Security-X
Forum Security-X => Désinfections => Discussion démarrée par: Antoine12 le janvier 28, 2013, 01:57:04
-
Bonjour, quelqu'un pourrait il me guider pour supprimer ce virus de mon ordinateur? Je suis sous vista et à chaque fois que je redémarrel l'ordi, que ce soit en mode normal ou sans échec, j'ai l ecran du virus qui apparaît au bout de 3 ou 4 secondes,il sagit du virus qui dit que le Ministère de l interieur a bloqué mon ordi et que je dois payer 100€ dans les 48h si je souhaite éviter toute poursuite. Si quelqu'un pouvais m aider je lui serai très reconnaissant. Merci
-
Bonjour Antoine12,
Puisque même en mode sans échec tu es bloqué, nous allons donc faire autrement. et analyser le système depuis un liveCD.
----------------------------------------------------------------------------------------------
1) Préparation du Live CD Reatogo :
- Depuis un PC sain, peu importe son système d'exploitation, télécharge OTLPENet.exe (http://oldtimer.geekstogo.com/OTLPENet.exe) et enregistre-le sur le Bureau.
Le téléchargement du fichier (121 Mo) peut prendre du temps selon ton débit Internet
- Insère un CD vierge dans le lecteur/graveur CD/DVD et double-clique sur OTLPENet.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Valide par Oui à la demande de gravure du CD
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2F1_burn10.jpg&hash=b3f69e825723c327b60c64f0903b981ae478ae0d) (http://www.servimg.com/image_preview.php?i=483&u=12972154)
- Patiente le temps de la décompression. ImgBurn se lance et grave le CD automatiquement
- Un message de réussite doit apparaître. Clique sur OK et referme les fenêtres.
2) Utilisation de OTLPE :
/!\ Verr Num est activé par défaut, penser à le désactiver. Le clavier est configuré en QWERTY /!\
- Insère le CD Reatogo dans le lecteur du PC infecté et démarre sur le lecteur
- L'environnement Reatogo démarre
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2F2_star10.jpg&hash=9669bbe821ddb0f419c4a8f58db84cba13d7858f) (http://www.servimg.com/image_preview.php?i=484&u=12972154)
- Le système d'exploitation du CD se charge en mémoire. Patiente, cela peut prendre plusieurs minutes
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2F3_char10.jpg&hash=a93d3cdc1e7c99bc395657f53aaa91188a7fb19b) (http://www.servimg.com/image_preview.php?i=485&u=12972154)
Le Bureau REATOGO-X-PE apparaît
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2F4b_bur10.jpg&hash=266f6c20ffc6554c3bfbbae1989419977b8c86a2) (http://www.servimg.com/image_preview.php?i=486&u=12972154)
- Si besoin, tu devrais avoir ta connexion Internet active et pouvoir te connecter sur le forum
- Double-clique sur l'icône OTLPE
- Clique sur Oui pour Do you wish to load Remote user profile(s) for scanning ?
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2F5_runs10.jpg&hash=71d8301ee2c89322abe70a46dc826987a88ad63c) (http://www.servimg.com/image_preview.php?i=487&u=12972154)
- Sélectionne ta session, vérifie que Automatically Load All Remaining Users soit coché et clique sur OK
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi67.servimg.com%2Fu%2Ff67%2F12%2F97%2F21%2F54%2F6_sele10.jpg&hash=a11267344264bd4f0694264640a6238974a08146) (http://www.servimg.com/image_preview.php?i=488&u=12972154)
Si tu as Windows Vista ou 7, tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c: )
- OTLPE s'ouvre
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi47.servimg.com%2Fu%2Ff47%2F12%2F97%2F21%2F54%2F7_otlp10.jpg&hash=e9c1b2828be841319f43e3cc87f6b2d6c0220225) (http://www.servimg.com/image_preview.php?i=614&u=12972154)
- Copie-colle sous Custom Scans/Fixes l'intégralité de ce qui suit (Sélectionner -> Clic-droit -> Copier)
netsvcs
msconfig
safebootminimal
safebootnetwork
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
- Clique ensuite sur Run Scan et patiente le temps du scan
- Le rapport OTL.txt s'affiche
- Le rapport étant trop long pour le forum, héberge-le sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique le lien fourni dans ta réponse.
