[Résolu] Delta Search toujours présent

[Barban]

Bonjour,

 

Voici les 6 rapports (je n'ai pas eu accès au Bios mais j'ai réussi à démarrer sur le dvd reatogo !)

 

http://cjoint.com/?CIdmcabOOIm = scan RogueKiller

http://cjoint.com/?CIdmeDiq5Dc = Rapport registre

http://cjoint.com/?CIdmfNELLAF = Rapport Host

http://cjoint.com/?CIdmgPRIVpD = Rapport Proxy

http://cjoint.com/?CIdmitLYkXS = Rapport DNS

http://cjoint.com/?CIdmitLYkXS = Rapport Racc

[pear]

Vous avez posté 2 fois le rapport Dns.

 

Cela dit, avez vous trouvé une amélioration dans le fonctionnement de la machine malade ?

 

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.
Vous devez voir bureau REATOGO-X-PE


Double-click sur l'icone OTLPE
A "Do you wish to load the remote registry"->choisir Yes
et "Do you wish to load remote user profile(s) for scanning"->choisir Yes
si vous avez un message :
RunScanner Error - Target is not windows 2000 or later
, il faut descendre jusqu'au dossier c:\windows dans l'arborescence de local disk (c:)



Vérifier que Automatically Load All Remaining Users est coché et valider par OK

» OTLPE se lançe alors

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.
Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:



SAVEMBR:0
NetSvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
%USERPROFILE%\AppData\Local\*.*
%USERPROFILE%\AppData\Roaming\*.*
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
userinit.exe
explorer.exe
ntoskrnl.exe
services.exe
wininit.exe
afd.sys
ipsec.sys
netbt.sys
tcpip.sys
/md5stop
CREATERESTOREPOINT

Clic sur Analyse (Run Scan)
le scan terminé , le fichier se trouve là C:\OTL.txt
Comment poster les rapports
Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.
ou Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Ensuite appuyez sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Modifié le 3 septembre 2013 par pear

[Barban]

Comme je vous l'ai dit je ne peux pas démarrer à partir du dvd direct, je n'ai pas réussi à avoir accès au Bios. Est ce un vrai souci si je démarre le DVD une fois sur le bureau normal ?

[pear]

 

Est ce un vrai souci si je démarre le DVD une fois sur le bureau normal ?

Il n'y a pas de risque à le tenter.

Ou ça marche ou ça ne marche pas.

 

Vous avez cependant lancé R.Killer normalement malgré les difficultés rencontrées.

Vous n'en avez pas posté le rapport Racc(le dernier)

 

Pour suivre la procédure de Chantal 11, il faut commencer par ceci:

http://www.chantal11.com/2013/02/desactiver-le-demarrage-rapide-sous-windows-8/

Modifié le 3 septembre 2013 par pear

[Barban]

Pour la démarche de Chantal, j'ai bien fait comme dit.

 

Maintenant : le rapport racc : http://cjoint.com/?CIdo7aKLgVW

[pear]

Ok.

Revenons à nos moutons:

 

Choisissez la version 32 ou 64 bits en fonction de votre système
Télécharger sur le Bureau
FRST 64 de Farbar
Frst 32 de Farbar
Fermez toutes les applications, y compris le navigateur
Double-clic sur FRST64.exe et sur Oui pour accepter le Disclaimer
Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur


Sur le menu principal,

clic sur Scan
A la fin du scan, un rapport FRST.txt s'ouvre.
Au premier lancement, un fichier nommé Addition.txt sera créé

[Barban]

J'oubliais le rapport OTL après le rajout des lignes que vous m'avez demandées de coller : http://cjoint.com/?CIdpPfdwbju

[Barban]

Et voici les rapports FRST :

http://cjoint.com/?CIdqhheVqZB = addition FRST

http://cjoint.com/?CIdqiuizNJ3 = FRST

[pear]

Revenez dans Otl


Sous Custom scan Files ou Personnalisation

Copiez Collez

:OTL
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?
IE:64bit: - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?
IE:64bit: - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE:64bit: - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?
IE - HKLM\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKLM\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=SamsungXSSDX840XSeries_S19MNEAD313512D&ts=1378058774
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=SamsungXSSDX840XSeries_S19MNEAD313512D&ts=1378058774
IE - HKCU\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
IE - HKCU\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://www2.delta-search.com/?q={searchTerms}&babsrc=SP_ss&mntrId=2C461216D873CCDE&affID=119357&tsp=4992
IE - HKCU\..\SearchScopes\{33BB0A4E-99AF-4226-BDF6-49120163DE86}: "URL" = http://search.qvo6.com/web/?
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_8_800_94.dll File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
[2013/09/01 20:06:14 | 000,000,823 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\qvo6.xml
CHR - homepage: http://www.qvo6.com/?utm_source=b&utm_medium=cor&utm_campaign=eXQ&utm_content=hp&from=cor&uid=SamsungXSSDX840XSeries_S19MNEAD313512D&ts=1378058774
O21:64bit: - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O21 - SSODL: WebCheck - {E6FB5E20-DE35-11CF-9C87-00AA005127ED} - No CLSID value found.
O30 - LSA: Security Packages - (livessp) - File not found

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

64bit: -[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

[purity]
[emptytemp]
[resethosts]

-------->Cliquer Runfix ou Correction

OTL redémarrera le système automatiquement.
Postez le rapport.

Il faut nettoyer les raccourcis (icones) de lancement des navigateurs.
clic droit->propriétés sur les icones de raccourcis de lancement des navigateurs
Dans le champ cible, après le chemin du navigateur WEB se trouve une adresse HTTP ajoutée pour ouvrir un autre site au démarrage du navigateur,
supprimer cette adresse http.

Shortcut Cleaner
C'est un utilitaire qui va scanner votre ordinateur pour les raccourcis Windows qui ont été détournés par des logiciels indésirables ou malveillants.
S'il trouve des raccourcis défectueux, il va automatiquement les nettoyer pour qu'ils n'ouvrent pas les programmes indésirables.

 

Télécharger SFTGC.exe
sur le Bureau, impérativement sous peine de risquer un plantage

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

Sous XP, double cliquer sur le fichier.
Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Gopour lancer le nettoyage.

Un rapport va s'ouvrir à la fin.
Ce rapport est sur le bureau (SFT.txt)

Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Modifié le 3 septembre 2013 par pear

[Barban]

LE copier coller dans OTL ne fonctionne pas. Cela fait 15' qu'il est sur la même ligne de correction et quand je clique dessus il m'indique : ne répond pas. Que faire ? Je poursuis la procédure que vous m'indiquez ?