Problème Windows Alert Security

Question

Bonjour,   


Je viens d'être infecté en trainant sur un site par des spywares apparemment sans que j'installe quoi que ce soit en plus... Ces 2 ci se prénomerai Windows Alert Security et Windows Recovery, ça a l'air d'être 2 faux antivirus, qui me demande d'analysé etc car mon ordinateur est sois disant en danger etc etc... (que j'ai biensur pas fait !)  

Seulement le soucis, c'est que je ne sais pas trop quel programme utilisez pour déjà virez ceux-ci qui ralentisse et bloque complètement mon pc pour ensuite le nettoyer... En plus un autre soucis viens d'apparaitre... Je viens de remarqué après 2/3 démarrage que la partition endomagé est bloqué, je veux dire par la, dans les propriété ça m'indique bien le nombre de go utilisé, seulement quand je l'ouvre le dossier est vide... Ce qui est impossible puisque la partition en question marche toujours et que j'arrive toujours à y acceder... Je pense que c'est surrement les deux autres qui font ça... Seulement même sur ma deuxième partion (mon deuxième disque dur) j'arrive pas a accédé a l'autre partition, ça me dit qu'il y a toujours autant de giga de pris mais le dossier reste quand même vide... 


Enfin voila, j'espère que vous pourriez m'aidez a virez ces deux ci ^^ 

Merci d'avance :)

gen-hackman · Answer

salut option 2,4,6 de cet outil :

https://www.luanagames.com/index.fr.html

J-Cee · Answer

Aaah oui et pour ma partition la... Le soucis est que les dossiers sont tous caché en fait... Je viens d'affiché les dossiers caché, j'arrive denouveau à voir mes donnés...

gen-hackman · Answer

https://forums.commentcamarche.net/forum/affich-21352684-probleme-windows-alert-security#1

J-Cee · Answer

Ah le soucis, c'est qu'il detecte rien... :s je dois le faire directement sur la partition infecté jsupose ?

gen-hackman · Answer

ah ben oui !

J-Cee · Answer

Voila :

http://www.cijoint.fr/cjlink.php?file=cj201103/cij0tajSOD.txt

http://www.cijoint.fr/cjlink.php?file=cj201103/cijM5YbP9J.txt

gen-hackman · Answer

tu veux bien essayer de faire correctement ce qui est demandé ?

J-Cee · Answer

Aaah oui excuse moi, j'ai été trop vite, je viens de voir qu'il faut aussi faire le 4 et le 6

Attend je fais ça de suite :)

gen-hackman · Answer

lol

J-Cee · Answer

Déjà merci ! Je peux te répondre denouveau sur la session endomagé, bon sinon après tout n'est pas encore niquel je pense, car les dossier qui était "masqué" tout ce sont réaffiché sur le bureau mais dans Utilisateur, certain sont encore masqué...

Sinon je te poste les deux dernier rapport :

http://www.cijoint.fr/cjlink.php?file=cj201103/cij8qsBjQM.txt

http://www.cijoint.fr/cjlink.php?file=cj201103/ciju7IkHjm.txt 

Merci en tout cas :)

gen-hackman · Answer

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!! (car l'outil est detecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

&#9654 Télécharge ici :List_Kill'em

et enregistre le sur ton bureau 

lance l'outil , il va stopper les processus infectieux , puis une fois la voie degagée , il va telecharger son supplement que tu devras installer

enregistre le sur ton bureau et lance l'installation 

(entre temps poste "rapport.txt" avant la fin du scan apparu sur ton bureau

Laisse coché :

&#9830 Executer List_Kill'em

une fois terminée , clic sur "terminer" 

choisis l'option Search

&#9654 laisse travailler l'outil

Attention : il se peut que l'outil bloque anormalement longtemps arrivé à 95%, relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

&#9654 Poste les rapports qui apparaitront sur ton bureau : List'em.txt et More.txt

&#9654&#9654&#9654 NE LES POSTE PAS SUR LE FORUM 

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/ 

&#9654 Clique sur Parcourir et selectionne , un par un , les fichiers concernés apparus sur ton bureau 

&#9654 Clique sur Ouvrir. 

