Fonctionnement de GMER
Ziramat
Messages postés
28
Statut
Membre
-
Ziramat Messages postés 28 Statut Membre -
Ziramat Messages postés 28 Statut Membre -
Bonjour,
Suite à une infection par le désormais célèbre physicaldrive0, j'ai téléchargé GMER, mais je ne parviens pas à m'en servir après l'étape du scan.
En fait, quand je fais un clic droit sur les lignes en rouge, tout est grisé...
Si quelqu'un pouvait m'aider, ce serait super sympa.
Suite à une infection par le désormais célèbre physicaldrive0, j'ai téléchargé GMER, mais je ne parviens pas à m'en servir après l'étape du scan.
En fait, quand je fais un clic droit sur les lignes en rouge, tout est grisé...
Si quelqu'un pouvait m'aider, ce serait super sympa.
A voir également:
- Fonctionnement de GMER
- Gmer - Télécharger - Antivirus & Antimalwares
- Fonctionnement du protocole http - Guide
- Fonctionnement processeur - Guide
- Notice de fonctionnement - Guide
- Fonctionnement onedrive - Guide
30 réponses
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur !
crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le
KillAll::
File::
c:\windows\system32\ypgvsaym.dll
Mbr::
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le
KillAll::
File::
c:\windows\system32\ypgvsaym.dll
Mbr::
* Désactive tes logiciels de protection
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant)
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif
* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt
ça ne marche pas non plus : je me retrouve systématiquement à la page de récupération d'erreur windows, et je dois choisir entre démarrer en mode sans échec, démarrer windows normalement, etc.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
arf
il commence à nous gonfler ce rootkit
vois si tu peux restaurer à une date antérieur à ton soucis
http://www.libellules.ch/restauration_system_vista.php
il commence à nous gonfler ce rootkit
vois si tu peux restaurer à une date antérieur à ton soucis
http://www.libellules.ch/restauration_system_vista.php
Je l'ai déjà fait, mais ça n'a rien changé... Le virus se recolle automatiquement à la restauration.
faut qu'on arrive à passer combo
on supprime tout et on recommence
1)
pour supprimer les outils de désinfection :
télécharge Delfix de Xplode
http://www.teamxscript.org/too/Xplode/DelFix.exe
choisis SUPPRESSION
poste son rapport
_________
2)
télécharge ce combo là et tu fais la procédure que tu connais
http://sd-2.archive-host.com/membres/up/135518691112296573/RAMAT.exe
on supprime tout et on recommence
1)
pour supprimer les outils de désinfection :
télécharge Delfix de Xplode
http://www.teamxscript.org/too/Xplode/DelFix.exe
choisis SUPPRESSION
poste son rapport
_________
2)
télécharge ce combo là et tu fais la procédure que tu connais
http://sd-2.archive-host.com/membres/up/135518691112296573/RAMAT.exe
Voilà le rapoort de Delfix :
# DelFix v7.6 - Rapport créé le 06/04/2011 à 10:39
# Mis à jour le 31/03/11 à 16h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6001] Service Pack 1
# Nom d'utilisateur : Laurent - PC-DE-LAURENT (Administrateur)
# Exécuté depuis : C:\Users\Laurent\Downloads\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\32788R22FWJFW
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\ComboFix.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_17.15.45_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_17.30.26_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_17.57.23_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_18.03.51_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_18.56.23_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_19.05.38_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_19.32.25_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_20.59.03_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_21.47.45_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_22.32.09_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_23.49.00_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_05.04.2011_09.52.49_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_05.04.2011_11.04.29_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_05.04.2011_11.22.45_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_17.02.2011_15.35.13_log.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\Laurent\Downloads\ComboFix(2).exe
