A voir également:
- Et oui xp security 2011...
- Cle windows xp - Guide
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Telecharger windows xp - Télécharger - Systèmes d'exploitation
- Oui transfert gratuit - Guide
- Winsetupfromusb windows xp - Télécharger - Utilitaires
119 réponses
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
Modifié par moment de grace le 4/04/2011 à 07:11
Modifié par moment de grace le 4/04/2011 à 07:11
bonjour
essaie ceci quitte à passer par une clé usb
desactive tes protections puis enregistre ceci sur ton bureau
Pre_Scan
http://dl.dropbox.com/u/21363431/Pre_scan.exe
une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
essaie ceci quitte à passer par une clé usb
desactive tes protections puis enregistre ceci sur ton bureau
Pre_Scan
http://dl.dropbox.com/u/21363431/Pre_scan.exe
une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.
CONTRIBUTEUR SECURITE
En désinfection, c'est la fin le plus important !
"Restez" jusqu'au bout...merci
Merci de ta réponse
j'ai enregistrer pre_cam sur l'ordinateur portable, je l'ai mis sur clé usb, mais quand je veux le mettre sur le pc infecté y me dit accès refusé
j'ai enregistrer pre_cam sur l'ordinateur portable, je l'ai mis sur clé usb, mais quand je veux le mettre sur le pc infecté y me dit accès refusé
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
4 avril 2011 à 07:48
4 avril 2011 à 07:48
renommes le FONKY.exe pour voir
sinon essaie en mode sans echec
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
sinon essaie en mode sans echec
https://www.micro-astuce.com/depannage/demarrer-mode-sans-echec.php
En fait bizaremment le fichier est .0xe et le fichier est mis comme inconnus, alors que sur le pc portable (windows seven) le fichier est normal (exe)
Apparemment quand je le met sur mon pc le fichier est converti, peut etre mon antivirus qui le change? je peux pas le desactiver j'ai plus accès a rien...
(le fichier passait normalement en mode sans echec, soucis, y peux pas demarrer en sans echec lol
Je vais tenter de le mettre en mode sans echec puis de le demarrer en normal
Apparemment quand je le met sur mon pc le fichier est converti, peut etre mon antivirus qui le change? je peux pas le desactiver j'ai plus accès a rien...
(le fichier passait normalement en mode sans echec, soucis, y peux pas demarrer en sans echec lol
Je vais tenter de le mettre en mode sans echec puis de le demarrer en normal
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
4 avril 2011 à 08:12
4 avril 2011 à 08:12
poste moi le rapport de rogue killer stp
et fais l'option 4
poste aussi le rapport
et fais l'option 4
poste aussi le rapport
rapport en appuyant sur 2 :
RogueKiller V4.3.6 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Suppression -- Date : 04/04/2011 08:15:59
Processus malicieux: 1
[APPDT/TMP/DESKTOP] gur.exe -- c:\documents and settings\tous\local settings\application data\gur.exe -> KILLED
Entrees de registre: 2
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Documents and Settings\tous\Local Settings\Application Data\gur.exe" -a "C:\Program Files\mozilla firefox\firefox.exe") -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe")
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\tous\Local Settings\Application Data\gur.exe" -a "C:\Program Files\internet explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\iexplore.exe")
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
En appuyant sur 4 :
RogueKiller V4.3.6 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Proxy RAZ -- Date : 04/04/2011 08:19:01
Processus malicieux: 1
[APPDT/TMP/DESKTOP] gur.exe -- c:\documents and settings\tous\local settings\application data\gur.exe -> KILLED
Entrees de registre: 0
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
RogueKiller V4.3.6 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Suppression -- Date : 04/04/2011 08:15:59
Processus malicieux: 1
[APPDT/TMP/DESKTOP] gur.exe -- c:\documents and settings\tous\local settings\application data\gur.exe -> KILLED
Entrees de registre: 2
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\FIREFOX.EXE\shell\open\command : ("C:\Documents and Settings\tous\Local Settings\Application Data\gur.exe" -a "C:\Program Files\mozilla firefox\firefox.exe") -> REPLACED : ("C:\Program Files\mozilla firefox\firefox.exe")
[FILE ASSO] HKLM\[...]Software\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command : ("C:\Documents and Settings\tous\Local Settings\Application Data\gur.exe" -a "C:\Program Files\internet explorer\iexplore.exe") -> REPLACED : ("C:\Program Files\internet explorer\iexplore.exe")
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
En appuyant sur 4 :
RogueKiller V4.3.6 par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: Administrateur [Droits d'admin]
Mode: Proxy RAZ -- Date : 04/04/2011 08:19:01
Processus malicieux: 1
[APPDT/TMP/DESKTOP] gur.exe -- c:\documents and settings\tous\local settings\application data\gur.exe -> KILLED
Entrees de registre: 0
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
4 avril 2011 à 08:22
4 avril 2011 à 08:22
as tu retrouver internet ?