&#9654 Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt 

est ajouté dans la page. 

&#9654 Copie ces liens dans ta réponse.

J-Cee · Answer

Bon ben voila déjà ça : 

http://www.cijoint.fr/cjlink.php?file=cj201103/cijb1vg9aF.txt 

^^

J-Cee · Answer

Ouais par contre en effet, il bloque a 95%, je l'ai donc relancé sans le quitté par le racourci du bureau et ça me demandé de faire une recherche, de réparer etc donc j'ai cliquer su rechercher et la ça fait une nouvelle recherche :s...

gen-hackman · Answer

en bas a droite de la fenetre ou il y a recherche , suppression , etc...il y a un "X" dans un petit bouton carré

J-Cee · Answer

Voila, désolé pour le retard :

More : http://www.cijoint.fr/cjlink.php?file=cj201103/cijArn8zs4.txt

List'em : http://www.cijoint.fr/cjlink.php?file=cj201103/cijbdD9sty.txt

gen-hackman · Answer

desinstalle spybot il est pourri

=============================

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

===============================

ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

&#9654 Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Tools puis Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :


PROC:SDWinSec.exe 
PROC:Btapia.exe  
FILE:C:\Windows\Btapia.exe 
REM:"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\explorer" /v "HideSCAHealth"
REM:HKEY_CURRENT_USER\software\75fa38b7-8b94-4995-ad32-52e938867954
REM:HKEY_CURRENT_USER\software\A9YA3MI1CF
REM:HKEY_CURRENT_USER\software\C2MJB7NYRU
REM:"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules" /v "{09691DDA-5902-457F-AAAE-46BD3A70748F}"
REM:"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules" /v "{6820E2D1-6F96-4016-876F-8C0EF06AFFEA}"
FILE:C:\vegaspro90b_32bit.exe      
FILE:C:\Users\J-Cee\AppData\Local\qrl.exe    
FILE:C:\Users\J-Cee\AppData\Local\Temp\Bsj.exe  
FILE:C:\Users\J-Cee\AppData\Local\Temp\Bsl.exe  
FILE:C:\ProgramData\43310856.exe        
FILE:C:\ProgramData\wTfSWRujMjxCkB.exe      

&#9654 enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

laisse travailler l'outil

&#9654 poste le resultat
 
&#9654 Ferme List_Kill'em

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

J-Cee · Answer

Voila :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijyqzxF5K.txt

gen-hackman · Answer

&#9654 Relance List_Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'Option Suppression

&#9654&#9654&#9654 Ne clique qu'une seule fois sur le bouton !!

laisse travailler l'outil.

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

&#9654 colle le contenu dans ta reponse 

&#9654 envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr

======================================


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

J-Cee · Answer

Bon voila déjà pour le rapport et le zip :

http://www.cijoint.fr/cjlink.php?file=cj201103/cij0EcnSnH.txt

http://www.cijoint.fr/cjlink.php?file=cj201103/cijAI22MzA.zip

gen-hackman · Answer

tu as bien fait defogger comme indiqué ?

J-Cee · Answer

Ben justement il y a eu comme un message d'erreur quand je lai fais... Ca doit être ça :s

Sinon pour Malwarebytes, j'arrive pas a l'installé, j'ai ceci qui se met a l'installation :

https://imageshack.com/

gen-hackman · Answer

pourquoi tu l'as pas dit en temps utile pour le message avec defogger ?

J-Cee · Answer

Ben je croyais que ça avait quand même marcher malgré tout :s

Je dois faire quoi alors ?

gen-hackman · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

J-Cee · Answer

Re,

Alors voila j'ai eu quelques soucis, et par contre, j'ai mal lu ton message :s,J'ai fais ce que tu demandais tout en lisant et j'ai cru qui fallait lancé le ComboFix avant le Defogger... Je m'en suis rendu compte après... :s C'est pas très grave ?

