Malware Windows tool

Résolu
stef31 -  
moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Je rentre de congés et j'ai le même pb avec windows tool au démarrage.

j'ai gravé le CD et lance OTL mais rien ne change. je dois faire qqchose avec le fichier otl.txt ?

J'ai essayé aussi rogue et autres mais impossible d'accéder au bureau même en mode sans échec.

Dois je donc sauvegarder mes données et tout réinstaller aprés formatage ou est ce qu'il y a autre chose à faire pour le supprimer ?

Merci d'avance

8 réponses

  1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    bonjour

    concrètement tu arrives à faire quoi avec ton pc, en mode normal et sans echec ?
    0
    1. stef31
       
      Bonjour merci pour la rapidité.
      En gros qd je choisi un profil au demarrage de windows XP, le soft Windows tool se lance et bloque tout le reste. C'est la meme chose en mode sans echec avec reseau, il se declenche au bout de qq secs (pas le tps de cliquer sur le bureau). Via OTL j'ai acces à mes données sur le disque, mon objectif est d'eviter de reformater tout.
      0
  2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    essaie ca

    * Télécharge sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html

    *( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Lorsque demandé, tape 2 et valide

    * puis l'option 4
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com

    0
    1. stef31
       
      Dsl je ne suis pas assez claire , cela doit être mon niveau en informatique.
      Je n'ai pas accés au bureau, le malware se déclenche avant donc impossible de lancer roguekiller ou un autre soft.
      J'ai malware truc machin sur le bureau mais pas d'accés possible.
      Mon abt Kapersky était fini depuis 3 semaines , impossible de le MAJ aussi.
      Via OTL(windows via CD), j'ai accés aux données mais pas à mon bureau propre.
      Est ce + claire ? et merci d'avance
      0
  3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Faut maintenant insérer le CD OLTPE créer dans le lecteur du PC malade et redémarrer l'ordinateur sur le CD :
    https://forum.malekal.com/viewtopic.php?t=9447&start=

    * une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune

    * Double-click sur l'icone OTLPE
    * Quand demandé "Do you wish to load the remote registry", select Yes
    * Quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
    * Vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK

    * Sous Custom Scan box copie_colle le contenu en gras ci dessous:

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.*
    %SYSTEMDRIVE%\*.exe
    %PROGRAMFILES%\*.*
    %PROGRAMFILES%\*.
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    explorer.exe
    svchost.exe
    userinit.exe
    qmgr.dll
    ws2_32.dll
    proquota.exe
    imm32.dll
    kernel32.dll
    ndis.sys
    autochk.exe
    spoolsv.exe
    xmlprov.dll
    ntmssvc.dll
    mswsock.dll
    Beep.SYS
    ntfs.sys
    termsrv.dll
    sfcfiles.dll
    st3shark.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    c:\$recycle.bin\*.* /s


    * clic Run Scan pour démarrer le scan.
    * une fois terminé , le fichier se trouve là C:\OTL.txt
    * copie_colle le contenu dans ta prochaine réponse
    0
  4. stef31
     
    Bsr

    Retour de déplacement; dsl pour le délai.

    Voila le lien pour le fichier otx.txt

    http://dl.free.fr/nodmS0ggf

    Qu'est ce qu'il possibelde de voir dans un tel fichier ?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    Qu'est ce qu'il possibelde de voir dans un tel fichier ?

    1)

    que tu possèdes une version maison de Windows qui est la source de tes soucis

    2)

    la présence et la localisation de l'infection

    ________

    toujours sous OLTPE

    Copie la liste qui se trouve en gras ci-dessous,

    colle-la dans la zone sous "Personnalisation" :


    :Services
    ZTSys

    :OTL

    O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
    O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
    O7 - HKU\Cecile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
    O7 - HKU\Enfants_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
    O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
    O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
    O36 - AppCertDlls: AppSecDll - (C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll) - C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll (ZTSys)

    :Files
    C:\Documents and Settings\Cecile\Menu Démarrer\Programmes\Windows Tool
    C:\Documents and Settings\Stef\Menu Démarrer\Programmes\Windows Tool
    C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll
    C:\Documents and Settings\All Users\Application Data\43453
    C:\Documents and Settings\All Users\Application Data\43453.exe
    C:\Documents and Settings\Cecile\Bureau\Windows Tool.lnk
    C:\Documents and Settings\All Users\Application Data\61187
    C:\Documents and Settings\All Users\Application Data\61187.exe
    C:\Documents and Settings\All Users\Application Data\~56406
    C:\Documents and Settings\All Users\Application Data\~56406r
    C:\Documents and Settings\Stef\Bureau\Windows Tool.lnk
    C:\Documents and Settings\All Users\Application Data\56406
    C:\Documents and Settings\All Users\Application Data\56406.exe
    C:\Documents and Settings\Stef\Application Data\2D0E27B706E94ED592569483D0AB0159

    :commands
    [emptytemp]


    Clique sur "Correction" pour lancer la suppression.

    redemarre le pc en mode normal, j'espère et colle moi le rapport de suppression
    0
    1. stef31
       
      Bonsoir
      J'ai lancé la manip ce soir. Cela marche

      La MAJ de KAspersky est en cours.

