --> SUPPRIMÉ

[Del.Parent][FILE] 00000001.@ :

 

C:\RECYCLER\S-1-5-21-1462436763-2361402349-1068876153-500\$ff24043d55f85ce9a20a8337d9b4b888\U\00000001.@ [-] --> SUPPRIMÉ

[Del.Parent][FILE] 80000000.@ :

 

C:\RECYCLER\S-1-5-21-1462436763-2361402349-1068876153-500\$ff24043d55f85ce9a20a8337d9b4b888\U\80000000.@ [-] --> SUPPRIMÉ

[Del.Parent][FILE] 800000cb.@ :

 

C:\RECYCLER\S-1-5-21-1462436763-2361402349-1068876153-500\$ff24043d55f85ce9a20a8337d9b4b888\U\800000cb.@ [-] --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-21-1462436763-2361402349-1068876153-500\$ff24043d55f85ce9a20a8337d9b4b888\U --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-18\$ff24043d55f85ce9a20a8337d9b4b888\L --> SUPPRIMÉ

[ZeroAccess][FOLDER] ROOT : C:\RECYCLER\S-1-5-21-1462436763-2361402349-1068876153-500\$ff24043d55f85ce9a20a8337d9b4b888\L --> SUPPRIMÉ

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Infection : ZeroAccess ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 54c91526a04cfbef92ec8f44c3fc8f31

[bSP] 93f98c2992b116900957441009ecd9b2 : HP tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228212 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 467395110 | Size: 10244 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[2]_D_20022013_224843.txt >>

RKreport[1]_S_20022013_224733.txt ; RKreport[2]_D_20022013_224843.txt

 

 

 

- Le 3ème : RogueKiller V8.5.1 [Feb 20 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Administrateur [Droits d'admin]

Mode : Suppression -- Date : 20/02/2013 22:49:03

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 54c91526a04cfbef92ec8f44c3fc8f31

[bSP] 93f98c2992b116900957441009ecd9b2 : HP tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228212 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 467395110 | Size: 10244 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[3]_D_20022013_224903.txt >>

RKreport[1]_S_20022013_224733.txt ; RKreport[2]_D_20022013_224843.txt ; RKreport[3]_D_20022013_224903.txt

 

 

 

J'ai refait les manip. de la réponse précèdente et j'ai obtenu 5 rapports :

 

- Le 1er : RogueKiller V8.5.1 [Feb 20 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Administrateur [Droits d'admin]

Mode : Recherche -- Date : 21/02/2013 22:51:11

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: +++++

--- User ---

[MBR] 54c91526a04cfbef92ec8f44c3fc8f31

[bSP] 93f98c2992b116900957441009ecd9b2 : HP tatooed MBR Code

Partition table:

0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 228212 Mo

1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 467395110 | Size: 10244 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[4]_S_21022013_225111.txt >>

RKreport[1]_S_20022013_224733.txt ; RKreport[2]_D_20022013_224843.txt ; RKreport[3]_D_20022013_224903.txt ; RKreport[4]_S_21022013_225111.txt

 

 

 

- Le 2ème : RogueKiller V8.5.1 [Feb 20 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Administrateur [Droits d'admin]

Mode : HOSTS RAZ -- Date : 21/02/2013 22:57:27

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\WINDOWS\system32\drivers\etc\hosts

 

127.0.0.1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[5]_H_21022013_225727.txt >>

RKreport[1]_S_20022013_224733.txt ; RKreport[2]_D_20022013_224843.txt ; RKreport[3]_D_20022013_224903.txt ; RKreport[4]_S_21022013_225111.txt ; RKreport[5]_H_21022013_225727.txt

 

 

 

- Le 3ème : RogueKiller V8.5.1 [Feb 20 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Administrateur [Droits d'admin]