Supprimé : C:\Users\Laurent\Downloads\ComboFix.exe
Supprimé : C:\Users\Laurent\Downloads\mbr(2).exe
Supprimé : C:\Users\Laurent\Downloads\mbr.exe
Supprimé : C:\Users\Laurent\Downloads\mbr.log
Supprimé : C:\Users\Laurent\Downloads\ToolsCleaner2(2).exe
Supprimé : C:\Users\Laurent\Downloads\ToolsCleaner2.exe
Supprimé : C:\Users\Laurent\Downloads\Load_tdsskiller(2).exe
Supprimé : C:\Users\Laurent\Downloads\Load_tdsskiller.exe
Supprimé : C:\Users\Laurent\Downloads\HiJackThis.exe
Supprimé : C:\Users\Laurent\Downloads\hijackthis.log
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
Clé Supprimée : HKCU\console_combofixbackup
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
########## EOF - "C:\DelFixSuppr.txt" - [3380 octets] ##########
# DelFix v7.6 - Rapport créé le 06/04/2011 à 10:39
# Mis à jour le 31/03/11 à 16h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6001] Service Pack 1
# Nom d'utilisateur : Laurent - PC-DE-LAURENT (Administrateur)
# Exécuté depuis : C:\Users\Laurent\Downloads\DelFix.exe
# Option [Suppression]
~~~~~~ Dossier(s) ~~~~~~
-> C:\Qoobox\BackEnv ... ACL modifié avec succès.
Supprimé : C:\Qoobox
Supprimé : C:\32788R22FWJFW
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\ComboFix.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_17.15.45_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_17.30.26_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_17.57.23_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_18.03.51_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_18.56.23_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_19.05.38_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_19.32.25_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_20.59.03_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_21.47.45_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_22.32.09_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_04.04.2011_23.49.00_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_05.04.2011_09.52.49_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_05.04.2011_11.04.29_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_05.04.2011_11.22.45_log.txt
Supprimé : C:\TDSSKiller.2.4.1.2_17.02.2011_15.35.13_log.txt
Supprimé : C:\Windows\grep.exe
Supprimé : C:\Windows\PEV.exe
Supprimé : C:\Windows\NIRCMD.exe
Supprimé : C:\Windows\MBR.exe
Supprimé : C:\Windows\sed.exe
Supprimé : C:\Windows\SWREG.exe
Supprimé : C:\Windows\SWSC.exe
Supprimé : C:\Windows\SWXCACLS.exe
Supprimé : C:\Windows\zip.exe
Supprimé : C:\Users\Laurent\Downloads\ComboFix(2).exe
Supprimé : C:\Users\Laurent\Downloads\ComboFix.exe
Supprimé : C:\Users\Laurent\Downloads\mbr(2).exe
Supprimé : C:\Users\Laurent\Downloads\mbr.exe
Supprimé : C:\Users\Laurent\Downloads\mbr.log
Supprimé : C:\Users\Laurent\Downloads\ToolsCleaner2(2).exe
Supprimé : C:\Users\Laurent\Downloads\ToolsCleaner2.exe
Supprimé : C:\Users\Laurent\Downloads\Load_tdsskiller(2).exe
Supprimé : C:\Users\Laurent\Downloads\Load_tdsskiller.exe
Supprimé : C:\Users\Laurent\Downloads\HiJackThis.exe
Supprimé : C:\Users\Laurent\Downloads\hijackthis.log
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKLM\Software\swearware
Clé Supprimée : HKLM\Software\Classes\.cfxxe
Clé Supprimée : HKLM\Software\Classes\cfxxefile
Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\combofix.exe
Clé Supprimée : HKCU\console_combofixbackup
~~~~~~ Autre ~~~~~~
-> Prefetch vidé
########## EOF - "C:\DelFixSuppr.txt" - [3380 octets] ##########
le nouveau combofix ne passe pas non plus. Il se charge normalement, et au moment ou la barre verte est à 100%, mon écran bascule en bleu avec un message d'erreur, et je suis obligé de redémarrer mon pc. Je viens d'essayer 3 fois de suite...
