My security shield Résolu/Fermé

Question

Bonjour, 

Comme le dit le titre, mon PC a été infecté par My security shield. J'ai donc été fouiné un peu sur votre forum et lu qu'il fallait DL "ZHPdiag" l'installer et après faire d'autres manips que je n'ai pas eu le temps de réaliser car le virus bloque l'installation du logiciel.

Je voudrais donc avoir votre aide pour nettoyer mon PC.

Merci d'avance.



Configuration: Windows XP / Firefox 3.6.13

moment de grace · Answer

bonjour

* Télécharge sur le bureau RogueKiller (par tigzy) 
https://www.luanagames.com/index.fr.html 


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours 
* Lance RogueKiller.exe. 
* Lorsque demandé, tape 2 et valide 
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

Guimauve · Answer

Bonjour,

désolé de te répondre que maintenant. Le programme semble avoir disparue mais je prefere être sûr donc voici le fichier txt de Roguekiller.

RogueKiller V3.5.1 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Scan -- Time : 25/12/2010 19:02:15

Bad processes:
Killed c:\documents and settings\guillaume\application data\dwm.exe
Killed c:\docume~1\guilla~1\locals~1\temp\csrss.exe
Killed c:\documents and settings\guillaume\application data\microsoft\conhost.exe

Found:
HKLM\...\RUN\ conhost : C:\Documents and Settings\Guillaume\Application Data\Microsoft\conhost.exe
HKCU\...\Winlogon\ Shell : explorer.exe,C:\Documents and Settings\Guillaume\Application Data\dwm.exe
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:57152
Firefox Proxy: rci3kg9j.default \ 127.0.0.1:57152

HKLM\SYSTEM\ControlSet001\services\vbma3f60 ->
HKLM\SYSTEM\ControlSet002\services\vbma3f60 ->

Finished

Merci.

edit: en réalité il n'a pas disparu mais étrangement il ne s'est pas lancé au démarrage.

moment de grace · Answer

ce n'est que provosoire

1)

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

____________

2)
Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Guimauve · Answer

J'ai un petit problème. Une fois MBMA installé et mis à jour, je lance la recherche et a peine quelque seconde après, le logiciel se ferme et impossible de le relancer.

Message d'erreur "windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut être pas des autorisations appropriées pour avoir accès à l'élément."

moment de grace · Answer

relances Rogue killer

option 2

poste le rapport

puis lances MalwareByte's Anti-Malware (

Guimauve · Answer

Voila le rapport Rogue killer (avec option 2 delete) malgré tout MalwareByte's Anti-Malware ne fonctionne pas.

RogueKiller V3.5.1 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Scan -- Time : 25/12/2010 19:02:15

Bad processes:
Killed c:\documents and settings\guillaume\application data\dwm.exe
Killed c:\docume~1\guilla~1\locals~1\temp\csrss.exe
Killed c:\documents and settings\guillaume\application data\microsoft\conhost.exe

Found:
HKLM\...\RUN\ conhost : C:\Documents and Settings\Guillaume\Application Data\Microsoft\conhost.exe
HKCU\...\Winlogon\ Shell : explorer.exe,C:\Documents and Settings\Guillaume\Application Data\dwm.exe
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:57152
Firefox Proxy: rci3kg9j.default \ 127.0.0.1:57152

HKLM\SYSTEM\ControlSet001\services\vbma3f60 ->
HKLM\SYSTEM\ControlSet002\services\vbma3f60 ->

Finished

RogueKiller V3.5.1 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Remove -- Time : 25/12/2010 21:00:34

Bad processes:

Deregistred:
HKLM\...\RUN\ conhost : C:\Documents and Settings\Guillaume\Application Data\Microsoft\conhost.exe
HKCU\...\Winlogon\ Shell : explorer.exe,C:\Documents and Settings\Guillaume\Application Data\dwm.exe
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:57152
HKLM\SYSTEM\ControlSet001\services\vbma3f60 ->
HKLM\SYSTEM\ControlSet002\services\vbma3f60 ->

Finished

moment de grace · Answer

Attention, avant de commencer, lit attentivement la procédure, et imprime la

Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

Télécharge ComboFix de sUBs sur ton Bureau :

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>

---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter

SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)

---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.

Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\

Note : Le rapport se trouve également là : C:\ComboFix.txt

Guimauve · Answer

Tu vas finir par me prendre pour un incompétent. J'ai procédé comme tu l'a écris je suis allé lire le tutoriel puis j ai télécharger combofix et je l'ai lancé. Un cadre gris avec écris combofix est apparu avec une barre de progression une fois la barre pleine le cadre disparait après quelque seconde et rien ne se passe.

Tigzy · Answer

Hello

il s'agit d'un Antivirus 2010
Il faut d'abord péter le rootkit avec Gmer (ou Combofix ça doit passer)
C'est tout à fait normal que MBAM ne se lance pas, il y a un driver KillAV (driver viré par RogueKiller, mais toujours en mémoire donc il se reactive)...

Tu devrais réessayer Combofix une seconde fois.

moment de grace · Answer

bonjour tous

retélécharge combofix en le renommant GUI.exe avant de l'enregistrer sur le bureau

puis

fais combofix en mode sans echec

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php

moment de grace · Answer

grrrr

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

* Télécharge sur ton bureau Defogger 

http://www.jpshortstuff.247fixes.com/Defogger.exe

* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"


puis

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\ 


? Télécharge : Gmer (by Przemyslaw Gmerek) 

http://www.gmer.net/



? Dezippe gmer ,cliques sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre. 

? Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

moment de grace · Answer

ok 

il faut qu'on intervienne en amont...sauf si Tizgy a mieux 

___________ 

Procédure a effectuer sur un PC fonctionnel :  

Télécharge OTLPE.iso sur ton bureau.  
https://forum.malekal.com/viewtopic.php?t=23453&start=

- Insère un CD vierge dans ton graveur, si une fenêtre s'ouvre te demandant ce que tu veux faire, ferme cette fenêtre.  
- Fais un double-clic sur l'icône d'OTLPE.iso et si tu as un logiciel de gravure ISO sur ton pc, celui ci s'ouvrira automatiquement, il ne te reste qu'a suivre les instructions indiquées par celui ci.  


Par contre si aucun logiciel de gravure ne se lance, fais cela...  

Télécharge BurnAtOnce (bao0995.exe) sur ton bureau.  
http://dl.commentcamarche.net/www.commentcamarche.net/download/files/bao0995.exe  

- Installe le sans modifier les paramètres proposés lors du processus d'installation.  
- A la fin de l'installation, clique sue "Finish" pour lancer BurnAtOnce, une fenêtre de "License agreement" s'ouvre, coche la case "I am a non commercial user and accept the license agreement" et clique sur "Next".  
- BurnAtOnce est maintenant en fonctionnement.  

Fais un "glisser/déposer"du fichier "OTLPE.iso" sur le raccourci de "BurnAtOnce" comme sur cette capture :  
https://www.sfr.fr/fermeture-des-pages-perso.html  

- Clique sur Simulation  
- La gravure du CD va alors démarrer  
- Tu peux regarder cette vidéo (merci à jeanmimigab) en cas de problème :  
https://www.youtube.com/watch?v=EG3lOgt3ugE  


Faut maintenant insérer le CD créer dans le lecteur du PC malade et redémarrer l'ordinateur sur le CD :  
https://forum.malekal.com/viewtopic.php?t=9447&start=  

* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune  

* Double-click sur l'icone OTLPE  
* Quand demandé "Do you wish to load the remote registry", select Yes  
* Quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes  
* Vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK  

* Sous Custom Scan box copie_colle le contenu en gras ci dessous:  

netsvcs  
msconfig  
safebootminimal  
safebootnetwork  
activex  
drivers32  
%ALLUSERSPROFILE%\Application Data\*.  
%ALLUSERSPROFILE%\Application Data\*.exe /s  
%APPDATA%\*.  
%APPDATA%\*.exe /s  
%SYSTEMDRIVE%\*.*  
%SYSTEMDRIVE%\*.exe  
%PROGRAMFILES%\*.*  
%PROGRAMFILES%\*.  
/md5start  
eventlog.dll  
scecli.dll  
netlogon.dll  
cngaudit.dll  
sceclt.dll  
ntelogon.dll  
logevent.dll  
iaStor.sys  
nvstor.sys  
atapi.sys  
IdeChnDr.sys  
viasraid.sys  
AGP440.sys  
vaxscsi.sys  
nvatabus.sys  
viamraid.sys  
nvata.sys  
nvgts.sys  
iastorv.sys  
ViPrt.sys  
eNetHook.dll  
explorer.exe  
svchost.exe  
userinit.exe  
qmgr.dll  
ws2_32.dll  
proquota.exe  
imm32.dll  
kernel32.dll  
ndis.sys  
autochk.exe  
spoolsv.exe  
xmlprov.dll  
ntmssvc.dll  
mswsock.dll  
Beep.SYS  
ntfs.sys  
termsrv.dll  
sfcfiles.dll  
st3shark.sys  
/md5stop  
%systemroot%\*. /mp /s  
%systemroot%\system32\*.dll /lockedfiles  
%systemroot%\Tasks\*.job /lockedfiles  
%systemroot%\system32\drivers\*.sys /lockedfiles  
%systemroot%\System32\config\*.sav  
c:\$recycle.bin\*.* /s  
 