Mode : Proxy RAZ -- Date : 21/02/2013 23:19:01

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

Termine : << RKreport[6]_PR_21022013_231901.txt >>

RKreport[1]_S_20022013_224733.txt ; RKreport[2]_D_20022013_224843.txt ; RKreport[3]_D_20022013_224903.txt ; RKreport[4]_S_21022013_225111.txt ; RKreport[5]_H_21022013_225727.txt ;

RKreport[6]_PR_21022013_231901.txt

 

 

 

- Le 4ème : RogueKiller V8.5.1 [Feb 20 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Administrateur [Droits d'admin]

Mode : DNS RAZ -- Date : 21/02/2013 23:19:24

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

Termine : << RKreport[7]_DN_21022013_231924.txt >>

RKreport[1]_S_20022013_224733.txt ; RKreport[2]_D_20022013_224843.txt ; RKreport[3]_D_20022013_224903.txt ; RKreport[4]_S_21022013_225111.txt ; RKreport[5]_H_21022013_225727.txt ;

RKreport[6]_PR_21022013_231901.txt ; RKreport[7]_DN_21022013_231924.txt

 

 

 

- Le 5ème : RogueKiller V8.5.1 [Feb 20 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode sans echec avec prise en charge reseau

Utilisateur : Administrateur [Droits d'admin]

Mode : Raccourcis RAZ -- Date : 21/02/2013 23:20:42

| ARK || FAK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Driver : [NON CHARGE] ¤¤¤

 

¤¤¤ Attributs de fichiers restaures: ¤¤¤

Bureau: Success 1 / Fail 0

Lancement rapide: Success 0 / Fail 0

Programmes: Success 4 / Fail 0

Menu demarrer: Success 0 / Fail 0

Dossier utilisateur: Success 72 / Fail 0

Mes documents: Success 8 / Fail 8

Mes favoris: Success 0 / Fail 0

Mes images: Success 0 / Fail 0

Ma musique: Success 0 / Fail 0

Mes videos: Success 0 / Fail 0

Disques locaux: Success 193 / Fail 0

Sauvegarde: [NOT FOUND]

 

Lecteurs:

[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored

[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored

[E:] \Device\CdRom0 -- 0x5 --> Skipped

[F:] \Device\Harddisk1\DP(1)0-0+7 -- 0x2 --> Restored

[G:] \Device\Harddisk2\DP(1)0-0+8 -- 0x2 --> Restored

[H:] \Device\Harddisk3\DP(1)0-0+9 -- 0x2 --> Restored

[i:] \Device\Harddisk4\DP(1)0-0+a -- 0x2 --> Restored

[J:] \Device\Harddisk5\DP(1)0-0+e -- 0x2 --> Restored

 

Termine : << RKreport[8]_SC_21022013_232042.txt >>

RKreport[1]_S_20022013_224733.txt ; RKreport[2]_D_20022013_224843.txt ; RKreport[3]_D_20022013_224903.txt ; RKreport[4]_S_21022013_225111.txt ; RKreport[5]_H_21022013_225727.txt ;

RKreport[6]_PR_21022013_231901.txt ; RKreport[7]_DN_21022013_231924.txt ; RKreport[8]_SC_21022013_232042.txt

 

Pour info, j'avais aussi fait un ZHPDiag, voici le rapport.

 

Quant à MalwareBytes, impossible de le lancer, il me met un message d'erreur :

 

Erreur d'execution '372' :

Impossible de charger le contrôle 'vbalGrid' à partir de vbalsgrid6.ocx. Votre version de vbalsgrid6.ocx est peut-être obsolète. Vérifiez que vous utilisez la version du contrôle fournie avec votre application.

 

Donc je ne sais que comment faire pour l'exécuter

 

Je reste donc dans la panade...

Modifié le 22 février 2013 par Dylav
Hébergement d'un rapport volumineux ;o)

[pear]

1) il ne faut pas poster directement des rapports aussi lourds sinon vous risquez de bloquer le sujet.