de plus
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
de plus
Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
(outil de diagnostic)
Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin pour Vista ou Seven)
Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.
Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.
Rend toi sur http://pjjoint.malekal.com/
Clique sur "Parcourir "
Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau
Clique ensuite sur "Envoyer le fichier " et copie/colle le lien dans ton prochain message
Bon...je passe ZHPDiag, quand il est a 100% je clique sur "sauvegarder le fichier sous" je met bureau, puis le fichier est pas la...je recommence, j'enregistre, et la je vois le fichier texte, mais par contre sur le bureau il est invisible...
Bon j'ai réussi en l'enregistrant sur la clé usb...(l'ordi est completement mort la...meme le message de security a changé de look...)
Lol, meme le site pour uploader me met erreur quand j'upload, gag...j'ai du utiliser la methode copié collé
http://pjjoint.malekal.com/files.php?read=v5t11z14m6k7d8r15t12w14
Merci encore de m'aider et de répondre si vite
Bon j'ai réussi en l'enregistrant sur la clé usb...(l'ordi est completement mort la...meme le message de security a changé de look...)
Lol, meme le site pour uploader me met erreur quand j'upload, gag...j'ai du utiliser la methode copié collé
http://pjjoint.malekal.com/files.php?read=v5t11z14m6k7d8r15t12w14
Merci encore de m'aider et de répondre si vite
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
4 avril 2011 à 08:56
4 avril 2011 à 08:56
Attention, avant de commencer, lit attentivement la procédure, et imprime la
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs que tu renommes FLAMME.exe avant de l'enregistrer sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
(clic droit sur le lien /enregistrer la cible du lien sous/ renommer/choisir le bureau/enregistrer )
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Aide à l'utilisation
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Télécharge ComboFix de sUBs que tu renommes FLAMME.exe avant de l'enregistrer sur ton Bureau :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
(clic droit sur le lien /enregistrer la cible du lien sous/ renommer/choisir le bureau/enregistrer )
/!\ Déconnecte-toi du net et <gras>DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ </gras>
---> Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
SURTOUT INSTALLES LA CONSOLE DE RECUPERATION
(si il te propose de l'installer remets internet)
---> Mets-le en langue française F
Tape sur la touche 1 (Yes) pour démarrer le scan.
Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\
Note : Le rapport se trouve également là : C:\ComboFix.txt
Ok je commence tout ça, par contre quand tu dis désactive mes protections, j'ai plus accès à rien, je dois faire quelque chose?
Apparemment le malware a progressé, les fenetres ont changés...
Apparemment le malware a progressé, les fenetres ont changés...
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
4 avril 2011 à 09:13
4 avril 2011 à 09:13
oublie les protections
Bon le scan s'est fait (finalement reussi a desactiver mon antivirus en faisant clic droit, executer administrateur) , il a redemarré, mais cette saleté était toujours la, et evidemment aucun signe du fichier .txt, pas apparu, pas sur le bureau, pas sur mon C:, j'ai un icone en forme de pc apparu sous le nom FLAMME, et un boot.bak, peut etre que j'ai un soucis de fichier caché?
Maintenant que j'ai remarqué que je pouvais ouvrir l'antivirus, peut etre je devrais passer un scan? (F-secure)
Je commence a perdre espoir, je me demande ou cette saleté a été infecté pour que rien ne marche..