Le rapport est sauvegardé sous My Computer -> C:\OTL.txt.
-----------------------------------------------------------------------------------------------------------------
Est attendu le lien du rapport OTL.txt
@+
-
Bonjour chantal11 merci pour ta reponse, j ai gravé le fichier par contre quand je met le cd dans le PC infecté il ne le lit pas et le clavier et la souris ne fonctionnent plus. As tu une solution à ce nouveau problème
-
Re,
par contre quand je met le cd dans le PC infecté il ne le lit pas
Tu démarres bien sur le CD ?
Démarrer l’ordinateur sur le lecteur CD/DVD (http://www.chantal11.com/2009/04/demarrer-ordinateur-sur-lecteur-cd-dvd-seven-vista/)
Le CD se lance-t-il ?
Si oui, tu arrives jusqu'à quel écran ?
@+
-
Non le cd ne se lance pas . G l écran qui me demande le mode de démarrage :" sans échec...." Je n ai pas la main dessus car ni la souris ni ne clavier ne répondent. Une fois les 20 ou 25 secondes écoulées, le bureau apparaît avec toutes les dossiers et au bout de 5 secondes le message du ministère de l intérieur. Je ne comprend pas hier le clavier et la souris fonctionnaient. Que dois je faire?
-
Re,
Non, tu dois démarrer sur le lecteur CD/DVD avant que l'écran des options de démarrage avancées (mode sans échec .....) n'apparaisse.
Donc dès que le PC redémarre, tapote F8 au démarrage et sélectionne ton lecteur.
Si cela ne fonctionne pas, il te faut modifier l'ordre du boot pour démarrer en priorité sur le lecteur comme indiqué dans le tutoriel Démarrer l’ordinateur sur le lecteur CD/DVD (http://www.chantal11.com/2009/04/demarrer-ordinateur-sur-lecteur-cd-dvd-seven-vista/)
@+
-
Voilà mon clavier fonctionne à nouveau. Je ne sait pas ce qu il c est passé .quant je tapote sur f8 au démarrage j qu'une page avec plusieurs choix : mode sans échec , mode SE avec prise en charge réseau , invite de commande en mode SE, inscrire les événements de démarrage dans le journal, activer la vidéo à basse résolution , dernière configuration valide connue, mode restauration Des services d annuaire, mode debobage, désactiver le redémarrage automatique en cas d échec du système, désactiver le contrôle obligatoire des signatures de pilote et démarrer normalement. Il ne parlent pas du lecteur cd. Que dois je faire ?
-
Re,
Et en passant directement par le bios pour configurer l'ordre de boot, tu n'y arrives pas ?
C'est un PC constructeur ? quelle référence ?
Portable ou fixe ?
@+
-
J'ai essayé mais je n ai pas les même écrans que sur le lien que tu m'as indiqué, j'ai tapé entrer en face la ligne cd CDROM pour le passer en prioritaire puis j ai choisi l option quitter et sauvegarder. Quand je redémarré g l impression que le disque tourne mais il ne se passe rien, la page fu virus apparaît puis plus rien, j ai un ordinateur fixe acer aspire t671 Merci encore de répondre aussi vite je suis complètement perdu!!!
-
Alors la je ne comprend plus rien je viens d accéder à mon bureau, je n ai plus le message ministère de l intérieur comment c 'est possible. Qu sexe que je dois faire du coup?