Il faut les domicilier comme ceci:

 

Comment poster les rapports

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

 

ou là:(pour Zhpdiag p.ex)

 

Cliquez sur ce bouton en haut, à droite

Appuyez sur Parcourir et chercher le rapport ,

Cliquer sur Envoyer

>> dans la page suivante -->

Cliquer Pjjoint Uploader ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

2)Télécharger AdwCleaner

Sous Vista et Windows 7-> Exécuter en tant qu'administrateur

 

Cliquez sur Recherche et postez le rapport généré C:\AdwCleaner[R1].txt

 

NettoyageA faire sans délai

Relancez AdwCleaner avec droits administrateur

Cliquez sur Suppression et postez le rapport C:\AdwCleaner[s1].txt

 

Télécharger Junkware Removal Tool de thisisu

OS:Windows XP/Vista/7/8

Utilisable sur systèmes 32-bits et 64-bits

 

Clquez sur Jrt.exe avec droits administrateur.

 

Une fenêtre noire s'ouvre qui vous dit de cliquer une touche pour lancer le scan.

 

L'outil va prendre quelques minutes pour fouiller votre machine.

Patientez jusqu'à l'apparition de Jrt.txt dont vous posterez le contenu.

 

Comment poster les rapports

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

3)Des variantes récentes de av360 , windows registry , System tools , Tdss etc..empêchent MBAM de s'exécuter

 

1)Utiliser Malwarebytes Anti-Malware Chameleon

 

Pour que ceci fonctionne, Malwarebytes Anti-Malware version 1.60 ou supérieure doit déjà être installé sur votre PC infecté.

Pour Accéder à Chameleon

 

Démarrer>Tous les programmes>Malwarebytes' Anti-Malware>Tools>Malwarebytes Anti-Malware Chameleon

 

Démarrer-> exécuter

"C:\Program Files\Malwarebytes' Anti-Malware\Chameleon\mbam-chameleon.exe" /o

 

ou:

Ouvrir votre navigateur internet

Appuyez sur la touche Alt de votre clavier

cliquez sur Fichier et choisissez Ouvrir... ou Ouvrir un fichier...

Dans la fenêtre de navigation qui s'est ouverte, allez jusqu'au dossier dans lequel Malwarebytes Anti-Malware est installé

(par défaut C:\Program Files\Malwarebytes' Anti-Malware ou C:\Program Files (x86)\Malwarebytes' Anti-Malware)

Ouvrez le dossier Chameleon

Faites un double clic sur le fichier nommé Chameleon ou Chameleon.chm

(si vous ne le voyez pas, cliquez sur le menu déroulant à côté de Fichiers de type et choisissez Tous les fichiers)

Le fichier d'aide ouvert, cliquez sur chaque bouton Test Now jusqu'à ce que vous voyiez qu'une fenêtre noire DOS/Invite de commandes est ouverte, et affiche en haut MBAM-chameleon ver. 0.1.

Note: Si vous utilisez Windows Vista ou Windows 7

vous pouvez voir un avertissement du contrôle de compte d'utilisateur (UAC - User Account Control). Dans ce cas, cliquez sur Oui.

Appuyez sur n'importe quelle touche pour continuer comme indiqué dans la fenêtre ("Press any key to continue")

Malwarebytes Chameleon va alors mettre à jour Malwarebytes Anti-Malware, donc vérifiez que le PC est connecté à internet si possible.

La mise à jour terminée, ce message apparait:

"Succès de la mise à jour de la base de données",

cliquez sur OK

Malwarebytes Chameleon va alors arrêter toutes les menaces actives en mémoire,

("Killing known malicious processes, please wait...")

Patientez un certain temps.

Malwarebytes Anti-Malware sera lancé automatiquement et fera un Examen rapide

La recherche finie, cliquez sur Afficher les résultats

Cliquez Supprimer la sélection

Redémarrer l'ordinateur pour finir le processus de suppression si on vous le demande.