J'ai lu sur un autre topic, qu'un gars avait utilisé la restauration systeme? cela pourrait marcher?
Merci
Maintenant que j'ai remarqué que je pouvais ouvrir l'antivirus, peut etre je devrais passer un scan? (F-secure)
Je commence a perdre espoir, je me demande ou cette saleté a été infecté pour que rien ne marche..
J'ai lu sur un autre topic, qu'un gars avait utilisé la restauration systeme? cela pourrait marcher?
Merci
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
4 avril 2011 à 12:27
4 avril 2011 à 12:27
Téléchargez MalwareByte's Anti-Malware (que tu pourras garder ensuite)
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation.
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. Rends toi dans l'onglet rapport/log
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller
Si tu as besoin d'aide regarde ces tutoriels :
Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam
Bonjour, j'ai eu quelques changements, plusieurs messages pour des trojans (mais toujours en rapport avec le "gur.exe") l'ordi redemarre tout seul etc..., et surtout le message windows qui me dit que le parefeu est desactivé (parle pas de l'antivirus) et bizarement, la page spam de xp security s'ouvrait plus (cela dit j'ai pas essayé d'ouvrir le moindre programme, peut-être vu que l'antivirus etait desactivé (tout seul...) aucun programme n'essayait de se lancer et donc le malware réagissait pas...bref
J'ai donc passé Malwarebytes, voici le rapport, et maintenant quand je clique sur des programmes ça réagit, mais les programmes ne savent pas comment s'ouvrir (me demande quel programme utiliser)
le rapport :
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6272
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
5/04/2011 9:20:42
mbam-log-2011-04-05 (09-20-42).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 268961
Temps écoulé: 2 heure(s), 28 minute(s), 10 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Windows Secure Fix (Backdoor.Bot) -> Value: Windows Secure Fix -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RESTORE\s-1-5-21-1482476501-1644491937-682003330-1013 (Backdoor.IRCBot) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\WINDOWS\java\Packages\Data\Beclick.dll (Backdoor.IRCFlood) -> Quarantined and deleted successfully.
e:\totalcmd\cr-tc551.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RESTORE\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Backdoor.IRCBot) -> Quarantined and deleted successfully.
J'ai donc passé Malwarebytes, voici le rapport, et maintenant quand je clique sur des programmes ça réagit, mais les programmes ne savent pas comment s'ouvrir (me demande quel programme utiliser)
le rapport :
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6272
Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.13
5/04/2011 9:20:42
mbam-log-2011-04-05 (09-20-42).txt
Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Elément(s) analysé(s): 268961
Temps écoulé: 2 heure(s), 28 minute(s), 10 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 2
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{28ABC5C0-4FCB-11CF-AAX5-81CX1C635612} (Trojan.Agent) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Windows Secure Fix (Backdoor.Bot) -> Value: Windows Secure Fix -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013 (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RESTORE\s-1-5-21-1482476501-1644491937-682003330-1013 (Backdoor.IRCBot) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\WINDOWS\java\Packages\Data\Beclick.dll (Backdoor.IRCFlood) -> Quarantined and deleted successfully.
e:\totalcmd\cr-tc551.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
c:\RECYCLER\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
c:\RESTORE\s-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Backdoor.IRCBot) -> Quarantined and deleted successfully.
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
5 avril 2011 à 10:08
5 avril 2011 à 10:08
ok
vide la quarantaine
puis
* Télécharge RstAssociations ( d'Xplode ) sur ton bureau.
http://www.teamxscript.org/too/Xplode/RstAssociations.exe
* Note : Si l'association de fichier .exe est corrompue, télécharge la version .scr
http://www.teamxscript.org/too/Xplode/RstAssociations.scr
* Lance le, coche toutes les cases ( à remplacer par les associations à restaurer ) puis clique sur [Restaurer]
* Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
* Note : le rapport est également sauvegardé sous C:\RstAssociations.txt
vide la quarantaine
puis
* Télécharge RstAssociations ( d'Xplode ) sur ton bureau.