-
Re,
Ah! .... ça nous arrange finalement :D
Donc on va analyser le système en mode normal, suis les instructions suivantes :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
/!\ Important -> Pour les utilisateurs d'Avast, OTL ne doit pas être lancé en mode Sandbox /!\
- Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) de OldTimer et enregistre le sur le Bureau
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Coche la case Tous les utilisateurs
- Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit (Sélectionner -> Clic-droit -> Copier)
netsvcs
safebootminimal
safebootnetwork
msconfig
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
- Clique ensuite sur Analyse et patiente le temps du scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fup%2Ffile.php%3Fh%3DR6bf61dfacd928de986ee709350e195cf&hash=03645c8d649e05e05196f29eabc6fc4295f0a253)
- A la fin de l'analyse, les rapports OTL.txt et Extras.txt s'affichent.
- Les rapports étant trop longs pour le forum, héberge-les sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Les rapports sont sauvegardés sur le Bureau.
@+
-
http://security-x.fr/up/file.php?h=Rafde072bca5a539751d7db978ffd638c voici le lien pour le rapport, que dois je faire de plus?
-
Re,
Oui, ça c'est le rapport Extras.txt.
Tu peux faire la même chose pour le rapport OTL.txt et m'indiquer le lien s'il te plaît ?
@+
-
Re,
Tu as trouvé le rapport OTL.txt ?
J'en ai besoin pour nettoyer ton système, même si ton Bureau n'est plus bloqué, le Virus Ministère de l'intérieur est toujours là.
Le rapport OTL.txt est dans ton dossier Téléchargements.
@+
-
http://security-x.fr/up/file.php?h=R3ee5619e06096b76b4f221755f8db88f voila le lien pour otl.txt
tiens moi au courant merci
à + ;)
-
Bonsoir,
Il faut être vigilant sur ce que tu valides lors de l'installation de logiciels gratuits, bien lire les conditions d'utilisation et ne pas accepter tout ce qui est proposé avec (cases pré-cochées).
Stop la pub ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
Tu as été infecté par le Virus Ministère de l'Intérieur parce que des plugins/extensions à risque comme Java ne sont pas à jour.
Nous nous en occuperons par la suite.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Désinstalle via Panneau de configuration -> Programmes et fonctionnalités (si présents) :
Babylon toolbar on IE
Complitly
DealPly
FilesFrog Update Checker
PricePeep for Internet Explorer
IB Updater Service
Outil de notification de cadeaux MSN
IncrediBar
Si un programme ne veut pas se désinstaller, tu passes au suivant.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) RogueKiller :
- Télécharge RogueKiller (http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe) de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
- /!\ Important -> Quitte tous les programmes en cours
- Double-clique sur RogueKiller.exe sur ton Bureau
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Patiente le temps du Prescan, puis clique sur Scan
Un 1er rapport s'est créé sur le Bureau
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.sur-la-toile.com%2F4Z2Y&hash=e0448063f7abd408bec396e63a86c098d7ec20bf)
- Clique ensuite sur Suppression, un 2ème rapport est créé sur le Bureau
- Poste le contenu de ces 2 rapports par copier/coller dans ta prochaine réponse
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) AdwCleaner - Suppression :
- Sur cette page, télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
- A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\AdwCleaner(S).txt
Tutoriel d'utilisation AdwCleaner en images (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)
---------------------------------------------------------------------------------------------
Sont attendus les rapports :
- RogueKiller
- AdwCleaner(S).txt
@+
-
C est encore moi, je suis desolé maid je crois qu'on va devout recommencer du debut, l'autre jour ca fonctionnait mais le sour j au eteind mon ordi et quant je l ai rallumé le virus etait tjrs là grrrrrr!!! Par contre maintenant j arrive à allumer l ordinateur avec reatogo. Je te donne le lien du rapport ci- dessous. Peux tu m aider à me débarrasser de ce satané virus? Merci par avance pour ton aide et pour toute les réponses que tu m'as déjà apporté.