* clic Run Scan pour démarrer le scan.  
* une fois terminé , le fichier se trouve là C:\OTL.txt  
* copie_colle le contenu dans ta prochaine réponse 


CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

moment de grace · Answer

@ Guimauve

avant de se lancer OLTPE essaies ceci

redémarrer le pc en mode sans échec avec prise en charge reseau

https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php


Télécharge rkill 

Enregistre-le sur ton Bureau
Double-clique sur l'icone rkill ( pour Vista/Seven clic-droit Exécuter en tant qu'Administrateur)
Un bref écran noir t'indiquera que le tool s'est correctement exécuter, s'il ne lance pas
change de lien de téléchargement en utilisant le suivant à partir d'ici:

https://download.bleepingcomputer.com/grinler/rkill.exe 
https://download.bleepingcomputer.com/grinler/rkill.exe 

Rkill COM: Rkill COM: 
https://download.bleepingcomputer.com/grinler/rkill.com
 https://download.bleepingcomputer.com/grinler/rkill.com 

Rkill SCR: Rkill RCS: 
https://download.bleepingcomputer.com/grinler/rkill.scr 
https://download.bleepingcomputer.com/grinler/rkill.scr 



une fois qu'il aura terminé lance 


Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. 
Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. [b]Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection 
Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

Guimauve · Answer

Voici le lien vers le rapport OTL.

http://www.cijoint.fr/cjlink.php?file=cj201012/cijC5MlJ1i.txt

merci

moment de grace · Answer

Redémarre le PC avec le CD OTLPE

Ensuite fais ceci:
- Double cliquer sur OTLPE
- Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliquez sur YES
- Une seconde : Do you wish to load remote user profile(s) for scanning[ ; Cliquez sur YES
- Veillez à ce que la case Automatically Load All Remaining Users soit cochée et appuyez sur OK

OTL se lance
Copiez ce texte en gras
- Coller le texte dans la partie Custom Scans/Files

--------------------------------------------------

:OTL 
IE - HKU\Guillaume_ON_C\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net	bfree.dll (Conduit Ltd.)    
IE - HKU\Guillaume_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 
IE - HKU\Guillaume_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" = http=127.0.0.1:57152     
O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net	bfree.dll (Conduit Ltd.)   
O3 - HKLM\..\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net	bfree.dll (Conduit Ltd.)   
O3 - HKU\Guillaume_ON_C\..\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net	bfree.dll (Conduit Ltd.)    
O4 - HKLM..\Run: [conhost] C:\Documents and Settings\Guillaume\Application Data\Microsoft\conhost.exe ()    
F3 - HKU\Guillaume_ON_C WinNT: Load - (C:\DOCUME~1\GUILLA~1\LOCALS~1\Temp\csrss.exe) - C:\Documents and Settings\Guillaume\Local Settings\Temp\csrss.exe ()    
O20 - HKU\Guillaume_ON_C Winlogon: Shell - (C:\Documents and Settings\Guillaume\Application Data\dwm.exe) - C:\Documents and Settings\Guillaume\Application Data\dwm.exe ()    


:files
C:\Program Files\sFX\sfX.sYs 
C:\WINDOWS\System32\drivers\vbma3f60.sys 
C:\Documents and Settings\Guillaume\Application Data\gjkmge      
C:\Documents and Settings\Guillaume\Application Data\xvvrtqsdsh      
C:\Documents and Settings\Guillaume\Application Data\drmhzzs     
 C:\Documents and Settings\Guillaume\Application Data\dwm.exe    
C:\Documents and Settings\Guillaume\Local Settings\Application Data\kgzrxqvpya.exe      
C:\Documents and Settings\Guillaume\Local Settings\Application Data\yyuzikzkd.exe      