http://www.teamxscript.org/too/Xplode/RstAssociations.exe
* Note : Si l'association de fichier .exe est corrompue, télécharge la version .scr
http://www.teamxscript.org/too/Xplode/RstAssociations.scr
* Lance le, coche toutes les cases ( à remplacer par les associations à restaurer ) puis clique sur [Restaurer]
* Poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
* Note : le rapport est également sauvegardé sous C:\RstAssociations.txt
Bonjour, voici le rapport
RstAssociations v1.1 - Rapport créé le 05/04/2011 à 21:05
Mis à jour le 26/12/10 à 23h par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
Nom d'utilisateur : Administrateur - AA-A3653F52E471 (Administrateur)
Exécuté depuis : C:\Documents and RstAssociations v1.1 - Rapport créé le 05/04/2011 à 21:13
Mis à jour le 26/12/10 à 23h par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
Nom d'utilisateur : Administrateur - AA-A3653F52E471 (Administrateur)
Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\RstAssociations.scr
-> asf ... association de fichiers restaurée !
-> asx ... association de fichiers restaurée !
-> audioCD ... association de fichiers restaurée !
-> avi ... association de fichiers restaurée !
-> bat ... association de fichiers restaurée !
-> bmp ... association de fichiers restaurée !
-> cab ... association de fichiers restaurée !
-> chm ... association de fichiers restaurée !
-> cmd ... association de fichiers restaurée !
-> com ... association de fichiers restaurée !
-> cpl ... association de fichiers restaurée !
-> cur ... association de fichiers restaurée !
-> directory ... association de fichiers restaurée !
-> dll ... association de fichiers restaurée !
-> drive ... association de fichiers restaurée !
-> drvms ... association de fichiers restaurée !
-> eml ... association de fichiers restaurée !
-> exe ... association de fichiers restaurée !
-> folder ... association de fichiers restaurée !
-> gif ... association de fichiers restaurée !
-> hlp ... association de fichiers restaurée !
-> hta ... association de fichiers restaurée !
-> htm ... association de fichiers restaurée !
-> html ... association de fichiers restaurée !
-> ico ... association de fichiers restaurée !
-> inf ... association de fichiers restaurée !
-> ini ... association de fichiers restaurée !
-> jpe ... association de fichiers restaurée !
-> jpeg ... association de fichiers restaurée !
-> jpg ... association de fichiers restaurée !
-> js ... association de fichiers restaurée !
-> lnk ... association de fichiers restaurée !
-> m3u ... association de fichiers restaurée !
-> mp3 ... association de fichiers restaurée !
-> mp4 ... association de fichiers restaurée !
-> mpa ... association de fichiers restaurée !
-> mpe ... association de fichiers restaurée !
-> mpeg ... association de fichiers restaurée !
-> mpg ... association de fichiers restaurée !
-> msc ... association de fichiers restaurée !
-> msi ... association de fichiers restaurée !
-> png ... association de fichiers restaurée !
-> reg ... association de fichiers restaurée !
-> rtf ... association de fichiers restaurée !
-> scr ... association de fichiers restaurée !
-> tif ... association de fichiers restaurée !
-> tiff ... association de fichiers restaurée !
-> txt ... association de fichiers restaurée !
-> url ... association de fichiers restaurée !
-> vbe ... association de fichiers restaurée !
-> vbs ... association de fichiers restaurée !
-> wma ... association de fichiers restaurée !
-> wmv ... association de fichiers restaurée !
-> wsf ... association de fichiers restaurée !
-> xml ... association de fichiers restaurée !
-> xps ... association de fichiers restaurée !
-> zip ... association de fichiers restaurée !
########## EOF - "\RstAssociations.txt" - [3219 octets] ##########
Pour le moment pas de changements.
Bizarement j'ai aussi un soucis avec les fichier sur mon bureau, j'enregistre le truc, mais il est invisible, je les vois seulement dans la fenêtre ou on enregistre un fichier, bizarre...