-
Bonsoir,
Oui, pas de souci, mais indique le lien parce que tu ne l'as pas mis ;)
-
Je vais le mettre mais le scan est toujours en cours, ça ne va plus tarder je pense :-)
-
OK, en attente du lien alors :D
-
En fait je l ai fait une première fois tout à l heure et ensuite au lieu de copier le rapport j ai voulu télécharger roguekiller et adwcleaner. J ai suivi la procédure pour roguekiller, ça à fonctionné en partie mis à part que je ne pouvais pas supprimer l intégralité des fichiers trouves. Et pour adwcleaner, j ai réussi à le télécharger mais pas a l ouvrir. Après environ 1h de manip, j ai redémarré le Pc pour voir si tout fonctionnait et manque de pot g eu de nouveau le virus à l écran !!! Grrrr donc maintenant je viens de tout recommencer et cette fois ci je ne fais plus rien sans tes précieux conseils!!!
-
Re,
Oui, mais il ne faut pas tout mélanger.
L'indication pour RogueKiller et AdwCleaner était pour un système qui démarrait correctement.
Si tu es de nouveau bloqué, tu fais uniquement l'analyse OTLPE sous Reatogo.
@+
-
ok bien recu voici le lien j attend tes instructions merci encore
http://security-x.fr/up/file.php?h=R363ddb123a35cb1438f0de76aebeaf8c
-
Re,
Démarre sur le CD Reatogo et relance OTLPE comme indiqué précédemment.
- sous Custom Scans/Fixes (Personnalisation), copie-colle le contenu du script ci-dessous (Sélectionner -> Clic-droit -> Copier)
:OTL
SRV - [2012/12/18 10:18:24 | 000,188,760 | ---- | M] () [Auto] -- C:\Program Files\IB Updater\ExtensionUpdaterService.exe -- (IB Updater)
SRV - [2012/11/14 05:56:18 | 001,049,456 | ---- | M] () [Auto] -- C:\Windows\System32\dmwu.exe -- (IBUpdaterService)
O2 - BHO: (Babylon toolbar helper) - {2EECD738-5844-4a99-B4B6-146BF802613B} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\bh\BabylonToolbar.dll (Babylon BHO)
O2 - BHO: (IB Updater) - {336D0C35-8A85-403a-B9D2-65C292C39087} - C:\Program Files\IB Updater\Extension32.dll ()
O2 - BHO: (Incredibar.com Helper Object) - {6E13DDE1-2B6E-46CE-8B66-DC8BF36F6B99} - C:\Program Files\Incredibar.com\incredibar\1.8.7.1\bh\incredibar.dll (Montera Technologeis LTD)
O2 - BHO: (DealPly) - {A6174F27-1FFF-E1D6-A93F-BA48AD5DD448} - C:\Program Files\DealPly\DealPlyIE.dll (DealPly Technologies Ltd)
O2 - BHO: (DataMngr) - {C1ED9DA0-AFD0-4b90-AC6A-D3874F591014} - C:\Program Files\Search Results Toolbar\Datamngr\BrowserConnection.dll (Bandoo Media Inc)
O2 - BHO: (Complitly) - {D27FC31C-6E3D-4305-8D53-ACDAEFA5F862} - C:\Users\Marina\AppData\Roaming\Complitly\Complitly.dll (SimplyGen)
O2 - BHO: (Search-Results Toolbar) - {f34c9277-6577-4dff-b2d7-7d58092f272f} - File not found
O2 - BHO: (PricePeep) - {FD6D90C0-E6EE-4BC6-B9F7-9ED319698007} - C:\Program Files\PricePeep\pricepeep.dll (PricePeep)
O3 - HKLM\..\Toolbar: (Babylon Toolbar) - {98889811-442D-49dd-99D7-DC866BE87DBC} - C:\Program Files\BabylonToolbar\BabylonToolbar\1.5.3.17\BabylonToolbarTlbr.dll (Babylon Ltd.)
O3 - HKLM\..\Toolbar: (no name) - {ae07101b-46d4-4a98-af68-0333ea26e113} - No CLSID value found.
O3 - HKLM\..\Toolbar: (Search-Results Toolbar) - {f34c9277-6577-4dff-b2d7-7d58092f272f} - File not found
O3 - HKLM\..\Toolbar: (Incredibar Toolbar) - {F9639E4A-801B-4843-AEE3-03D9DA199E77} - C:\Program Files\Incredibar.com\incredibar\1.8.7.1\incredibarTlbr.dll (Montera Technologeis LTD)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O3 - HKU\Marina_ON_C\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
O3 - HKU\Marina_ON_C\..\Toolbar\WebBrowser: (no name) - {8E5025C2-8EA3-430D-80B8-A14151068A6D} - No CLSID value found.