Enfin je t'envoi le rapport : http://www.cijoint.fr/cjlink.php?file=cj201103/cijHiovdAi.txt

Et puis j'ai eu ça après la fermeture de ComboFix, plus aucun logiciel voulait se lancer (mise a part ceux qui s'étaient ouvert au démarrage de Windows :

https://imageshack.com/

Et puis pour Defogger... Toujours le même soucis :

https://imageshack.com/

gen-hackman · Answer

si tu redemarres le pc normalement ca le fait plus logiquement

J-Cee · Answer

OUi excusement, j'ai oublié d'achever ma phrase ^^ non en effet après le redémarage tout allait bien...

Mais j'peux faire comment pour Defogger ?

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

c:\program files\Mozilla Firefox\components\browsercomps.dll    

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

=======================================

J-Cee · Answer

voila : 

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: 
MD5: 4e627a5aa3b4bd3831b2831fbbaeaad9 
Date first seen: 2011-03-19 03:19:46 (UTC) 
Date last seen: 2011-03-24 02:06:15 (UTC) 
Detection ratio: 0/41 

What do you wish to do?


Je vois pas trop les liens et tout par contre :s

gen-hackman · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

Folder::
c:\programdata\Spybot - Search & Destroy

Registy::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"TkBellExe"=-
"TrayServer"=-
"SunJavaUpdateSched"=-
"QuickTime Task"=-
"iTunesHelper"=-

DDs::
uSearchMigratedDefaultURL =
Trusted Zone: chat-land.org

Firefox::
FF - prefs.js: browser.search.selectedEngine - ACPro
FF - prefs.js: keyword.URL - hxxp://search.autocompletepro.com?si=7148&q=

RegLock::
[HKEY_USERS\S-1-5-21-150808926-2815082208-1637925730-1000\Software\SecuROM\License information*]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Minnetonka Audio Software\SurCode Dolby Digital Premiere\Version*Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Swearware\backup\winsock2\Parameters]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0002\AllUserSettings]

MBR::

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

J-Cee · Answer

Voila,

Bon j'ai eu un message d'erreur au redemarage mais je pense pas que c'est très grave, jte le montre quand même :

http://img857.imageshack.us/i/beug2.jpg/

et pour le rapport... :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijVV8ehoH.txt

gen-hackman · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 Coche les 2 cases Lop et Purity

&#9654 Coche la case devant tous les utilisateurs

&#9654 règle age du fichier sur "60 jours"

&#9654 dans les 6 onglets de la moitié gauche , mets tout sur "tous"

ne modifie pas ceci : 

"fichiers créés" et "fichiers Modifiés" 

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

J-Cee · Answer

Je comprend pas pourquoi mais j'arrive pas a faire l'analyse avec OTL, le logiciel se lance correctement et tout mais dés que je clique sur analysé après avoir mis les paramètre que tu m'a demandé, le logiciel reste sur "Scanning proces C:\Windows\system32 \lsm.exe" et n'avance pas...

gen-hackman · Answer

C:\Windows\system32\lsm.exe

tu es sur du nom ?

tu as bien lancé OTL avec le clic droit "executer en tant qu'administrateur" ?

J-Cee · Answer

Oui je viens de revérifier

Et sinon oui j'ai bien lancé avec le clique droit en tant qu'administrateur

gen-hackman · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    *  * Colle directement le chemin des fichiers , un par un , dans l'espace "Parcourir" apres chaque analyse :

C:\Windows\system32\lsm.exe 

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

J-Cee · Answer

Voila, c'est bon ça ? :

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:
MD5:	4774ad6c447e02e954bd9a793614ebec
Date first seen:	2009-02-11 20:38:35 (UTC)
Date last seen:	2011-02-05 00:29:17 (UTC)
Detection ratio:	0/43

What do you wish to do?

gen-hackman · Answer

clic sur reanalyser

J-Cee · Answer

Quand je clique sur "reanalyser" j'ai une autre fenetre... je sais pas trop ce que jdois te montré, donc j'te montre tout... :

https://imageshack.com/

https://imageshack.com/

gen-hackman · Answer

&#9654 Télécharge TDSSKiller

&#9654 Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant que........... " )

L'outil va télécharger automatiquement la dernière version de TDSSKiller puis lancera une analyse.