      Encore merci pour le support
      0
  7. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    J'ai lancé la manip ce soir. Cela marche

    poste moi le rapport stp

    kapersky on verra plus tard

    Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)

    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    . Enregistres le sur le bureau
    . Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
    . Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
    . Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
    . Une fois la mise à jour terminé
    . Rend-toi dans l'onglet, Recherche
    . Sélectionnes Exécuter un examen rapide
    . Cliques sur Rechercher
    . Le scan démarre.
    . A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    . Cliques sur Ok pour poursuivre.
    . Si des malwares ont été détectés, clique sur Afficher les résultats
    . Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    . Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
    . Rends toi dans l'onglet rapport/log
    . Tu cliques dessus pour l'afficher, une fois affiché
    . Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
    . Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
    . tu cliques droit dans le cadre de la reponse et coller

    Si tu as besoin d'aide regarde ces tutoriels :
    Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

    CONTRIBUTEUR SECURITE

    En désinfection, c'est la fin le plus important !
    "Restez" jusqu'au bout...merci
    0
  8. stef31
     
    Alors

    Pour commencer le rapport OTL à la fin

    ========== SERVICES/DRIVERS ==========
    Service\Driver key ZTSys not found.
    ========== OTL ==========
    Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
    Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp not found.
    Registry value HKEY_USERS\Cecile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
    Registry value HKEY_USERS\Enfants_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
    Registry value HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
    Registry value HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls\\AppSecDll deleted successfully.
    C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll moved successfully.
    ========== FILES ==========
    C:\Documents and Settings\Cecile\Menu Démarrer\Programmes\Windows Tool folder moved successfully.
    C:\Documents and Settings\Stef\Menu Démarrer\Programmes\Windows Tool folder moved successfully.
    File\Folder C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll not found.
    C:\Documents and Settings\All Users\Application Data\43453 moved successfully.
    C:\Documents and Settings\All Users\Application Data\43453.exe moved successfully.
    C:\Documents and Settings\Cecile\Bureau\Windows Tool.lnk moved successfully.
    C:\Documents and Settings\All Users\Application Data\61187 moved successfully.
    C:\Documents and Settings\All Users\Application Data\61187.exe moved successfully.
    C:\Documents and Settings\All Users\Application Data\~56406 moved successfully.
    C:\Documents and Settings\All Users\Application Data\~56406r moved successfully.
    C:\Documents and Settings\Stef\Bureau\Windows Tool.lnk moved successfully.
    C:\Documents and Settings\All Users\Application Data\56406 moved successfully.
    C:\Documents and Settings\All Users\Application Data\56406.exe moved successfully.
    C:\Documents and Settings\Stef\Application Data\2D0E27B706E94ED592569483D0AB0159 folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: 7922b924da1581e0df67

    User: Administrateur
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 41 bytes

    User: All Users

    User: Cecile
    ->Temp folder emptied: 7954878 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Apple Safari cache emptied: 17716224 bytes
    ->Flash cache emptied: 405 bytes

    User: ConvertTemp

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 41 bytes

    User: Enfants
    ->Temp folder emptied: 774999 bytes
    ->Temporary Internet Files folder emptied: 16499623 bytes
    ->FireFox cache emptied: 93655318 bytes
    ->Flash cache emptied: 966 bytes

    User: LocalService
    ->Temp folder emptied: 66016 bytes
    ->Temporary Internet Files folder emptied: 6606558 bytes

    User: NetworkService
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 514335 bytes

    User: Stef
    ->Temp folder emptied: 958080589 bytes
    ->Temporary Internet Files folder emptied: 816947713 bytes
    ->Java cache emptied: 11090889 bytes
    ->FireFox cache emptied: 79360723 bytes
    ->Google Chrome cache emptied: 215187418 bytes
    ->Flash cache emptied: 122766 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 2351795 bytes
    %systemroot%\System32 .tmp files removed: 114176 bytes
    %systemroot%\System32\dllcache .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 3899155609 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 78286056 bytes
    %systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 221573 bytes

    Total Files Cleaned = 5,917.00 mb

    OTLPE by OldTimer - Version 3.1.46.0 log created on 03192011_021900

    ENSUITE LE RAPPORT MALWARE que j'avais déjà

    alwarebytes' Anti-Malware 1.46
    www.malwarebytes.org

    Version de la base de données: 4052

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    18/03/2011 23:05:58
    mbam-log-2011-03-18 (23-05-58).txt

    Type d'examen: Examen rapide
    Elément(s) analysé(s): 142167
    Temps écoulé: 7 minute(s), 55 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 2
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 3
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 1

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.

    6 saloperies trouvées

    Voila pour les rapports après de nbx rebooots
    0
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    ok

    vide la quarantaine

    puis

    Télécharge ZHPDiag ( de Nicolas coolman ).
    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/


    (outil de diagnostic)


    Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

    Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

    Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

    Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

    Rend toi sur http://pjjoint.malekal.com/

    Clique sur "Parcourir "

    Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

    Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message

    0