O3 - HKU\Marina_ON_C\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
O4 - Startup: C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de notification de cadeaux MSN.lnk = File not found
O4 - Startup: C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk = X:\I386\SYSTEM32\RUNDLL32.EXE (Microsoft Corporation)
O20 - AppInit_DLLs: (C:\PROGRA~2\Wincert\WIN32C~1.DLL) - C:\ProgramData\Wincert\win32cert.dll ()
O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\datamngr.dll) - C:\Program Files\Search Results Toolbar\Datamngr\datamngr.dll (Bandoo Media Inc)
O20 - AppInit_DLLs: (C:\PROGRA~1\SEARCH~1\Datamngr\IEBHO.dll) - C:\Program Files\Search Results Toolbar\Datamngr\IEBHO.dll (Bandoo Media Inc)
NetSvcs: winmgmt - C:\Users\Marina\AppData\Local\Temp\wi0at2j.exe (Microsoft Corporation)
SafeBootMin: WinMgmt - C:\Users\Marina\AppData\Local\Temp\wi0at2j.exe (Microsoft Corporation)
SafeBootNet: WinMgmt - C:\Users\Marina\AppData\Local\Temp\wi0at2j.exe (Microsoft Corporation)
[2013/01/29 21:37:09 | 000,000,000 | ---D | C] -- C:\Program Files\PriceGong
[2013/01/28 14:54:20 | 000,000,000 | ---D | C] -- C:\ProgramData\Wincert
[2013/01/28 14:54:01 | 000,000,000 | ---D | C] -- C:\Program Files\Search Results Toolbar
[2013/01/28 14:53:47 | 000,000,000 | ---D | C] -- C:\Users\Marina\AppData\Local\iLivid
[2013/01/28 09:49:01 | 000,000,000 | ---D | C] -- C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\FilesFrog Update Checker
[2013/01/28 09:49:00 | 000,000,000 | ---D | C] -- C:\Program Files\FilesFrog Update Checker
[2013/01/28 09:48:49 | 000,000,000 | ---D | C] -- C:\Program Files\PricePeep
[2013/01/28 09:48:41 | 000,000,000 | ---D | C] -- C:\Users\Marina\AppData\Roaming\IncrediBar
[2013/01/28 09:48:33 | 000,000,000 | ---D | C] -- C:\Program Files\Incredibar.com
[2013/01/28 09:48:32 | 000,000,000 | ---D | C] -- C:\Users\Marina\AppData\Roaming\Incredibar.com
[2013/01/28 09:48:21 | 000,000,000 | ---D | C] -- C:\Windows\System32\WNLT
[2013/01/28 09:48:21 | 000,000,000 | ---D | C] -- C:\Windows\System32\ARFC
[2013/01/28 09:48:18 | 000,000,000 | ---D | C] -- C:\Program Files\IB Updater
[2013/01/29 15:51:14 | 095,023,320 | ---- | M] () -- C:\ProgramData\j2ta0iw.pad
[2013/01/29 15:49:55 | 000,003,229 | ---- | M] () -- C:\ProgramData\j2ta0iw.js
[2013/01/29 15:49:55 | 000,000,919 | ---- | M] () -- C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\runctf.lnk
[2013/01/28 14:55:13 | 000,000,841 | ---- | M] () -- C:\Users\Marina\Desktop\iLivid.lnk
[2013/01/28 14:55:13 | 000,000,849 | ---- | C] () -- C:\Users\Marina\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\iLivid.lnk
[2013/01/28 09:48:21 | 001,049,456 | ---- | C] () -- C:\Windows\System32\dmwu.exe
[2013/01/28 09:48:21 | 000,028,160 | ---- | C] () -- C:\Windows\System32\ImHttpComm.dll
[2012/02/18 17:23:18 | 000,000,000 | ---D | M] -- C:\Users\Marina\AppData\Roaming\Babylon
[2012/02/18 17:23:48 | 000,000,000 | ---D | M] -- C:\Users\Marina\AppData\Roaming\Complitly
[2012/10/15 06:12:03 | 000,000,000 | ---D | M] -- C:\Users\Marina\AppData\Roaming\OpenCandy
[2012/01/19 14:24:32 | 000,000,000 | ---D | M] -- C:\ProgramData\Ask
[2012/02/18 17:23:18 | 000,000,000 | ---D | M] -- C:\ProgramData\Babylon
[2013/01/28 14:54:04 | 000,000,000 | ---D | M] -- C:\ProgramData\boost_interprocess
@Alternate Data Stream - 113 bytes -> C:\ProgramData\TEMP:88050731
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
- Clique ensuite sur le bouton Run Fix (Correction) et patiente le temps de la correction