Patiente pendant le scan. A la fin de l'analyse, appuies sur une touche. Un rapport va s'ouvrir.

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:	dsskiller.txt.

J-Cee · Answer

Voila, je pense que c'est bon :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijHojXcfw.txt

gen-hackman · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique  
si tu as Vista ou windows 7 => clic droit "executer en tant que...."   

sur OTL.exe pour le lancer.  


&#9654Copie la liste qui se trouve en gras ci-dessous,  

&#9654 colle-la dans la zone sous "Personnalisation" :  

  
:processes  
explorer.exe  
iexplore.exe  
firefox.exe  
msnmsgr.exe  
Teatimer.exe  

:OTL  
015 - Trusted Zone: chat-land.org  
FF - prefs.js: browser.search.selectedEngine - ACPro  
FF - prefs.js: keyword.URL - hxxp://search.autocompletepro.com?si=7148&q=  

:Reg  
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"TkBellExe"=-  
"TrayServer"=-  
"SunJavaUpdateSched"=-  
"QuickTime Task"=-  
"iTunesHelper"=-  

:Files  
c:\programdata\Spybot - Search & Destroy  
   
:commands  
[emptytemp]  
[start explorer]  
[reboot]  


&#9654 Clique sur "Correction" pour lancer la suppression.  


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.  

G3?-?@¢??@?......Concepteur de List_Kill'em...

J-Cee · Answer

Le logiciel a encore planté... Il débute et puis répond plus... J'ai du redemaré le PC, je sais pas pourquoi il fonctionne pas

gen-hackman · Answer

mode sans echec ...?

J-Cee · Answer

Je viens de testé en mode sans echec mais c'est toujours paeril aussi :s il plante dés que je clique sur correction ou analyser

gen-hackman · Answer

t'es sur que tu le lances bien avec le clic droit "executer en tant qu'administrateur"?

J-Cee · Answer

Been oui, je t'assure, je fais clique droit, executer en tant qu'administrateur,le programme se lance bien, tout se passe niquel, jusqu'a ce que je clique sur analyser ou oorrection, le logiciel reste bloqué sur sa première operation et ne bouge pas... ou bien c'est moi qui n'attend pas assez longtemps.. j'ai quand même attendu au moins 5/10 min et rien ne bougait...

gen-hackman · Answer

bah laisse tournerplus longtemps voir ?

J-Cee · Answer

Re, je viens d'essayé de le faire tourner 30 min, il bloque toujour a "Processing registry data file"... Donc au tout début

gen-hackman · Answer

ok reessaie sans la ligne 015

J-Cee · Answer

En effet, sans la ligne 015 ça a marcher, voila : 

All processes killed 
========== PROCESSES ========== 
No active process named explorer.exe was found! 
No active process named iexplore.exe was found! 
No active process named firefox.exe was found! 
Process msnmsgr.exe killed successfully! 
No active process named Teatimer.exe was found! 
========== OTL ========== 
Prefs.js: browser.search.selectedEngine - ACPro removed from refs.js 
Prefs.js: keyword.URL - hxxp://search.autocompletepro.com?si=7148&q= removed from refs.js 
========== REGISTRY ========== 
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TkBellExe not found. 
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\TrayServer not found. 
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SunJavaUpdateSched not found. 
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\QuickTime Task not found. 
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\iTunesHelper not found. 
========== FILES ========== 
File\Folder c:\programdata\Spybot - Search & Destroy not found. 
========== COMMANDS ========== 
  
