Malware Windows tool
Résolu/Fermé
stef31
-
13 mars 2011 à 11:38
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 19 mars 2011 à 00:46
moment de grace Messages postés 29042 Date d'inscription samedi 6 décembre 2008 Statut Contributeur sécurité Dernière intervention 18 juillet 2013 - 19 mars 2011 à 00:46
A voir également:
- Malware Windows tool
- Clé windows 10 gratuit - Guide
- Hp format tool - Télécharger - Stockage
- Media creation tool - Télécharger - Systèmes d'exploitation
- Windows 12 - Guide
- Windows ne démarre pas - Guide
8 réponses
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
13 mars 2011 à 11:43
13 mars 2011 à 11:43
bonjour
concrètement tu arrives à faire quoi avec ton pc, en mode normal et sans echec ?
concrètement tu arrives à faire quoi avec ton pc, en mode normal et sans echec ?
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
13 mars 2011 à 11:56
13 mars 2011 à 11:56
essaie ca
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
* puis l'option 4
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 2 et valide
* puis l'option 4
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. ou renommer l'outil en firefox.exe ou roguekiller.com
Dsl je ne suis pas assez claire , cela doit être mon niveau en informatique.
Je n'ai pas accés au bureau, le malware se déclenche avant donc impossible de lancer roguekiller ou un autre soft.
J'ai malware truc machin sur le bureau mais pas d'accés possible.
Mon abt Kapersky était fini depuis 3 semaines , impossible de le MAJ aussi.
Via OTL(windows via CD), j'ai accés aux données mais pas à mon bureau propre.
Est ce + claire ? et merci d'avance
Je n'ai pas accés au bureau, le malware se déclenche avant donc impossible de lancer roguekiller ou un autre soft.
J'ai malware truc machin sur le bureau mais pas d'accés possible.
Mon abt Kapersky était fini depuis 3 semaines , impossible de le MAJ aussi.
Via OTL(windows via CD), j'ai accés aux données mais pas à mon bureau propre.
Est ce + claire ? et merci d'avance
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
13 mars 2011 à 12:22
13 mars 2011 à 12:22
Faut maintenant insérer le CD OLTPE créer dans le lecteur du PC malade et redémarrer l'ordinateur sur le CD :
https://forum.malekal.com/viewtopic.php?t=9447&start=
* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune
* Double-click sur l'icone OTLPE
* Quand demandé "Do you wish to load the remote registry", select Yes
* Quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* Vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK
* Sous Custom Scan box copie_colle le contenu en gras ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s
* clic Run Scan pour démarrer le scan.
* une fois terminé , le fichier se trouve là C:\OTL.txt
* copie_colle le contenu dans ta prochaine réponse
https://forum.malekal.com/viewtopic.php?t=9447&start=
* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icone jaune
* Double-click sur l'icone OTLPE
* Quand demandé "Do you wish to load the remote registry", select Yes
* Quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* Vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK
* Sous Custom Scan box copie_colle le contenu en gras ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
%SYSTEMDRIVE%\*.exe
%PROGRAMFILES%\*.*
%PROGRAMFILES%\*.
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
explorer.exe
svchost.exe
userinit.exe
qmgr.dll
ws2_32.dll
proquota.exe
imm32.dll
kernel32.dll
ndis.sys
autochk.exe
spoolsv.exe
xmlprov.dll
ntmssvc.dll
mswsock.dll
Beep.SYS
ntfs.sys
termsrv.dll
sfcfiles.dll
st3shark.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
c:\$recycle.bin\*.* /s
* clic Run Scan pour démarrer le scan.
* une fois terminé , le fichier se trouve là C:\OTL.txt
* copie_colle le contenu dans ta prochaine réponse
Bsr
Retour de déplacement; dsl pour le délai.
Voila le lien pour le fichier otx.txt
http://dl.free.fr/nodmS0ggf
Qu'est ce qu'il possibelde de voir dans un tel fichier ?
Retour de déplacement; dsl pour le délai.
Voila le lien pour le fichier otx.txt
http://dl.free.fr/nodmS0ggf
Qu'est ce qu'il possibelde de voir dans un tel fichier ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
17 mars 2011 à 06:26
17 mars 2011 à 06:26
Qu'est ce qu'il possibelde de voir dans un tel fichier ?