- Le rapport C:\_OTL\MovedFiles\********_******.log s'affiche. Il est sauvegardé sous My Computer -> C:\_OTL\MovedFiles\********_******.log
- Poste le rapport dans ta prochaine réponse
Redémarre ensuite ton PC en mode normal Windows.
Est-ce que tu as accès à ta session ?
@+
-
voici le rqpport
http://security-x.fr/up/file.php?h=R6b2a3d7d5644c59b588a959455da8ae4 je vais essayer de redemarrer maintenant
-
Bonsoir,
Confirme que le système redémarre normalement, et nous pourrons continuer la procédure.
@+
-
Chantal, je viens de redémarrer l ordi ça marche g un rapport ouvert sur le bureau otl c est normal?
-
Re,
C'est quoi comme rapport OTL ?
Tu peux le poster s'il te plaît.
Donc, c'est parfait si le système fonctionne maintenant en mode normal.
Donc on continue.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) Malwarebyte's Anti-Malware :
- Télécharge Malwarebytes Anti-Malware (http://www.malwarebytes.org/mwb-download/) et enregistre le sur le Bureau
- Double-clique sur le fichier mbam-setup.exe pour lancer l'installation
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- A la fin de l'installation, veille à ce que l'option Mettre à jour Malwarebytes' Anti-Malware soit cochée
- Clique sur Terminer
- Lance Malwarebyte's en double-cliquant sur l'icône sur le bureau
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Les Mises à jour se téléchargent, puis ouvre Malwarebyte's
- Dans l'onglet Paramètres, puis Paramètres d'examen, sélectionne Afficher dans les résultats, pré-coché pour suppression pour les 2 actions Programmes potentiellement indésirables (PUP) et Modifications potentiellement indésirables (PUM)
- Dans l'onglet Recherche, coche Exécuter un examen complet puis clique sur Rechercher
- Sélectionne ton disque dur, puis clique sur Lancer l'examen
- A la fin du scan, clique sur Afficher les résultats
- Pour supprimer les éléments détectés, clique sur Supprimer la sélection
- Si un redémarrage est demandé, clique sur Yes
- Le rapport mbam-log[date-heure].txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) AdwCleaner - Suppression :
- Sur cette page, télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) de Xplode en cliquant sur le bouton Télécharger et enregistre le fichier sur ton Bureau
- Ferme toutes les applications, y compris ton navigateur
- Double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sous IE9, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Sur le menu principal, clique sur Suppression et patiente le temps de l'analyse
- A la fin du scan, un rapport AdwCleaner(S).txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
Le rapport se trouve sous C:\AdwCleaner(S).txt
Tutoriel d'utilisation AdwCleaner en images (http://forum.security-x.fr/tutoriels-317/%28tutoriel%29-adwcleaner/)
---------------------------------------------------------------------------------------------
Sont attendus les rapports :
- mbam-log[date-heure].txt
- AdwCleaner(S).txt
@+
-
http://security-x.fr/up/file.php?h=Rdf5073f83ee027a1956426fbb05ff60b c'est le lien que j'avais sur le bureau
maintenant je vais faire ce que tu m'a indiqué
-
Re,
OK ... en attente des rapports mbam-log[date-heure].txt et AdwCleaner(S).txt
@+
-
voila
http://security-x.fr/up/file.php?h=Rfb869b7209df7b9f598399de14865867
-
http://security-x.fr/up/file.php?h=R2db2667cf1e87f05aebcd4c7cb7071c9 c est le deuxieme
-
http://security-x.fr/up/file.php?h=R2c34c076b8ec42f3c443297d37c17d6a voici le rapport adw cleaner
encore merci pour ton aide precieuse
dois-je faire autre chose?