Après redémarrage , relancez Malwarebytes Anti-Malware et exécutez un dernier Examen rapide pour vérifier qu'il ne reste plus de menaces

 

 

2)Autre solution

Désinstaller Malwarebytes 'Anti-Malware par Ajout / Suppression de programmes dans le panneau de contrôle.

Redémarrez votre ordinateur (très important).

Téléchargez et exécutez mbam-clean.exe

Redémarer (importanti).

Vider le dossier MBAM de c:\program files\ si encore présent (ça ne devrait pas)

 

Cliquez droit sur le lien suivant

Téléchargez MBAM

Puis Enregistrer la cible du lien sous..

Dans Nom du fichier:

Tapez winlogon.exe

dansType choisissez Tous les fichiers

Lancez winlogon.exe

 

[branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Lancez le

[/color]

[Dylav]

Bonjour Poirelo,

 

Comme te l'indique pear, voilà typiquement un rapport (ZHPDiag) qu'il est dangereux de coller directement dans un message, au risque de bloquer le sujet (à cause des limites du gestionnaire de forum IPB 3.1), donc de le rendre inaccessible.

 

Il est donc préférable de faire héberger de tels rapports, par exemple chez

C'est ce que j'ai fait avec le tien

[Poirelo]

Bonjour à vous.

 

Désolé pour les rapports, je prends bonne note de la procédure et vais désormais l'utiliser...

Et merci pour vos réponses.

 

Donc, j'ai pu effectuer la recherche et la suppression d'ADW Cleaner.

Voici le rapport concernant la recherche : AdwCleaner[R1].txt

Voici le rapport concernant la suppression : AdwCleaner[s1].txt

 

Voici ensuite le rapport de Junkware Removal Tool : JRT.txt

 

En ce qui concerne Malwarebytes, j'ai tout essayé mais il me met toujours le message suivant au moment du lancement:

"Erreur d'execution '372' :

Impossible de charger le contrôle 'vbalGrid' à partir de vbalsgrid6.ocx. Votre version de vbalsgrid6.ocx est peut-être obsolète. Vérifiez que vous utilisez la version du contrôle fournie avec votre application."

Et ce, même pendant l'execution du Chameleon, au moment où Malwarebytes est censé se lancer automatiquement.

Du coup je ne peux pas accèder aux résultats, et donc forcément pas non plus les supprimer...

 

Quant à la dernière étape, mes tentatives n'ont pas abouties, quand je lance mon winlogon.exe, il affiche un écran noir très bref et il ne se passe rien.

Je suppose que c'est parce que le poste ne peut pas accèder à internet...

 

Cette maudite erreur d'execution bloque tout, je ne sais pas trop comment la contourner.

Merci de votre patience en tout cas.

[pear]

Essayez ceci:

http://www.microsoft.com/fr-fr/download/details.aspx?id=5721

 

et ensuite, désinstallez /réinstallez Mbam.

[Poirelo]

Merci Pear pour cette nouvelle piste mais j'ai tenté de lancer la mise à jour, mais comme d'habitude un message a stoppé le processus...

"L'opération n'a pas pu être terminée"

 

Ceci en mode "normal" comme en mode sans échec.

[pear]

Ce type de message signifie une installation défectueuse de Mbam.

Pour l'instant ona essayé, en vain, de corriger Mbam.

mais on ne peut exclure la responsabilité de Windows.

 

Vérifier et réparer les fichiers système Vista/7 sans le cd

 

Démarrer->Tous les)Programmes->Accessoires -> Invite de commandes.

Choisissez Exécuter en tant qu'Administrateur.

Copiez-collez dans la fenêtre de commandes,:

sfc /scannow

Patientez le temps de l'analyse.