[EMPTYTEMP] 
  
User: All Users 
  
User: Default 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 67 bytes 
  
User: Default User 
->Temp folder emptied: 0 bytes 
->Temporary Internet Files folder emptied: 0 bytes 
  
User: J-Cee 
->Temp folder emptied: 129534776 bytes 
->Temporary Internet Files folder emptied: 20487324 bytes 
->Java cache emptied: 19430 bytes 
->FireFox cache emptied: 63452401 bytes 
->Apple Safari cache emptied: 0 bytes 
->Opera cache emptied: 109689739 bytes 
->Flash cache emptied: 77050 bytes 
  
User: Nouveau dossier 
->Temp folder emptied: 0 bytes 
  
User: Public 
->Temp folder emptied: 0 bytes 
  
%systemdrive% .tmp files removed: 0 bytes 
%systemroot% .tmp files removed: 0 bytes 
%systemroot%\System32 .tmp files removed: 1561368 bytes 
%systemroot%\System32\drivers .tmp files removed: 0 bytes 
Windows Temp folder emptied: 1188 bytes 
%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 0 bytes 
RecycleBin emptied: 0 bytes 
  
Total Files Cleaned = 310,00 mb 
  
  
OTL by OldTimer - Version 3.2.22.3 log created on 03252011_151832 

Files\Folders moved on Reboot... 
File\Folder C:\Users\J-Cee\AppData\Local\Temp\~DF175B.tmp not found! 
File\Folder C:\Users\J-Cee\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRF{3F33F62E-4528-46D2-AEB4-756AC78CD37D}.tmp not found! 
File\Folder C:\Users\J-Cee\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{19B73F6A-C077-4D2F-A752-8C89F5EA04E8}.tmp not found! 
File\Folder C:\Users\J-Cee\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.Word\~WRS{E637309F-4B55-4B45-8377-3A81498B1DDE}.tmp not found! 

Registry entries deleted on Reboot... 




Et sinon j'ai aussi fait Hitman Pro, mais j'ai pas eu de rapport

J-Cee · Answer

Oui excuse pour HitmanPro, c'est Blizzard64 qui avait posté ça mais il a supprimer son post apparemment enfin bref ^^ Sinon pour Malwarebytes, comme je t'ai dit plus haut, j'ai ceci quand je veux l'installer :s :

https://imageshack.com/

gen-hackman · Answer

tiens mets la dans le dossier d'installation de Malwarebytes le message d'erreur devrait disparaitre :

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/tmp/mbamcore.dll

J-Cee · Answer

Oui merci xStarzimzim ^^ mais Gen_Hackman m'a déjà fait faire ça...

Sinon Gen' c'est ou le dossier ?

juju666 · Answer

h'llo

gen va pas traîner ;)

C:\Programmes Files\Malwarebytes' Anti Malware

Tu met dedans ce que t'as passé gen ;)

J-Cee · Answer

Ah ok... Je viens de relancé le setup, j'ai plus eu le message d'erreur la mais j'ai eu quand même un "accès refusé" a la fin...

juju666 · Answer

pour copier le fichier?
essaye en mode sans échec ;)

J-Cee · Answer

Non non, j'ai mis le fichier dans le dossier (dailleur j'ai pas du remplacé...) et quand j'ai relancé le setup j'ai quand même eu le message qui dit qu'il a pas pu s'instalé... :s

juju666 · Answer

désinstalle mbam en mode sans échec
supprime son dossier
redémarre, toujours en sans échec. Réinstalle le.
Puis reboot en normal et teste le :)

J-Cee · Answer

jviens de tenté de le désinstaler en mode sans echec mais voila ce que j'ai... :

http://img857.imageshack.us/i/sanstitrexn.jpg/

juju666 · Answer

utilise ça pour le faire sauter: https://www.commentcamarche.net/telecharger/utilitaires/19405-revo-uninstaller/

J-Cee · Answer

Merci, je viens de tester mais toujours le même message que j'ai posté pendant le mode sans echec

juju666 · Answer

fais une recherche avec malwarebytes en mode sans échec et supprime tout ce que tu trouve.
ensuite ccleaner

réinstalle.