@+
-
Re,
Merci pour les rapports.
On continue, un rootkit, plus coriace, s'est aussi invité sur ton système.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) TDSSKiller :
- Télécharge TDSSKiller (http://support.kaspersky.com/downloads/utils/tdsskiller.exe) de Kaspersky et enregistre-le sur ton Bureau
- Double-clique sur TDSSKiller.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Clique sur Change parameters et coche la case Loaded modules. Le message Reboot is required s'affiche.
Il faut le valider en cliquant sur Reboot now.
- Au redémarrage, valider la demande Voulez-vous exécuter ce fichier (Editeur Kasperky.Labs).
L'outil TDSSKiller se relance.
- Clique de nouveau sur Change parameters et coche dans Additionnal options les cases Verify driver digital signatures et Detect TDLFS file system. Valide par OK
- Clique sur Start scan pour lancer l'analyse. Laisse travailler l'outil sans l'interrompre.
- En fin d'analyse, si l'outil a trouvé des éléments suspects ou malicieux, laisse les options indiquées par l'outil pour l'action à effectuer :
- Si TDSS.tdl2 est détecté, l'option delete soit cochée par défaut
- Si TDSS.tdl3 est détecté, l'option Cure soit bien cochée
- Si TDSS.tdl4 (mbr) est détecté, l'option Cure soit bien cochée
- Si Suspicious object est indiqué, l'option Skip soit cochée
- Clique ensuite sur Continue, puis clique sur Reboot computer
- Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum
Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt
Tutoriel d'utilisation TDSSKiller en images (http://forum.security-x.fr/tutoriels-317/tutoriel-tdsskiller-nouvelle-version/)
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) RogueKiller :
- Télécharge RogueKiller (http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe) de Tigzy, en cliquant sur le lien de téléchargement et enregistre-le sur ton Bureau
- /!\ Important -> Quitte tous les programmes en cours
- Double-clique sur RogueKiller.exe sur ton Bureau
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Patiente le temps du Prescan, puis clique sur Scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.sur-la-toile.com%2F4Z2Y&hash=e0448063f7abd408bec396e63a86c098d7ec20bf)
- Clique sur Rapport et poste le contenu de ce rapport dans ta prochaine réponse
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe
---------------------------------------------------------------------------------------------
Sont attendus les rapports :
- TDSSKiller.Version_Date_Heure_log.txt
- Roguekiller
@+
-
http://security-x.fr/up/file.php?h=R1d552458dbf896347569ccb5e926b7fa
Bonsoir
voici le rapport
-
Bonsoir,
Regarde sous C:
Tu devrais trouver un rapport TDSSKiller plus long que celui que tu m'as posté.
Tu peux le poster, s'il te plaît ?
En attente aussi du rapport RogueKiller.
@+
-
http://security-x.fr/up/file.php?h=R1e29ae18a2e2125e41b9d213c4bbd029 c'est celui la je suppose,
-
http://security-x.fr/up/file.php?h=R06e526fe2cee20ab84d7aece7c15d8c9
voili voilou dis moi cque t'en pense merci
@+
-
Re,
OK, tu vas devoir relancer les 2 outils.
Suis bien les instructions indiquées.