RstAssociations v1.1 - Rapport créé le 05/04/2011 à 21:05
Mis à jour le 26/12/10 à 23h par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
Nom d'utilisateur : Administrateur - AA-A3653F52E471 (Administrateur)
Exécuté depuis : C:\Documents and RstAssociations v1.1 - Rapport créé le 05/04/2011 à 21:13
Mis à jour le 26/12/10 à 23h par Xplode
Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
Nom d'utilisateur : Administrateur - AA-A3653F52E471 (Administrateur)
Exécuté depuis : C:\Documents and Settings\Administrateur\Bureau\RstAssociations.scr
-> asf ... association de fichiers restaurée !
-> asx ... association de fichiers restaurée !
-> audioCD ... association de fichiers restaurée !
-> avi ... association de fichiers restaurée !
-> bat ... association de fichiers restaurée !
-> bmp ... association de fichiers restaurée !
-> cab ... association de fichiers restaurée !
-> chm ... association de fichiers restaurée !
-> cmd ... association de fichiers restaurée !
-> com ... association de fichiers restaurée !
-> cpl ... association de fichiers restaurée !
-> cur ... association de fichiers restaurée !
-> directory ... association de fichiers restaurée !
-> dll ... association de fichiers restaurée !
-> drive ... association de fichiers restaurée !
-> drvms ... association de fichiers restaurée !
-> eml ... association de fichiers restaurée !
-> exe ... association de fichiers restaurée !
-> folder ... association de fichiers restaurée !
-> gif ... association de fichiers restaurée !
-> hlp ... association de fichiers restaurée !
-> hta ... association de fichiers restaurée !
-> htm ... association de fichiers restaurée !
-> html ... association de fichiers restaurée !
-> ico ... association de fichiers restaurée !
-> inf ... association de fichiers restaurée !
-> ini ... association de fichiers restaurée !
-> jpe ... association de fichiers restaurée !
-> jpeg ... association de fichiers restaurée !
-> jpg ... association de fichiers restaurée !
-> js ... association de fichiers restaurée !
-> lnk ... association de fichiers restaurée !
-> m3u ... association de fichiers restaurée !
-> mp3 ... association de fichiers restaurée !
-> mp4 ... association de fichiers restaurée !
-> mpa ... association de fichiers restaurée !
-> mpe ... association de fichiers restaurée !
-> mpeg ... association de fichiers restaurée !
-> mpg ... association de fichiers restaurée !
-> msc ... association de fichiers restaurée !
-> msi ... association de fichiers restaurée !
-> png ... association de fichiers restaurée !
-> reg ... association de fichiers restaurée !
-> rtf ... association de fichiers restaurée !
-> scr ... association de fichiers restaurée !
-> tif ... association de fichiers restaurée !
-> tiff ... association de fichiers restaurée !
-> txt ... association de fichiers restaurée !
-> url ... association de fichiers restaurée !
-> vbe ... association de fichiers restaurée !
-> vbs ... association de fichiers restaurée !
-> wma ... association de fichiers restaurée !
-> wmv ... association de fichiers restaurée !
-> wsf ... association de fichiers restaurée !
-> xml ... association de fichiers restaurée !
-> xps ... association de fichiers restaurée !
-> zip ... association de fichiers restaurée !
########## EOF - "\RstAssociations.txt" - [3219 octets] ##########
Pour le moment pas de changements.
Bizarement j'ai aussi un soucis avec les fichier sur mon bureau, j'enregistre le truc, mais il est invisible, je les vois seulement dans la fenêtre ou on enregistre un fichier, bizarre...
moment de grace
Messages postés
29042
Date d'inscription
samedi 6 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
18 juillet 2013
2 274
5 avril 2011 à 22:37
5 avril 2011 à 22:37
desactive tes protections puis enregistre ceci sur ton bureau
Pre_Scan
http://dl.dropbox.com/u/21363431/Pre_scan.exe
une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.
Si l'outil est coincé, le renommer en firefox.exe
Pre_Scan
http://dl.dropbox.com/u/21363431/Pre_scan.exe
une fois telechargé lance-le , laisse faire le scan puis colle le contenu de " rapport.txt" qui apparaitra à son terme , sur le bureau.