1)
que tu possèdes une version maison de Windows qui est la source de tes soucis
2)
la présence et la localisation de l'infection
________
toujours sous OLTPE
Copie la liste qui se trouve en gras ci-dessous,
colle-la dans la zone sous "Personnalisation" :
:Services
ZTSys
:OTL
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\Cecile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\Enfants_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O36 - AppCertDlls: AppSecDll - (C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll) - C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll (ZTSys)
:Files
C:\Documents and Settings\Cecile\Menu Démarrer\Programmes\Windows Tool
C:\Documents and Settings\Stef\Menu Démarrer\Programmes\Windows Tool
C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll
C:\Documents and Settings\All Users\Application Data\43453
C:\Documents and Settings\All Users\Application Data\43453.exe
C:\Documents and Settings\Cecile\Bureau\Windows Tool.lnk
C:\Documents and Settings\All Users\Application Data\61187
C:\Documents and Settings\All Users\Application Data\61187.exe
C:\Documents and Settings\All Users\Application Data\~56406
C:\Documents and Settings\All Users\Application Data\~56406r
C:\Documents and Settings\Stef\Bureau\Windows Tool.lnk
C:\Documents and Settings\All Users\Application Data\56406
C:\Documents and Settings\All Users\Application Data\56406.exe
C:\Documents and Settings\Stef\Application Data\2D0E27B706E94ED592569483D0AB0159
:commands
[emptytemp]
Clique sur "Correction" pour lancer la suppression.
redemarre le pc en mode normal, j'espère et colle moi le rapport de suppression
1)
que tu possèdes une version maison de Windows qui est la source de tes soucis
2)
la présence et la localisation de l'infection
________
toujours sous OLTPE
Copie la liste qui se trouve en gras ci-dessous,
colle-la dans la zone sous "Personnalisation" :
:Services
ZTSys
:OTL
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\Cecile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\Enfants_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O36 - AppCertDlls: AppSecDll - (C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll) - C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll (ZTSys)
:Files
C:\Documents and Settings\Cecile\Menu Démarrer\Programmes\Windows Tool
C:\Documents and Settings\Stef\Menu Démarrer\Programmes\Windows Tool
C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll
C:\Documents and Settings\All Users\Application Data\43453
C:\Documents and Settings\All Users\Application Data\43453.exe
C:\Documents and Settings\Cecile\Bureau\Windows Tool.lnk
C:\Documents and Settings\All Users\Application Data\61187
C:\Documents and Settings\All Users\Application Data\61187.exe
C:\Documents and Settings\All Users\Application Data\~56406
C:\Documents and Settings\All Users\Application Data\~56406r
C:\Documents and Settings\Stef\Bureau\Windows Tool.lnk
C:\Documents and Settings\All Users\Application Data\56406
C:\Documents and Settings\All Users\Application Data\56406.exe
C:\Documents and Settings\Stef\Application Data\2D0E27B706E94ED592569483D0AB0159
:commands
[emptytemp]
Clique sur "Correction" pour lancer la suppression.
redemarre le pc en mode normal, j'espère et colle moi le rapport de suppression
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
Modifié par moment de grace le 18/03/2011 à 22:10
Modifié par moment de grace le 18/03/2011 à 22:10
J'ai lancé la manip ce soir. Cela marche
poste moi le rapport stp
kapersky on verra plus tard
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
poste moi le rapport stp
kapersky on verra plus tard
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen rapide
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
Alors
Pour commencer le rapport OTL à la fin
========== SERVICES/DRIVERS ==========
Service\Driver key ZTSys not found.
========== OTL ==========
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp not found.
Registry value HKEY_USERS\Cecile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
Registry value HKEY_USERS\Enfants_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
Registry value HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
Registry value HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls\\AppSecDll deleted successfully.
C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll moved successfully.
========== FILES ==========
C:\Documents and Settings\Cecile\Menu Démarrer\Programmes\Windows Tool folder moved successfully.
C:\Documents and Settings\Stef\Menu Démarrer\Programmes\Windows Tool folder moved successfully.
File\Folder C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll not found.
C:\Documents and Settings\All Users\Application Data\43453 moved successfully.
C:\Documents and Settings\All Users\Application Data\43453.exe moved successfully.
C:\Documents and Settings\Cecile\Bureau\Windows Tool.lnk moved successfully.
C:\Documents and Settings\All Users\Application Data\61187 moved successfully.
C:\Documents and Settings\All Users\Application Data\61187.exe moved successfully.
C:\Documents and Settings\All Users\Application Data\~56406 moved successfully.
C:\Documents and Settings\All Users\Application Data\~56406r moved successfully.
C:\Documents and Settings\Stef\Bureau\Windows Tool.lnk moved successfully.
C:\Documents and Settings\All Users\Application Data\56406 moved successfully.
C:\Documents and Settings\All Users\Application Data\56406.exe moved successfully.