:commands
[emptytemp]
[start explorer]
[reboot]


-------------------------------------------------
- Clique sur Run Fix en haut de la fenêtre
- Si une fenêtre s'ouvre avec un message : No Fix has been Provided! Do you want to load it from a file ; cliquer sur [b]YES/b
- Coller le contenu du rapport dans la réponse Note : La rapport se trouve dans C:\OTL

moment de grace · Answer

ok

fais avec ce texte alors

:OTL
IE - HKU\Guillaume_ON_C\..\URLSearchHook: {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net	bfree.dll (Conduit Ltd.)
O2 - BHO: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net	bfree.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (free-downloads.net Toolbar) - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net	bfree.dll (Conduit Ltd.)
O3 - HKU\Guillaume_ON_C\..\Toolbar\WebBrowser: (free-downloads.net Toolbar) - {ECDEE021-0D17-467F-A1FF-C7A115230949} - C:\Program Files\free-downloads.net	bfree.dll (Conduit Ltd.)
O4 - HKLM..\Run: [conhost] C:\Documents and Settings\Guillaume\Application Data\Microsoft\conhost.exe ()
F3 - HKU\Guillaume_ON_C WinNT: Load - (C:\DOCUME~1\GUILLA~1\LOCALS~1\Temp\csrss.exe) - C:\Documents and Settings\Guillaume\Local Settings\Temp\csrss.exe ()
O20 - HKU\Guillaume_ON_C Winlogon: Shell - (C:\Documents and Settings\Guillaume\Application Data\dwm.exe) - C:\Documents and Settings\Guillaume\Application Data\dwm.exe ()


:files
C:\Program Files\sFX\sfX.sYs
C:\WINDOWS\System32\drivers\vbma3f60.sys
C:\Documents and Settings\Guillaume\Application Data\gjkmge
C:\Documents and Settings\Guillaume\Application Data\xvvrtqsdsh
C:\Documents and Settings\Guillaume\Application Data\drmhzzs
C:\Documents and Settings\Guillaume\Application Data\dwm.exe
C:\Documents and Settings\Guillaume\Local Settings\Application Data\kgzrxqvpya.exe
C:\Documents and Settings\Guillaume\Local Settings\Application Data\yyuzikzkd.exe

:commands
[emptytemp]
[start explorer]
[reboot]

moment de grace · Answer

ok

*en mode normal voyons si MBAM veut jouer maintenant

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

moment de grace · Answer

ok

* Relance sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours

* Lorsque demandé, tape 2 et valide
* S'il demande pour un proxy, tape 1
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

moment de grace · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

Télécharge ici :List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe



si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em

une fois terminée lance le programmeà l'aide du raccourci sur le bureau (clic droit executer en tant qu'administrateur pour VISTA ou SEVEN )

choisis l'option Search

 laisse travailler l'outil

il se peut qu'une boite de dialogue s'ouvre , dans ce cas clique sur "ok" ou "Agree"

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal ,c'est une recherche supplementaire de fichiers cachés , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

NE LE POSTE PAS SUR LE FORUM

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

 Clique sur Parcourir et cherche le fichier ci-dessus.

 Clique sur Ouvrir.

 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

est ajouté dans la page.

 Copie ce lien dans ta réponse.

 Fais de même avec more.txt qui se trouve sur ton bureau

Guimauve · Answer

La manip s'est bien déroulé voici le lien cijoint pour

list : http://www.cijoint.fr/cjlink.php?file=cj201012/cij7uj5EOI.txt

more: http://www.cijoint.fr/cjlink.php?file=cj201012/cijIWLxTrs.txt

moment de grace · Answer

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

le bouton TOOLS
puis le Boton KILLPROXY
poste le rapport

_________

ensuite

choisis l'option CLEAN
 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

moment de grace · Answer

ok

supprime ton MBAM et on tente de le refaire

dis moi s'il démarre

Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

Guimauve · Answer

Non toujours pas :(

moment de grace · Answer

et combofix non plus j'imagine ?

_________

Télécharge SEAF ( de C__XX ) sur ton bureau : 

ici http://www.teamxscript.org/SEAFTelechargement.html


* Double clique sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil. 

