Infecté par Brontok et plein d'autres

[Jordan05]

Bonjour,

 

J'éspère que je vais faire les choses correctement pour mon 1er post.

 

Ma config est :

HP (modele m9555fr)
Intel Core 2 Quad CPU Q8200 @ 2.33 GHz
4go
1to
Windows Vista Familiale Premium
64 bits

 

J'ai pas mal de bug avec ce PC :

• j'ai le bug du brontok A il ne me gène pas vraiment mais j'imagine qu'il ne vaut mieux pas le garder chez soit celui la.
• mon pc redemarre à chaque fois que je télécharge un .exe, pire ça redemarre aussi quand je me rends sur le topic d'un forum avec .exe en titre :s
• la mémoire est saturée à + de 85% en permance même quand je ferme tout les logiciels
• j'imagine que j'ai des centaines d'autres virus ou je ne sais quoi vu que je n'ai ni firewall ni antivirus (je suis preneur de tout bon conseil pour en choisir de bons)

Je dirais un grand merci pour ceux qui voudront bien me venir en aide mais déjà bravo pour l'aide que vous proposez à tous ceux qui ont ce genre de problèmes insupportables, c'est génial comme service !

Pour le téléchargement de logiciels antimalware, antivirus et analyseurs, etc... je les prendrais avec un autre PC si vous n'avez pas de lien en .rar

 

Merci Impatient d'en finir !

[pear]

Bonjour,

 

Avant tout, il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)

Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

Télécharger OTLPEStd.exe

Ou à partir de ce lien
sur le Bureau
Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.
Lancez le fichier OTLPEStd.exe ;
Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.
Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.
Vous devez voir bureau REATOGO-X-PE


Utilisez Internet Explorer pour télécharger:

Choisissez la version 32 ou 64 bits en fonction de votre système

FRST 64 de Farbar
Frst 32 de Farbar
Fermez toutes les applications, y compris le navigateur
Double-clic sur FRST64.exe et sur Oui pour accepter le Disclaimer
Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur


Sur le menu principal,

clic sur Scan
A la fin du scan, un rapport FRST.txt s'ouvre.
Au premier lancement, un fichier nommé Addition.txt sera créé


Recommencez cette procédure pour
Télécharger RogueKiller (by tigzy)
Patienter le temps du Prescan ...
Cliquer sur Scan.
Cliquer sur Rapport et copier/coller le contenu

Nettoyage

Dans l'onglet "Registre", décocher les lignes suivantes:
(Lignes à décocher:celles que vous avez volontairement modifiées)
Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu
Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu
Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu
Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu
Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad
Sauf avis contraire, ne touchez pas aux index SSDT
Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT
(Liste des indexes)

Note. Le boutton Suppression ne sera pas accessible tant que le scan n'a pas été fait

et ensuite:

Téléchargez Malwarebytes Anti-Malware
Ici
ou là:
et enregistrez-le sur le Bureau.
Faites un double clic sur mbam-setup-2.0.0.1000.exe et suivez les invites pour installer le programme.
Cliquer Setting pour le mettre en Français
vérifiez que cette case Lancer Malwarebytes Anti-Malware est bien cochée.
Un essai gratuit de 14 jours des fonctions de la version Premium(payante) est pré-sélectionné, décochez le.
Cela ne diminuera pas les capacités d'analyse et de suppression du programme.
Cliquez sur Terminer.



Dans l'onglet Paramètres > Sous-onglet Détection et Protection, Options de détection, cochez la case située devant Recherche de Rootkits
Sur le Tableau de bord, cliquez sur le lien Mettre à jour .
Si , par la suite, vos bases de données sont obsolètes vous en serez averti et invité à Corriger maintenant.

Après la mise à jour,Connecter les supports amovibles (USB) et cliquer sur Examen-> Examen personnalisé
Cochez tout
cliquez sur le bouton Examiner maintenant .

Si des éléments sont détectés
cliquez sur Appliquer les actions pour que MBAM nettoye ce qu'il a détecté.
Dans la plupart des cas, un redémarrage sera nécessaire.
Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui

(Copier dans le Presse-papiers pour coller dans une réponse sur le forum)
Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.
Cliquez sur l'onglet Historique > Journaux de l'application.
Faites un double clic sur le Journal d'examen dont les date et heure correspondent à l'analyse qui vient d'être effectuée.
Cliquez sur Afficher puis Copier dans le Presse-papiers
Collez le contenu du Presse-papiers dans votre prochaine réponse.



Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

[Jordan05]

Je fais ça de suite mais pour ne pas perdre de temps, pouvez vous m'expliquez comme je dois faire pour vérifier l'ordre du boot dans le BIOS ? Je ne sais pas aller dans le BIOS du tout.

Et seconde chose ou je risquerai de bloquer dans quelques minutes c'est pour la partie ou je dois démarrer le pc à partir du CD que je viens de graver. Je démarre juste normalement après avoir mis le CD dans le PC ou y a un truc spécifique à faire pour ça ?

 

Merci, je m'y met !

[pear]

Accéder au bios

 

http://forum.telecharger.01net.com/forum/high-tech/PRODUITS/PC/tutoriel-modifier-sequence-sujet_27442_1.htm

 

 

Je démarre juste normalement après avoir mis le CD dans le PC

 

Oui.

Rien d'autre à faire

[Jordan05]

J'en suis à l'étape ou je dois télécharger avec ie mais le soucis c'est que je n'ai aucune connexion ni en ethernet ni en wifi avec cette version de windows.

Ca ne pose pas de soucis si je télécharge depuis l'autre pc et que je le met sur clé usb ?

[Jordan05]

Impossible d'avoir une connexion alors j'ai fais ça avec clé usb.

Vu que le CD m'a fait booté avec une sorte de windows xp je suis en 32 bits, c'est normal ? Parfois tu me proposes de télécharger en 32 ou 64 donc je me demande s'il fallait que je reste sur ce windows xp ou si fallait juste reboot une fois dessus puis revenir sur mon vista avant de lancer FISRT.

 

Donc j'ai lancé FIRST à partir de ce XP, j'ai fais le scan et à la fin j'ai un fichier FRST.txt un fichier log000 et log3 qui ne sont pas des .txt ceux la.

Je n'ai pas addition.txt par contre.

 

http://cjoint.com/?DEmsmvfc8wN

[Jordan05]

La je bloque parce que roguekillerCMD.exe ne veut pas se lancer.

Y a une fenêtre noire de commande qui s'ouvre et qui se referme aussitôt.

[pear]

Vous avez bien lancé des versions 64 bits de Frst et Rogue Killer ?

 

En cas de blocage Renommer RogueKiller.exe -> winlogon.exe

 

même chose pour Mbam

Modifié le 12 mai 2014 par pear

[Jordan05]

Non les versions 64 bits ne fonctionnent pas puisque le CD de boot avec windows XP est en 32 bits.

Donc j'ai lancé les versions en 32 bits, pour FIRST ça me fait ce que j'ai mis dans mon post précédent mais pour roguekiller, impossible de le lancer, même en le renommant par winlogon.exe

 

Quand je parle de windows XP je parle bien de REATOGO-X-PE

[pear]

On s'y prend autrement:

 

Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.
Vous devez voir bureau REATOGO-X-PE


Double-click sur l'icone OTLPE
A "Do you wish to load the remote registry"->choisir Yes
et "Do you wish to load remote user profile(s) for scanning"->choisir Yes
si vous avez un message :
RunScanner Error - Target is not windows 2000 or later
, il faut descendre jusqu'au dossier c:\windows dans l'arborescence de local disk (c:)



Vérifier que Automatically Load All Remaining Users est coché et valider par OK

» OTLPE se lançe alors

L' écran d'OTLPE s'affiche:

Vérifier que les paramètres sont identiques à ceux de l'image ci-dessus.
Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:


netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
regedit.exe
userinit.exe
services.exe
winlogon.exe
wininit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
consrv.dll
acpi.sys
AnyDVD.sys
acpiec.sys
aec.sys
afd.sys
amdk6.sys
amdk7.sys
AmdPPM.sys
arp1394.sys
ASACPI.sys
AsInsHelp32.sys
AsInsHelp64.sys
AsIO.sys
ASUSHWIO.SYS
asyncmac.sys
atapi.sys
atmarpc.sys
atmepvc.sys
atmlane.sys
atmuni.sys
audstub.sys
avgntdd.sys
avgntflt.sys
avgntmgr.sys
avipbb.sys
beep.sys
bridge.sys
bthport.sys
cbidf2k.sys
cdaudio.sys
cdfs.sys
cdrom.sys
cinemst2.sys
classpnp.sys
cpqdap01.sys
crusoe.sys
d347bus.sys
d347prt.sys
dfsc.sys
disk.sys
diskdump.sys
dmboot.sys
dmio.sys
dmload.sys
DMusic.sys
drmk.sys
drmkaud.sys
dxapi.sys
dxg.sys
dxgthk.sys
eamon.sys
fastfat.sys
fdc.sys
fips.sys
flpydisk.sys
fltMgr.sys
fsvga.sys
fs_rec.sys
ftdisk.sys
gm.dls
gmreadme.txt
hdaudbus.sys
hidclass.sys
hidparse.sys
hidusb.sys
http.sys
i8042prt.sys
imapi.sys
intelppm.sys
ip6fw.sys
ipfltdrv.sys
ipinip.sys
ipnat.sys
ipsec.sys
irenum.sys
isapnp.sys
kbdclass.sys
kbdhid.sys
kmixer.sys
ks.sys
ksecdd.sys
mcd.sys
mf.sys
mnmdd.sys
modem.sys
monfilt.sys
mouclass.sys
mouhid.sys
mountmgr.sys
mqac.sys
mrxdav.sys
mrxsmb.sys
msfs.sys
msgpc.sys
MSKSSRV.sys
MSPCLOCK.sys
MSPQM.sys
mssmbios.sys
mup.sys
NBF.SYS
ndis.sys
ndistapi.sys
ndisuio.sys
ndiswan.sys
ndproxy.sys
netbios.sys
netbt.sys
nic1394.sys
nikedrv.sys
nmnt.sys
npfs.sys
ntfs.sys
null.sys
nv4_mini.sys
nwlnkflt.sys
nwlnkfwd.sys
nwlnkipx.sys
nwlnknb.sys
nwlnkspx.sys
nwrdr.sys
oprghdlr.sys
p3.sys
parport.sys
partmgr.sys
parvdm.sys
pci.sys
pciide.sys
pciidex.sys
pcmcia.sys
portcls.sys
processr.sys
psched.sys
ptilink.sys
rasacd.sys
rasl2tp.sys
raspppoe.sys
raspptp.sys
raspti.sys
rawwan.sys
rdbss.sys
rdpcdd.sys
rdpdr.sys
rdpwd.sys
redbook.sys
rio8drv.sys
riodrv.sys
rmcast.sys
rndismp.sys
rootmdm.sys
Rtenicxp.sys
SafeBoot.sys
scsiport.sys
sdbus.sys
secdrv.sys
serenum.sys
serial.sys
sffdisk.sys
sffp_mmc.sys
sffp_sd.sys
sfloppy.sys
smb.sys
smclib.sys
sonydcam.sys
splitter.sys
sr.sys
srv.sys
ssmdrv.sys
stream.sys
swenum.sys
swmidi.sys
sysaudio.sys
tape.sys
tcpip.sys
tcpip6.sys
tdi.sys
tdpipe.sys
tdtcp.sys
tdx.sys
termdd.sys
tosdvd.sys
tsbvcap.sys
tunmp.sys
udfs.sys
update.sys
usb8023.sys
usbcamd.sys
usbcamd2.sys
usbccgp.sys
usbd.sys
usbehci.sys
usbhub.sys
usbintel.sys
usbohci.sys
usbport.sys
usbprint.sys
usbscan.sys
USBSTOR.SYS
VBoxDrv.sys
VBoxNetAdp.sys
VBoxNetFlt.sys
VBoxUSBMon.sys
vdmindvd.sys
vga.sys
viahduaa.sys
videoprt.sys
VMM.sys
VMNetSrv.sys
volsnap.sys
wanarp.sys
wdmaud.sys
wmiacpi.sys
wmilib.sys
ws2ifsl.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

Clic sur Analyse (Run Scan)
le scan terminé , le fichier se trouve là C:\OTL.txt
Comment poster les rapports
Vous copiez/collez tout ou partie des rapports dans un ou plusieurs messages.
ou Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Ensuite appuyez sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.