Page de démarrage forcé par Karatika

je l'avais désactivé...

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

File::
c:\users\FERNANDES\AppData\Local\Temp\0034DBA.tmp

Folder::
c:\users\Fernandes\AppData\Roaming\MadMania

Driver::
X6va003

RegLock::
[HKEY_USERS\S-1-5-21-1686271706-2934922711-3925864356-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
[HKEY_USERS\S-1-5-21-1686271706-2934922711-3925864356-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
[HKEY_USERS\S-1-5-21-1686271706-2934922711-3925864356-1000_Classes\Wow6432Node\CLSID\{18e46c46-5240-499d-9a56-d62ad0b2cb50}]
[HKEY_USERS\S-1-5-21-1686271706-2934922711-3925864356-1000_Classes\Wow6432Node\CLSID\{5ED60779-4DE2-4E07-B862-974CA4FF2E9C}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\NetRatingsNetSight]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]


MBR::

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

bonsoir, j'ai essayé a plusieurs reprises mais combofix bloque... j'ai essayé en mode sans échec, désactiver les protections etc

Télécharge ici :OTL

▶ enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶ Coche les 2 cases Lop et Purity

▶ Coche la case devant tous les utilisateurs

▶ règle age du fichier sur "60 jours"

▶ dans les 6 onglets de la moitié gauche , mets tout sur "tous"

ne modifie pas ceci :

"fichiers créés" et "fichiers Modifiés"

▶Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

▶ Clique sur Parcourir et cherche le fichier ci-dessus.

▶ Clique sur Ouvrir.

▶ Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

▶ Copie ce lien dans ta réponse.

▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

http://www.cijoint.fr/cjlink.php?file=cj201103/cij3PAghZM.txt
http://www.cijoint.fr/cjlink.php?file=cj201103/cij1R71L6L.txt

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:Services
Bonjour Service

:OTL
FF - prefs.js..browser.startup.homepage: "http://karatika.com" => ZHPHosts White List
FF - user.js..browser.startup.homepage: "http://karatika.com" => ZHPHosts White List
O4 - HKLM\..\Run: [EfficientDiary] File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O18 - Protocol\Handler\wlpg {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Reg Error: Key error. File not found
[2011/03/20 15:05:03 | 000,002,036 | ---- | M] () -- C:\ZHPRegY13.zhp
[2011/03/20 15:05:03 | 000,001,798 | ---- | M] () -- C:\ZHPRegY12.zhp
[2011/03/20 15:05:03 | 000,001,582 | ---- | M] () -- C:\ZHPRegY11.zhp
[2011/03/20 15:05:03 | 000,000,354 | ---- | M] () -- C:\ZHPRegY10.zhp
[2011/03/20 15:05:02 | 000,001,040 | ---- | M] () -- C:\ZHPRegY9.zhp
[2011/03/20 15:05:02 | 000,000,968 | ---- | M] () -- C:\ZHPRegY8.zhp
[2011/03/20 15:05:02 | 000,000,698 | ---- | M] () -- C:\ZHPRegY6.zhp
[2011/03/20 15:05:02 | 000,000,626 | ---- | M] () -- C:\ZHPRegY5.zhp
[2011/03/20 15:05:02 | 000,000,452 | ---- | M] () -- C:\ZHPRegY7.zhp
[2011/03/20 15:05:02 | 000,000,356 | ---- | M] () -- C:\ZHPRegY4.zhp
[2011/03/20 15:05:01 | 000,000,652 | ---- | M] () -- C:\ZHPRegY3.zhp
[2011/03/20 15:05:00 | 000,004,302 | ---- | M] () -- C:\ZHPRegY1.zhp
[2011/03/20 15:05:00 | 000,000,562 | ---- | M] () -- C:\ZHPRegY0.zhp
[2011/03/20 15:05:00 | 000,000,548 | ---- | M] () -- C:\ZHPRegY2.zhp

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"SunJavaUpdateSched"=-
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
"LDM"=-
"swg"=-

:Files
C:\1st_Quarantine_L_K
C:\Users\Fernandes\AppData\Roaming\MadMania
C:\Windows\SysWow64\nxEuUninstall.bat

:commands
[emptytemp]
[start explorer]
[reboot]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

G3?-?@¢??@?......Concepteur de List_Kill'em...