* Dans l'encadré blanc " Entrez ci dessous...." copie/colle ceci : 

vbma3f60


* Au niveau des " options des fichiers ", fait les réglages suivant : 
> A "Calculer le checksum" , choisis : MD5 
> Coche la case devant " Info. supplémentaire ". 
> Coche la case devant " Afficher les ADS " 

* Au niveau des " options du registre " : 
> coche " chercher également dans le registre " 

( ne touche à aucun autre réglage ) 

* Clique sur " Lancer la recherche " et laisse travailler l'outil ... 
( cela peut-être plus ou moins long suivant les cas ). 

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt )

Tuto : http://www.teamxscript.org/SEAFRecherche.html

moment de grace · Answer

Télécharge OTL de OLDTimer 

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/


enregistre le sur ton Bureau. 

 Double clic ( pour vista / 7 => clic droit "executer en tant qu'administrateur") sur OTL.exe pour le lancer. 

 Coche les 2 cases Lop et Purity 

 Coche la case devant tous les utilisateurs 

 règle age du fichier sur "60 jours" 

 dans la moitié gauche , mets tout sur "tous" 

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

Clic sur Analyse. 

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). 

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt) 

NE LE POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

 Clique sur Parcourir et cherche le fichier ci-dessus. 

Clique sur Ouvrir. 

 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt 

est ajouté dans la page. 

 Copie ce lien dans ta réponse. 

Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

moment de grace · Answer

ok

redemarre le pc avec oltpe et fais un nouveau scan comme indiqué là

https://forums.commentcamarche.net/forum/affich-20269134-my-security-shield#19

Guimauve · Answer

Quand OTLPE demarre il me demande de choisir un "user profile" dans la liste suivante:

Administrateur
Guillaume
Localservice
Networkservice
systemprofile

lequel dois je choisir? (a la derniere utilisation j'ai pris administrateur)

Guimauve · Answer

http://www.cijoint.fr/cjlink.php?file=cj201012/cijqJWTogb.txt 

voilq le lien

Tigzy · Answer

Il est chiant ce rogue hein? :)

moment de grace · Answer

hello Tigzy

je suis tombé sur un tenace là..

________

regarde si lui il est encore là

C:\Program Files\sFX\sfX.sYs

_________

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


C:\Documents and Settings\Guillaume\Application Data\SYSTEM32.dll
C:\Documents and Settings\Guillaume\Local Settings\Application Data\1640234.exe

Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 


Copie le lien de Virus Total dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

moment de grace · Answer

le lie, de la page (en haut)

sinon

* * Télécharge OTH (de OldTimer) sur ton Bureau :

http://oldtimer.geekstogo.com/OTH.scr
http://oldtimer.geekstogo.com/OTH.com


* Lance OTH et clique sur "Kill All Processes" (tout devrait disparaître de ton écran à part OTH)
* Ensuite, clique sur "Start Misc Program" et lance combofix pour voir

Guimauve · Answer

Alors j'ai lancé OTH tout a disparu même OTH, j'ai du le relancer via le gestionnaire de tache en créant une nouvelle tache avec le fichier OTH.com et malheureusement apres avoir cliqué sur "Start Misc Program" et lancé Combofix toujours le même probleme coupur à la fin du chargement. 

(par contre comment je fais pour tout réafficher ^^)?

moment de grace · Answer

redemarre le pc... 

_________ 

? Télécharge OTM (OldTimer) sur ton Bureau :  
http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/  
? Double-clique sur OTM.exe afin de le lancer.  
? Copie (Ctrl+C) le texte suivant ci-dessous :  



:files  
C:\Documents and Settings\Guillaume\Local Settings\Application Data\1640234.exe 

:commands  
[emptytemp]  
[start explorer]  
[reboot]  


? Colle (Ctrl+V) le texte précédemment copié dans le cadre Paste Instructions for Items to be Moved.  
? Clique maintenant sur le bouton MoveIt! puis ferme OTM  

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.  
Accepte en cliquant sur YES.  

? Poste le rapport situé dans ce dossier : C:\_OTM\MovedFiles\  

*Le nom du rapport correspond au moment de sa création : date_heure.log 

_____________

je verrai la suite demain...


CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

gen-hackman · Answer

salut je me permets d'intervenir 

gestionnaire des taches par control + alt + supp , nouvelle tache , puis tape : explorer

puis entrée

desinstalle List_Kill'em , retelecharge-le puis relance une recherche stp

gen-hackman · Answer

1/.....