J-Cee · Answer

le soucis c'est que malwarebytes il marche pas vu que j'arrive pas a l'installé :s

gen-hackman · Answer

re,

tiens dezippe ca et mets tous les composants dans le dossier Malawarebyte's et lance le scan compet

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/tmp/Malwarebytes/Malwarebytes_Anti-Malware.zip

J-Cee · Answer

Re, voila en effet, j'ai bien pu faire le scan... Donc voila :

http://www.cijoint.fr/cjlink.php?file=cj201103/cijvfFG36c.txt

Par contre j'aimerai signalé quand même que tout mes fichiers sont signalé comme fichier caché et protégé du système... C'est assez embetant...Enfin je veux dire presque tous...

juju666 · Answer

Pour avancer mon jedi

&#9654 Télécharge sur le bureau RogueKiller  (par tigzy)  

&#9654 &#9654 (Sous Vista/Seven, clique droit, lancer en tant qu'administrateur )  

&#9654 Quitte tous tes programmes en cours  
&#9654 Lance RogueKiller.exe.  
&#9654 Un scan se lance, puis tu verra d'indiqué dans la fenêtre 
&#9654 &#9654 1. Scan (écrit en vert)
&#9654 &#9654 2. Delete (écrit en rouge) 
&#9654 &#9654 3. Hosts RAZ (écrit en rouge) 
&#9654 &#9654 4. Proxy RAZ (écrit en rouge)
&#9654 &#9654 5. DNS RAZ (écrit en rouge)
&#9654 &#9654 6. Raccourcis RAZ (écrit en rouge)
&#9654  A ce moment tape 6 et valide  
Note: s'il te demande de supprimer le proxy, tape 4  
&#9654 Un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
&#9654 Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe

J-Cee · Answer

Voila, bon c'est déjà mieux ^^ Le soucis c'est qu'il a restaurer tout les fichiers caché et protégé du système comme des fichiers normal.. Donc c'est un peu le bordel :s Sinon pour le rapport : RogueKiller V4.3.4 par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: J-Cee [Droits d'admin] Mode: Raccourcis RAZ -- Date : 26/03/2011 23:17:17 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 1 / Fail 3 Lancement rapide: Success 1 / Fail 0 Programmes: Success 1 / Fail 0 Menu demarrer: Success 1 / Fail 0 Mes documents: Success 2 / Fail 6 Mes favoris: Success 1 / Fail 1 Mes images: Success 1 / Fail 0 Ma musique: Success 1 / Fail 6 Mes videos: Success 1 / Fail 0 Disques locaux: Success 87624 / Fail 103929 Termine : << RKreport[1].txt >> RKreport[1].txt

juju666 · Answer

Disques locaux: Success 87624 / Fail 103929 

oufti, en effet ! je demande à Tigzy de passer voir ça !

refais le encore une fois, y'a des trucs pas restaurés !

J-Cee · Answer

Voila... : RogueKiller V4.3.4 par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: J-Cee [Droits d'admin] Mode: Raccourcis RAZ -- Date : 26/03/2011 23:33:36 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 0 / Fail 3 Lancement rapide: Success 0 / Fail 0 Programmes: Success 0 / Fail 0 Menu demarrer: Success 0 / Fail 0 Mes documents: Success 0 / Fail 6 Mes favoris: Success 0 / Fail 1 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 6 Mes videos: Success 0 / Fail 0 Disques locaux: Success 29 / Fail 104216 Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

juju666 · Answer

et celui là montre ?