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) TDSSKiller :
- Relance TDSSKiller comme indiqué précédemment avec les paramètres indiqués
- En cours d'analyse, pour cette détection TDSS File System, sélectionne l'option Delete
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi47.servimg.com%2Fu%2Ff47%2F12%2F97%2F21%2F54%2Ftdss_f10.png&hash=fa905dc12b16467c0e7117d125c11402c81e3516) (http://www.servimg.com/image_preview.php?i=606&u=12972154)
- Si TDSS.tdl4 (mbr) est détecté, vérifie que l'option Cure soit sélectionnée
- Clique ensuite sur Continue, puis clique sur Reboot computer
- Au redémarrage, poste le rapport TDSSKiller.Version_Date_Heure_log.txt dans ta réponse sur le forum
Le rapport TDSSKiller.Version_Date_Heure_log.txt est enregistré sous C:\TDSSKiller.Version_Date_Heure_log.txt
---------------------------------------------------------------------------------------------
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) RogueKiller :
- /!\ Important -> Quitte tous les programmes en cours
- Double-clique sur RogueKiller.exe sur ton Bureau
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Patiente le temps du Prescan, puis clique sur Scan
Un 1er rapport s'est créé sur le Bureau
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fup.sur-la-toile.com%2F4Z2Y&hash=e0448063f7abd408bec396e63a86c098d7ec20bf)
- Clique ensuite sur Suppression, un 2ème rapport est créé sur le Bureau
- Poste le contenu de ces 2 rapports par copier/coller dans ta prochaine réponse
Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe
---------------------------------------------------------------------------------------------
Sont attendus les nouveaux rapports :
- TDSSKiller
- RogueKiller en mode suppression
@+
-
salut
http://security-x.fr/up/file.php?h=R8a8201b6fe18c4206d48cb31341bb827
-
http://security-x.fr/up/file.php?h=R53172e9d90d21bff276588872890c3f3
http://security-x.fr/up/file.php?h=Rbcaf3f99c6a8d3c87a535456698c2da8
Voici les 2 autres rapports
-
Bonsoir,
C'est OK pour les rapports.
Comment se comporte le système maintenant ?
Tu sais que tu as très peu d'espace disponible sur te partition C ?
10% de libre, ton Vista est en train d'étouffer.
Je t'invite à faire de la place en désinstallant les applications que tu n'utilises plus et en transférant des données personnelles sur un autre support.
Nous allons faire un contrôle avec OTL :
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fi77.servimg.com%2Fu%2Ff77%2F12%2F97%2F21%2F54%2Farrow511.gif&hash=ce44c49d46cda55a28880d5122c55094392748cc) OTL :
/!\ Important -> Pour les utilisateurs d'Avast, OTL ne doit pas être lancé en mode Sandbox /!\
- Ferme toutes les autres fenêtres et double-clique sur OTL.exe
/!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
- Coche la case Tous les utilisateurs
- Dans le cadre Personnalisation, copie-colle l'intégralité de ce qui suit (Sélectionner -> Clic-droit -> Copier)
netsvcs
safebootminimal
safebootnetwork
msconfig
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\Tasks\*.* /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
- Clique ensuite sur Analyse et patiente le temps du scan
(https://forum.security-x.fr/proxy.php?request=http%3A%2F%2Fsecurity-x.fr%2Fup%2Ffile.php%3Fh%3DR6bf61dfacd928de986ee709350e195cf&hash=03645c8d649e05e05196f29eabc6fc4295f0a253)
- A la fin de l'analyse, le rapport OTL.txt s'affiche.
- Héberge-le sur ce site d'hébergement de fichiers (http://security-x.fr/up/) et indique les liens fournis dans ta réponse. Aide en images (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Les rapport est sauvegardé sur le Bureau.
@+
-
Bonjour,
Des soucis pour continuer la désinfection ?
@+
-
bonjour, je viens d'effectuer toute la procédure pour réparer mon pc portable, mais le hic maintenant est qu'apres démarrage j'obtiens un écran noir total!!!!
Merci pour votre aide
ps: pc portable HP avec windows Vista pro
-
Bonjour paco02,
Merci d'ouvrir votre propre sujet en y expliquant les étapes déjà réalisées et les problèmes rencontré.
:AAN