Si l'outil est coincé, le renommer en firefox.exe
Impossible de lancer Pre_Scan, même en le renommant, voici le message d'erreur :
Autolt Error
Line 2497 (file "C:\Documents and Settings\tous\Bureau\Pre_Scan.exe")
Error: Variable used without being declared.
Autolt Error
Line 2497 (file "C:\Documents and Settings\tous\Bureau\Pre_Scan.exe")
Error: Variable used without being declared.
Utilisateur anonyme
6 avril 2011 à 01:09
6 avril 2011 à 01:09
salut desolé pour le contre temps supprime la version que tu as et retelecharge-le
Ok c'était bien ça, le scan est finis
j'ai compris pourquoi je voyais plus les nouveaux icônes sur le bureau, vu que comme j'ouvre avec clic droit executer administrateur, ça se mettait dans C:\Documents and Settings\Administrateur\Bureau au lieu de C:\Documents and Settings\tous\Bureau
Bon c'est bête mais je l'ignorais !
Donc voici le rapport, sans oublier que je ne peux toujours pas ouvrir en double cliquant, peut-être que les infos affichés ici correspondent a la session "administrateur" et pas la ou est le soucis? (session "tous")
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan by g3n-h@ckm@n 1.0.0.10 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤ XP | Vista | Seven - 32/64 ¤
Mis à jour le 06/04/2011 | 00.10 par g3n-h@ckm@n
Utilisateur : Administrateur (Administrateurs)
Ordinateur : AA-A3653F52E471
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 7.0.5730.13
Mozilla Firefox : 4.0 (fr)
Scan : 03:02:25 | 06/04/2011
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Aucune modification : 1 -> 1
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[exefile | command] : "%1" %*
[comfile | command] : "%1" %*
[scrfile | command] : "%1" /S
[batfile | command] : "%1" %*
[piffile | command] : "%1" %*
[Firefox - Safemode | Command] | @ -> Aucune modification : "C:\Program Files\Mozilla Firefox\Firefox.exe" -> "C:\Program Files\Mozilla Firefox\Firefox.exe"
[IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" -> "C:\Program Files\Internet Explorer\iexplore.exe"
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
[Ndisuio] | Start -> Aucune modification : 3 -> 3
[ERSvc] | Start -> Aucune modification : 2 -> 2
[Bits] | Start -> Aucune modification : 2 -> 2
[EapHost] | Start -> Modification apportée : 3 -> 2
[SharedAccess] | Start -> Modification apportée : 4 -> 2
[wuauserv] | Start -> Modification apportée : -> 2
[WerSvc] | Start -> Modification apportée : -> 2
[wscsvc] | Start -> Aucune modification : 2 -> 2
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKCU | Main] | Start Page -> Modification apportée : -> http://www.google.com/
[HKCU | Main] | Local Page -> Modification apportée : -> C:\WINDOWS\system32\blank.htm
[HKCU | Main] | Search Page -> Modification apportée : -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
[HKLM | Main] | Start Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Local Page -> Modification apportée : %SystemRoot%\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKLM | Main] | Default_Search_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
[HKLM | Main] | Default_Page_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Search Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
ATKKBService.exe -> Processus stoppé
¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤
Supprimé : [Your Image File Name Here without a path] ->
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
scanning jobs ...
scanning processes ...
scanning threads ...
scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...
restoring services BITS, wuauserv, ERSvc, WerSvc
Service BITS autorun restored
Service ERSvc autorun restored
restoring show hidden and system files
restoring SafeBoot registry node
Restoring safe/network boot registry branches for windows XP
scanning C:\WINDOWS\system32 ...
scanning C:\Program Files\Internet Explorer\ ...
scanning C:\Program Files\Movie Maker\ ...
scanning C:\Program Files\Windows Media Player\ ...
scanning C:\Program Files\Windows NT\ ...
scanning C:\Documents and Settings\Administrateur\Application Data ...
scanning C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ ...
scanning C:\ ...
scanning D:\ ...
scanning E:\ ...
scanning F:\ ...
scanning G:\ ...
completed
Infected jobs: 0
Infected files: 0
Infected threads: 0
Splices functions: 0
Cured files: 0
Fixed registry keys: 0
Fin : 03:18:07
¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
j'ai compris pourquoi je voyais plus les nouveaux icônes sur le bureau, vu que comme j'ouvre avec clic droit executer administrateur, ça se mettait dans C:\Documents and Settings\Administrateur\Bureau au lieu de C:\Documents and Settings\tous\Bureau
Bon c'est bête mais je l'ignorais !