RKreport[2].txt

J-Cee · Answer

RogueKiller V4.3.4 par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur: J-Cee [Droits d'admin] Mode: Raccourcis RAZ -- Date : 26/03/2011 23:17:17 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 1 / Fail 3 Lancement rapide: Success 1 / Fail 0 Programmes: Success 1 / Fail 0 Menu demarrer: Success 1 / Fail 0 Mes documents: Success 2 / Fail 6 Mes favoris: Success 1 / Fail 1 Mes images: Success 1 / Fail 0 Ma musique: Success 1 / Fail 6 Mes videos: Success 1 / Fail 0 Disques locaux: Success 87624 / Fail 103929 Termine : << RKreport[1].txt >> RKreport[1].txt

juju666 · Answer

ah non tu m as remis le [1] là ^^

J-Cee · Answer

OUps, non mais en faite je viens de remarqué, j'ai du modifier le nom ou quoi... En fait je l'avais déjà fait ça, et j'avais oublié de suprimé le précédent...

juju666 · Answer

pas grave, mais y'a quelque chose qui m intriguait

J-Cee · Answer

Ah c'est ?

Enfin bref, je peux faire quoi maintenant pour les dossiers ? ^^ car les dossier comme App. Data et tout sont mis en dossier normal comme Mes Images, Ma Musique etc... Et le cache, enfin les icones quoi on disparu, et c'est vraiment lourd si je dois remetre les icones de chaque dossier, recacher en fichier protégé par le système etc

juju666 · Answer

c est que tu passe à 6 échecs dans ton dossier ma musique à 0 au troisième scan.

Concernant tes dossiers Tigzy passeras demain matin.

La suite demain avec gen hackman ;)

J-Cee · Answer

Ok d'accord :) Merci pour l'aide en tout cas

Tigzy · Answer

Salut

Peut tu me donner l'architecture des tes lecteurs? 
genre 

C:/ disque système
D:/ disque données 
etc...

Et

Le soucis c'est qu'il a restaurer tout les fichiers caché et protégé du système comme des fichiers normal.. Donc c'est un peu le bordel :s 

Dans quel lettre de lecteur se trouvent ces données?

gen-hackman · Answer

hello fais un scan avec ca et poste le rapport qui s'ouvrira tout seul en fin de scan:

http://dl.dropbox.com/u/21363431/Restore.exe

J-Cee · Answer

Re,

Ben en fait Tigzy, j'ai deux session, le disque local C : c'est la ou se trouve Windows avec toutes les données etc (c'est ma partition infecté) et le disque local C : c'est ma deuxième session avec un autre windows dessus.. (mais elle n'a rien) c'est uniquement sur la C qui faut se concentré

J-Cee · Answer

Non lol, un Windows sur la C et un autre sur la D

gen-hackman · Answer

essaie ca :

http://dl.dropbox.com/u/21363431/Pre_scan_32.exe

poste le rapport qui apparaitra

J-Cee · Answer

Voila, par contre j'ai pas eu de rapport a la fin du scan, je comprend pas :s 

Je l'ai même essayé en mode sans echec et c'est pareil

gen-hackman · Answer

lol il est sur ton bureau....

essaie de voir si tu ne peux pas l'atteindre via l'explorateur=> ta  session=> bureau

J-Cee · Answer

Ah oui excuse moi :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process_Killer by g3n-h@ckm@n 1.0.0.0 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Mis à jour le 24/03/2011 | 13.05 par g3n-h@ckm@n
Utilisateur : J-Cee (Administrateurs)
Ordinateur : PC-DE-J-CEE

Système d'exploitation : Windows Vista (TM) Ultimate (32 bits)
Internet Explorer : 8.0.6001.19019
Mozilla Firefox : 4.0 (fr)

Scan : 18:16:59 | 27/03/2011

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 

[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\Windows\system32\userinit.exe, -> C:\Windows\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Aucune modification : 1 -> 1