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Script

un document texte va s'ouvrir copie/colle ce en gras si dessous :


FILE:C:\WINDOWS\m3dsret.dll
FILE:C:\WINDOWS\system32\drivers\svchost.exe
REM:"HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v "Ocohuj"
REM:"HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list" /v "C:\WINDOWS\system32\drivers\svchost.exe"
REM:"HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list" /v "E:\fscommand\CKSocketServer.exe"
REM:"HKEY_CURRENT_USER\software\Conduit"
REM:"HKEY_LOCAL_MACHINE\software\Conduit"
ADD:"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "ProxyHttp1.1" /t REG_DWORD /d 1   
ADD:"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings" /v "ProxyEnable" /t REG_DWORD /d 0 
ADD:"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer" /v "NoDriveTypeAutorun" /t REG_DWORD /d 145


&#9654 enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

laisse travailler l'outil

&#9654 poste le resultat

&#9654 Ferme List_Kill'em

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

===================================

2/......

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Clean

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse

gen-hackman · Answer

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

gen-hackman · Answer

ok desinstalle malwarebytes , retelecharge , reinstalle , mise à jour , scan complet , rapport  

s il te demande de redemarrer pour finaliser tu acceptes 

s'il ne veut pas partir , change le nom de l executable dans le dossier d'installation
¤¤¤¤¤¤?G3?-?@¢??@?(TM)©®?¤¤¤¤¤&#164......gros helper ^^

gen-hackman · Answer

non

Guimauve · Answer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!


Error:  registry key "\Registry\Machine\System\CurrentControlSet\Services\vbma3f60" not found!
Deletion of driver "vbma3f60" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist

File "c:\windows\system32\Drivers\vbma3f60.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

gen-hackman · Answer

ok tu peux verifier ?

Guimauve · Answer

le fichier est toujours la au même endroit:

c:\windows\system32\Drivers\vbma3f60.sys

gen-hackman · Answer

ok reessaie avenger en mode sans echec puis redemarre en mode normal

Guimauve · Answer

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Driver "vbma3f60" deleted successfully.
File "c:\windows\system32\Drivers\vbma3f60.sys" deleted successfully.

Completed script processing.

*******************

Finished!  Terminate.

gen-hackman · Answer

malekal m'avait bien prevenu que c'était la merd***** à virer ce truc-là.....

gen-hackman · Answer

oui bon je relis tout , des trucs ont été oubliés semble-t-il....

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

C:\WINDOWS\system32\drivers\update.sys


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

Guimauve · Answer

je suppose que je dois le lancer du CD? parceque depuis le bureau ca marche pas

gen-hackman · Answer

ah oui pardon

Guimauve · Answer

voila le rapport OTL:

http://www.cijoint.fr/cjlink.php?file=cj201012/cijcaBstdq.txt

gen-hackman · Answer

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:Services
vbma3f60

:OTL
IE - HKU\Guillaume_ON_C\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found
O4 - HKU\Guillaume_ON_C..\Run: [Ocohuj] C:\WINDOWS\m3dsret.DLL ()      
O4 - HKU\Guillaume_ON_C..\Run: [PlayNC Launcher]  File not found
O4 - Startup: C:\Documents and Settings\Guillaume\Menu Démarrer\Programmes\Démarrage\CurseClientStartup.ccip ()      
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)    => Sun Java Runtime Environment 1.6.0  
O16 - DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab (Reg Error: Key error.)    => Sun Microsystem Java Runtime  
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Reg Error: Key error.)    => Sun Microsystem Java Runtime  
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Reg Error: Key error.)    => Sun Microsystem Java Plug-in 1.6.0_07  

:Files 
C:\WINDOWS\System32\drivers\vbma3f60.sys 
C:\Documents and Settings\Guillaume\Application Data\9AD2.2B0      
C:\Documents and Settings\Guillaume\Local Settings\Application Data\1640234.exe      
C:\Documents and Settings\Guillaume\Application Data	igersetting.dll      
C:\Documents and Settings\Guillaume\Application Data\init.dll      
C:\Documents and Settings\Guillaume\Application Data\SYSTEM32.dll
C:\Documents and Settings\Guillaume\Application Data\sound.dll     
C:\WINDOWS\m3dsret.dll      
C:\Program Files\DAEMON Tools Toolbar    
C:\Program Files\Conduit    
 
:commands
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

gen-hackman · Answer

oui oui c'etait à faire du cd ca..