Windows vous dira s'il a pu réparer ou non

Redémarrer

 

 

Vérificateur des fichiers système pour résoudre les problèmes des fichiers système manquants ou endommagés sur Windows Vista ou Windows 7

 

 

Ouvrez une invite de commandes avec élévation de privilèges.

Pour ce faire, cliquez sur Démarrer-> Tous les programmes->Accessoires->Clic sur Invite de commande et Exécuter en tant qu'administrateur.

Si vous êtes invité à donner un mot de passe administrateur ou à confirmer une opération, tapez le mot de passe ou cliquez sur Autoriser.

À l'invite de commandes,copiez/collez la commande suivante et valdez:

sfc /scannow

La commande sfc /scannow vérifie tous les fichiers système protégés et remplace les versions incorrectes par des versions Microsoft appropriées.

 

Pour déterminer quels fichiers ne peuvent pas être réparés par l'outil Vérificateur des fichiers système :

 

Ouvrez une Invite de commande et Exécuter en tant qu'administrateur.

À l'invite de commandes,copiez/collez la commande suivante

findstr /c: "[sR]" %windir%\Logs\CBS\CBS.log > %userprofile%\Desktop\sfcdetails.txt

Validez

ou

Télécharger cbslog.bat

Enregistrez-le sur le Bureau

Clic droit sur cbslog.bat

Le rapport sfcdetailsrepair.txt s'affiche,

 

 

Le fichier Sfcdetails.txt contient les détails de ce qui a été vu chaque fois que l'outil Vérificateur des fichiers système a été exécuté sur l'ordinateur.

Le fichier comprend des informations sur les fichiers qui n'ont pas été réparés par l'outil

Vérifiez les entrées de date et heure pour déterminer le fichiers de problème qui ont été trouvés à la dernière fois que vous avez exécuté l'outil Vérificateur des fichiers système.

Tapez sfcdetails.txt dans les fichiers et programmes de recherche, puis appuyez sur entrée.

 

Le fichier Sfcdetails.txt utilise le format suivant :

Détail SFC date/heure

 

 

 

L'exemple de fichier journal suivant contient une entrée pour un fichier qui n'a pas pu être réparé. :

 

2007-01-12 12:10:42, Info

CSI 00000008 [sR] Cannot repair member file [l:34{17}]"Accessibility.dll" of Accessibility,

Version = 6.0.6000.16386, pA = PROCESSOR_ARCHITECTURE_MSIL (, Culture neutral,

VersionScope neutral, PublicKeyToken = {l:8 b:b03f5f7f11d50a3a},

Type neutral, TypeName neutral, PublicKey neutral in the store, file is missing

 

Si l'outil Vérificateur des fichiers système ne peut pas réparer un fichier, :

Il vous faut d'abord vous procurer une copie saine du fichier malade.

 

Ensuite:

Démarrez l'invite de commande En tant qu'administrateur,

copiez/ collezla commande suivante :

TAKEOWN /f Chemin_accès_et_nom_fichier

Par exemple, tapez takeown /f E:\windows\system32\jscript.dll.

Validez

Copiez / collez la commande suivante pour accorder aux administrateurs les droits complets d'accès au fichier :

icacls Chemin_accès_et_nom_fichier /GRANT ADMINISTRATORS: F

Par exemple, icacls E:\windows\system32\jscript.dll /grant administrators: F.

Validez

Copiez/collez la commande suivante pour remplacer le fichier par une copie correcte du fichier :

Copy Path_And_File_Name_Of_Source_File Path_And_File_Name_Of_Destination

Par exemple, copy E:\temp\jscript.dll E:\windows\system32\jscript.dll .

[Poirelo]

Bonsoir.

 

Merci encore pour cette réponse.

 

La commande sfc /scannow n'a pas donné de résultat.

Dès la fin du processus, il n'affiche aucun fichier à réparer ni même aucun autre résultat.

J'ai tout de même executé le cbslog.dat dont les rapports sont bien vides, toutes rubriques confondues donc rien à réparer apparemment.