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

[HKCR\exefile\..\..\command] : "%1" %*
[HKCR\comfile\..\..\command] : "%1" %*
[HKCR\scrfile\..\..\command] : "%1" /S
[HKCR\batfile\..\..\command] : "%1" %*
[HKCR\piffile\..\..\command] : "%1" %*

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

explorer.exe -> Processus stoppé 


¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

[HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
[HKLM\..\..\Services\EapHost] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\Wlansvc] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\SharedAccess] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\windefend] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
[HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ Recherche Conficker ¤¤¤¤¤¤¤¤¤¤

post scanning	services ...

scanning	jobs ...

scanning	processes ...

scanning	threads ...

scanning	modules in svchost.exe...
scanning	modules in services.exe...
scanning	modules in explorer.exe...

restoring services BITS, wuauserv, ERSvc, WerSvc
Service BITS autorun restored
Service wuauserv autorun restored
Service WerSvc autorun restored

restoring show hidden and system files

restoring SafeBoot registry node
Restoring safe/network boot registry branches for windows Vista/2008

scanning	C:\Windows\system32 ...
scanning	C:\Program Files\Internet Explorer\ ...
scanning	C:\Program Files\Movie Maker\ ...
scanning	C:\Program Files\Windows Media Player\ ...
scanning	C:\Program Files\Windows NT\ ...
scanning	C:\Users\J-Cee\AppData\Roaming ...
scanning	C:\Users\J-Cee\AppData\Local\Temp\ ...

completed
Infected jobs:			0
Infected files:			0
Infected threads:		0
Splices functions:		0
Cured files:			0
Fixed registry keys:		0


¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

on a recupéré le mode sans echec cool !

J-Cee · Answer

Ben il fonctionnait déjà avant non ?

J-Cee · Answer

Re,

Je pourrais faire quoi en fait pour remasqué les dossiers et fichiers qui doivent etre masqué ? Et aussi si possible retrouvé le cache des icones de chaque dossier comme avant...

Enfin j'attends vos manipulation ^^

gen-hackman · Answer

re ,

ben il semblerait que la branche "sans echec avec prise en charge reseau ait eu quelques déboires tel que le dit l'outil :)

========================

dans l'option des dossiers dans le panneau de configuration tu as la possibilité d'afficher ou pas les dossiers cachés dans l onglet affichage

J-Cee · Answer

Ah bon ? ouais enfin c'est pas très grave, j'utilise jamais le mode sans echec avec prise en charge reseau, juste de temps en temps le mode sans echec 

Sinon pour les dossiers, oui je sais ça ^^ mais j'aimerai afficher les dossier caché, et juste masquer ceux qui doivent etre protégé du système... Le soucis c'est que plus aucun n'est masqué, ils sont tous affiché...

gen-hackman · Answer

bah dans l'option des dossiers tu as le choix en descendant plus bas :)

les cachés, les systeme , les extensions ou pas....

J-Cee · Answer

Ok Tigzy et Gen-hackman, mais le soucis, c'est que je ne sais pas vraiment lesquel je dois masqué, puis il y en a beaucoup etc... Et ensuite j'aimerai refaire le cache des icones des dossiers... Par exemple le dossier "Video, Document" etc ont perdu leur icone, et j'ai pas vraiment envie d'allé dans personnalisation etc et les remettres manuellement, il y a pas un moyen de faire ça plus rapide et automatiquement ?

gen-hackman · Answer

est-ce que tu possedes un pack de themes installé genre bricopack vista inspirat ? (la flemme de tout relire ^^ )

J-Cee · Answer

Aaah non du tout, c'est un Vista dailleur et aucun patch, ni thème ni rien installé dessus

Tigzy · Answer

Bizarre que les icones aient sauté normalement le rogue ne fait pas ça.
Tu as essayé de booter sur l'autre windows?

J-Cee · Answer

Oui, sur l'autre Windows tout va niquel

Problème Windows Alert Security

97 réponses

Votre réponse

Newsletters