C:\Documents and Settings\Stef\Application Data\2D0E27B706E94ED592569483D0AB0159 folder moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: 7922b924da1581e0df67
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes
User: All Users
User: Cecile
->Temp folder emptied: 7954878 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Apple Safari cache emptied: 17716224 bytes
->Flash cache emptied: 405 bytes
User: ConvertTemp
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes
User: Enfants
->Temp folder emptied: 774999 bytes
->Temporary Internet Files folder emptied: 16499623 bytes
->FireFox cache emptied: 93655318 bytes
->Flash cache emptied: 966 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 6606558 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 514335 bytes
User: Stef
->Temp folder emptied: 958080589 bytes
->Temporary Internet Files folder emptied: 816947713 bytes
->Java cache emptied: 11090889 bytes
->FireFox cache emptied: 79360723 bytes
->Google Chrome cache emptied: 215187418 bytes
->Flash cache emptied: 122766 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2351795 bytes
%systemroot%\System32 .tmp files removed: 114176 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3899155609 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 78286056 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 221573 bytes
Total Files Cleaned = 5,917.00 mb
OTLPE by OldTimer - Version 3.1.46.0 log created on 03192011_021900
ENSUITE LE RAPPORT MALWARE que j'avais déjà
alwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4052
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
18/03/2011 23:05:58
mbam-log-2011-03-18 (23-05-58).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 142167
Temps écoulé: 7 minute(s), 55 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
6 saloperies trouvées
Voila pour les rapports après de nbx rebooots
Pour commencer le rapport OTL à la fin
========== SERVICES/DRIVERS ==========
Service\Driver key ZTSys not found.
========== OTL ==========
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
Registry value HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp not found.
Registry value HKEY_USERS\Cecile_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
Registry value HKEY_USERS\Enfants_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
Registry value HKEY_USERS\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
Registry value HKEY_USERS\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoSMHelp deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls\\AppSecDll deleted successfully.
C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll moved successfully.
========== FILES ==========
C:\Documents and Settings\Cecile\Menu Démarrer\Programmes\Windows Tool folder moved successfully.
C:\Documents and Settings\Stef\Menu Démarrer\Programmes\Windows Tool folder moved successfully.
File\Folder C:\Documents and Settings\All Users\Application Data\HcoJfpyuVbu.dll not found.
C:\Documents and Settings\All Users\Application Data\43453 moved successfully.
C:\Documents and Settings\All Users\Application Data\43453.exe moved successfully.
C:\Documents and Settings\Cecile\Bureau\Windows Tool.lnk moved successfully.
C:\Documents and Settings\All Users\Application Data\61187 moved successfully.
C:\Documents and Settings\All Users\Application Data\61187.exe moved successfully.
C:\Documents and Settings\All Users\Application Data\~56406 moved successfully.
C:\Documents and Settings\All Users\Application Data\~56406r moved successfully.
C:\Documents and Settings\Stef\Bureau\Windows Tool.lnk moved successfully.
C:\Documents and Settings\All Users\Application Data\56406 moved successfully.
C:\Documents and Settings\All Users\Application Data\56406.exe moved successfully.
C:\Documents and Settings\Stef\Application Data\2D0E27B706E94ED592569483D0AB0159 folder moved successfully.
========== COMMANDS ==========
[EMPTYTEMP]
User: 7922b924da1581e0df67
User: Administrateur
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes
User: All Users
User: Cecile
->Temp folder emptied: 7954878 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Apple Safari cache emptied: 17716224 bytes
->Flash cache emptied: 405 bytes
User: ConvertTemp
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 41 bytes
User: Enfants
->Temp folder emptied: 774999 bytes
->Temporary Internet Files folder emptied: 16499623 bytes
->FireFox cache emptied: 93655318 bytes
->Flash cache emptied: 966 bytes
User: LocalService
->Temp folder emptied: 66016 bytes
->Temporary Internet Files folder emptied: 6606558 bytes
User: NetworkService
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 514335 bytes
User: Stef
->Temp folder emptied: 958080589 bytes
->Temporary Internet Files folder emptied: 816947713 bytes
->Java cache emptied: 11090889 bytes
->FireFox cache emptied: 79360723 bytes
->Google Chrome cache emptied: 215187418 bytes
->Flash cache emptied: 122766 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 2351795 bytes
%systemroot%\System32 .tmp files removed: 114176 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3899155609 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 78286056 bytes
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 221573 bytes
Total Files Cleaned = 5,917.00 mb
OTLPE by OldTimer - Version 3.1.46.0 log created on 03192011_021900
ENSUITE LE RAPPORT MALWARE que j'avais déjà
alwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4052
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
18/03/2011 23:05:58
mbam-log-2011-03-18 (23-05-58).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 142167
Temps écoulé: 7 minute(s), 55 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 2
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 3
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Invictus (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\WINDOWS\system32\config\systemprofile\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully.
6 saloperies trouvées
Voila pour les rapports après de nbx rebooots
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
19 mars 2011 à 00:46
19 mars 2011 à 00:46
ok
vide la quarantaine
puis
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
vide la quarantaine
puis
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
13 mars 2011 à 11:54
En gros qd je choisi un profil au demarrage de windows XP, le soft Windows tool se lance et bloque tout le reste. C'est la meme chose en mode sans echec avec reseau, il se declenche au bout de qq secs (pas le tps de cliquer sur le bureau). Via OTL j'ai acces à mes données sur le disque, mon objectif est d'eviter de reformater tout.