Donc voici le rapport, sans oublier que je ne peux toujours pas ouvrir en double cliquant, peut-être que les infos affichés ici correspondent a la session "administrateur" et pas la ou est le soucis? (session "tous")
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan by g3n-h@ckm@n 1.0.0.10 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤ XP | Vista | Seven - 32/64 ¤
Mis à jour le 06/04/2011 | 00.10 par g3n-h@ckm@n
Utilisateur : Administrateur (Administrateurs)
Ordinateur : AA-A3653F52E471
Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 7.0.5730.13
Mozilla Firefox : 4.0 (fr)
Scan : 03:02:25 | 06/04/2011
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
[HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
[HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe,
[HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Aucune modification : 1 -> 1
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤
[exefile | command] : "%1" %*
[comfile | command] : "%1" %*
[scrfile | command] : "%1" /S
[batfile | command] : "%1" %*
[piffile | command] : "%1" %*
[Firefox - Safemode | Command] | @ -> Aucune modification : "C:\Program Files\Mozilla Firefox\Firefox.exe" -> "C:\Program Files\Mozilla Firefox\Firefox.exe"
[IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" -> "C:\Program Files\Internet Explorer\iexplore.exe"
¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤
[Ndisuio] | Start -> Aucune modification : 3 -> 3
[ERSvc] | Start -> Aucune modification : 2 -> 2
[Bits] | Start -> Aucune modification : 2 -> 2
[EapHost] | Start -> Modification apportée : 3 -> 2
[SharedAccess] | Start -> Modification apportée : 4 -> 2
[wuauserv] | Start -> Modification apportée : -> 2
[WerSvc] | Start -> Modification apportée : -> 2
[wscsvc] | Start -> Aucune modification : 2 -> 2
¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤
[HKCU | Main] | Start Page -> Modification apportée : -> http://www.google.com/
[HKCU | Main] | Local Page -> Modification apportée : -> C:\WINDOWS\system32\blank.htm
[HKCU | Main] | Search Page -> Modification apportée : -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
[HKLM | Main] | Start Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Local Page -> Modification apportée : %SystemRoot%\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
[HKLM | Main] | Default_Search_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
[HKLM | Main] | Default_Page_URL -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=69157 -> http://go.microsoft.com/fwlink/?LinkId=69157
[HKLM | Main] | Search Page -> Aucune Modification : http://go.microsoft.com/fwlink/?LinkId=54896 -> http://go.microsoft.com/fwlink/?LinkId=54896
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
ATKKBService.exe -> Processus stoppé
¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤
Supprimé : [Your Image File Name Here without a path] ->
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
scanning jobs ...
scanning processes ...
scanning threads ...
scanning modules in svchost.exe...
scanning modules in services.exe...
scanning modules in explorer.exe...
restoring services BITS, wuauserv, ERSvc, WerSvc
Service BITS autorun restored
Service ERSvc autorun restored
restoring show hidden and system files
restoring SafeBoot registry node
Restoring safe/network boot registry branches for windows XP
scanning C:\WINDOWS\system32 ...
scanning C:\Program Files\Internet Explorer\ ...
scanning C:\Program Files\Movie Maker\ ...
scanning C:\Program Files\Windows Media Player\ ...
scanning C:\Program Files\Windows NT\ ...
scanning C:\Documents and Settings\Administrateur\Application Data ...
scanning C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ ...
scanning C:\ ...
scanning D:\ ...
scanning E:\ ...
scanning F:\ ...
scanning G:\ ...
completed
Infected jobs: 0
Infected files: 0
Infected threads: 0
Splices functions: 0
Cured files: 0
Fixed registry keys: 0
Fin : 03:18:07
¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