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
No active process named iexplore.exe was found!
No active process named firefox.exe was found!
No active process named msnmsgr.exe was found!
No active process named Teatimer.exe was found!
========== SERVICES/DRIVERS ==========
Service Bonjour Service stopped successfully!
Service Bonjour Service deleted successfully!
========== OTL ==========
Prefs.js: "http://karatika.com" => ZHPHosts White List removed from browser.startup.homepage
C:\Users\Fernandes\AppData\Roaming\Mozilla\FireFox\Profiles\p4n7ok0g.default\user.js moved successfully.
Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry key HKEY_LOCAL_MACHINE\Software\Policies\Microsoft\Internet Explorer\Restrictions\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\PROTOCOLS\Handler\wlpg\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324}\ deleted successfully.
File {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - Reg Error: Key error. File not found not found.
C:\ZHPRegY13.zhp moved successfully.
C:\ZHPRegY12.zhp moved successfully.
C:\ZHPRegY11.zhp moved successfully.
C:\ZHPRegY10.zhp moved successfully.
C:\ZHPRegY9.zhp moved successfully.
C:\ZHPRegY8.zhp moved successfully.
C:\ZHPRegY6.zhp moved successfully.
C:\ZHPRegY5.zhp moved successfully.
C:\ZHPRegY7.zhp moved successfully.
C:\ZHPRegY4.zhp moved successfully.
C:\ZHPRegY3.zhp moved successfully.
C:\ZHPRegY1.zhp moved successfully.
C:\ZHPRegY0.zhp moved successfully.
C:\ZHPRegY2.zhp moved successfully.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\SunJavaUpdateSched deleted successfully.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\LDM not found.
Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\\swg not found.
========== FILES ==========
C:\1st_Quarantine_L_K folder moved successfully.
C:\Users\Fernandes\AppData\Roaming\MadMania folder moved successfully.
C:\Windows\SysWow64\nxEuUninstall.bat moved successfully.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes

User: Fernanda
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes

User: Fernandes
->Temp folder emptied: 1087588 bytes
->Temporary Internet Files folder emptied: 39436944 bytes
->Java cache emptied: 1227943 bytes
->FireFox cache emptied: 100794415 bytes
->Flash cache emptied: 10955 bytes

User: Public
->Temp folder emptied: 0 bytes

User: Téléchargements
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->FireFox cache emptied: 43712288 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1089073 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50741 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 179.00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 03242011_233120

Files\Folders moved on Reboot...
C:\Users\Fernandes\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

karatika partie ? ^^

non

Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape karatika

dans cette fenêtre

confirme la recherche dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 00:17:09 le 25/03/2011
4.
5. Valeur(s) recherchée(s):
6. karatika
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10.
11. ====== Fichier(s) ======
12.
13.
14. "C:\Users\Fernandes\AppData\Roaming\Microsoft\Windows\Cookies\Low\fernandes@karatika[2].txt" [ NOT_CONTENT_INDEXED|ARCHIVE | 356 o ]
15. TC: 19/03/2011,15:24:54 | TM: 19/03/2011,15:24:54 | DA: 19/03/2011,15:24:54
16.
17.
18. =========================
19.
20.
21. =========================
22.
23. Fin à: 00:18:42 le 25/03/2011
24. 351690 Éléments analysés
25.
26. =========================
27. E.O.F

t'as pas fait 'rechercher aussi dans registre"....;

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 00:27:20 le 25/03/2011
4.
5. Valeur(s) recherchée(s):
6. karatika
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14.
15. "C:\Users\Fernandes\AppData\Roaming\Microsoft\Windows\Cookies\Low\fernandes@karatika[2].txt" [ NOT_CONTENT_INDEXED|ARCHIVE | 356 o ]
16. TC: 19/03/2011,15:24:54 | TM: 19/03/2011,15:24:54 | DA: 19/03/2011,15:24:54
17.
18.
19. =========================
20.
21.
22.
23. ====== Entrée(s) du registre ======
24.
25. Aucun élément dans le registre trouvé
26.
27. =========================
28.
29. Fin à: 00:28:28 le 25/03/2011
30. 571853 Éléments analysés
31.
32. =========================
33. E.O.F

sur quel navigateur tu as cette page d'accueil ?

firefox

desinstalle-le et reinstalle-le

je suis complètement perdu avec la nouvelle version de firefox lol, mais ma fenetre karatika a disparu <3

▶ Relance List&Kill'em(soit en clic droit pour vista / 7),avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'option Tools puis Command Lines

un document texte va s'ouvrir à l'apparition de : Text Please

▶copie/colle le texte en gras ci-dessous :

MBR\MBRFix64.exe /drive 0 fixmbr /win7 /yes
shutdown -r

ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

Laisse travailler l'outil

ton pc va redemarrer

========================================

à ton retour :

▶ Relance List&Kill'em(soit en clic droit pour vista / 7),avec le raccourci sur ton bureau.

mais cette fois-ci :

▶ choisis l'option Tools puis Command Lines

un document texte va s'ouvrir

▶copie/colle le texte en gras ci-dessous :


del /f /q MBR.log
MBR.exe -t
notepad Mbr.log
del /f /q Mbr.log


ensuite onglet "Fichier" clic sur enregistrer , puis ferme ce bloc notes

Laisse travailler l'outil

poste le resultat qui s'ouvrira
G3?-?@¢??@?......Concepteur de List_Kill'em...

Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 6.1.7600

device: opened successfully
user: error reading MBR

Disk trace:
error: Read Descripteur non valide
kernel: error reading MBR

logique..suis-je bète !!