Guimauve · Answer

Alors tout c bien passé sauf qu'à la fin il n'a pas redémarrer du coup j'ai redémarrer manuellement et je ne trouve pas le rapport.

Correction je crois que c celui la ^^

gen-hackman · Answer

ton pc a redemarré sur son propre systeme OK ?

Guimauve · Answer

RogueKiller V3.5.1 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Scan -- Time : 25/12/2010 19:02:15

Bad processes:
Killed c:\documents and settings\guillaume\application data\dwm.exe
Killed c:\docume~1\guilla~1\locals~1\temp\csrss.exe
Killed c:\documents and settings\guillaume\application data\microsoft\conhost.exe

Found:
HKLM\...\RUN\ conhost : C:\Documents and Settings\Guillaume\Application Data\Microsoft\conhost.exe
HKCU\...\Winlogon\ Shell : explorer.exe,C:\Documents and Settings\Guillaume\Application Data\dwm.exe
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:57152
Firefox Proxy: rci3kg9j.default \ 127.0.0.1:57152

HKLM\SYSTEM\ControlSet001\services\vbma3f60 ->
HKLM\SYSTEM\ControlSet002\services\vbma3f60 ->

Finished

RogueKiller V3.5.1 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Remove -- Time : 25/12/2010 21:00:34

Bad processes:

Deregistred:
HKLM\...\RUN\ conhost : C:\Documents and Settings\Guillaume\Application Data\Microsoft\conhost.exe
HKCU\...\Winlogon\ Shell : explorer.exe,C:\Documents and Settings\Guillaume\Application Data\dwm.exe
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:57152
HKLM\SYSTEM\ControlSet001\services\vbma3f60 ->
HKLM\SYSTEM\ControlSet002\services\vbma3f60 ->

Finished

RogueKiller V3.5.1 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Remove -- Time : 26/12/2010 10:53:12

Bad processes:
Killed SERVICE vbma3f60 : ... NOT KILLED!

Deregistred:
HKLM\...\RUN\ conhost : C:\Documents and Settings\Guillaume\Application Data\Microsoft\conhost.exe
HKLM\SYSTEM\ControlSet001\services\vbma3f60 ->
HKLM\SYSTEM\ControlSet002\services\vbma3f60 ->

Finished

RogueKiller V3.5.1 by Tigzy
contact at www.sur-la-toile.com
mail: tigzy44<at>hotmail<dot>fr
Feedback: https://www.luanagames.com/index.fr.html

Operating System: Windows XP (5.1.2600 Service Pack 3) version 32 bits
Mode: Remove -- Time : 26/12/2010 16:09:19

Bad processes:
Killed SERVICE vbma3f60 : ... NOT KILLED!

Deregistred:
HKCU\...\Internet Settings\ ProxyServer : http=127.0.0.1:57152
HKLM\SYSTEM\ControlSet001\services\vbma3f60 ->
HKLM\SYSTEM\ControlSet002\services\vbma3f60 ->

Finished

gen-hackman · Answer

c'est vraiment un truc de fou ce virus !!!

gen-hackman · Answer

mmmm....essaie cette solution à graver :

http://consultaide.e-monsite.com/rubrique,cd-live-dr-web-cureit-super,245887.html

moment de grace · Answer

bonjour

tente ces combofix là renommés ou avec une extension modifiée

http://sd-2.archive-host.com/membres/up/135518691112296573/ENDONE.exe

http://dl.free.fr/getfile.pl?file=/TirBgUW4

Guimauve · Answer

Bonjour,

Alors j'ai essayé de booté avec la clé USB mais ca ne marche pas lorsque je suis dans le Boot menu j'ai 4 option : USB fdd, zip, hdd, CDrom et aucune des 4 ne lance le logiciels. Une idée?

ps: en attendant je vais essayer ce que MDG a dit ^^

Guimauve · Answer

Bien le Bonjour,

je vous informe par la présente être en train de faire un scan (rapide certe mais c'était pour tester) avec MBAM. je voudrais donc connaître la suite des oprérations merci.

Guimauve · Answer

et voila le log du scan complet:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 5415

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

29/12/2010 17:26:12
mbam-log-2010-12-29 (17-26-12).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 235198
Temps écoulé: 46 minute(s), 47 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

gen-hackman · Answer

salut et drweb ?

gen-hackman · Answer

et tu as mis le USB HDD je presume

My security shield

62 réponses

Discussions similaires

Newsletters