windows vista recovery Fermé

Question

Bonjour, 

mon ordi est parasité par ce virus, j ai lu pas mal de truc sur internet mais des conseils pour m en débarrasser seront les biens venus. Quelques questions également:
- ma session est "contaminée" , j utilise du coup la session invitée ou celle de ma copine, sont elles également vouées à bientôt planter? puis y utiliser des disques durs externes précédemment branchés sur ma session?
- qu en est il des dsiques durs externes, baladeurs mp3?
- plutot que suivre une procédure si j ai bien compris longue et non certaine qt au résultat, est il possible de formater ma session, si oui comment faire?
-comment sait installé ce virus sur l'ordi?
-comment éviter qu il revienne?
Merci
   

Configuration: Windows Vista / Firefox 4.0.1

gen-hackman · Answer

salut 

sur la session infectée :

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler 

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

ralbol · Answer

voila ce doit etre fait.

gen-hackman · Answer

je peux savoir pourquoi tu ne suis pas les indications ?

gen-hackman · Answer

peux-tu m'énumerer ce qu 'il y a la dedans ?

C:\ProgramData\24567568

gen-hackman · Answer

fais ca :

demarrer/accessoires/executer puis tape :

%ProgramData%

puis valide 

tu devrais le trouver dans le dossier qui s'ouvre

gen-hackman · Answer

si tu tapes ca pareil ?

c:\programdata

gen-hackman · Answer

non mais dans le dossier qui s'ouvre tu n'as pas celui que je te demande ?

gen-hackman · Answer

non c'est ca que je te demande dans programdata : 24567568

gen-hackman · Answer

ca sert à quoi de me renvoyer 50 fois le meme rapport ?

bon il doit etre en fichier caché

[28/05/2011|20:13:48] | C:\ProgramData\24567568

==========================

tu sais afficher les fichiers cachés ?

gen-hackman · Answer

laisse tomber

enregistre ca sur ton bureau , execute-le avec le clic droit executer en tant qu'administrateur" puis tu trouveras ce que je te demande apparaitre sur le bureau

http://dl.dropbox.com/u/21363431/tmp.bat

gen-hackman · Answer

je comprends pas c'est un fichier ? pas un dossier ?

gen-hackman · Answer

alors-là quelle surprise !!

clic droit dessus , envoyers vers , dossiers compressés puis heberge l'archive créée sur https://www.cjoint.com/ puis donne le lien obtenu en echange

gen-hackman · Answer

parfait merci je vais etudier ca

selectionne ce texte sans les lignes :
___________________________________________________
file::
C:\ProgramData\~24567568r         
C:\ProgramData\24567568     
C:\ProgramData\~24567568                                                
___________________________________________________

copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail

gen-hackman · Answer

ouh que ca me gonfle ces windows vista !

tu as pas du faire comme il faut

on s'en fout on continue

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

gen-hackman · Answer

precise ne marche pas

gen-hackman · Answer

[color="#FF0000"][b]ATTENTION !!![/b][/color] : Script personnalisé pour [color="#FF0000"]cette machine uniquement , [u]ne pas reproduire[/u][/color] !! 

[b]si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...."[/b] 

sur OTL.exe pour le lancer. 


Copie la liste qui se trouve en gras ci-dessous, 

colle-la dans la zone sous "Personnalisation" : 


explorer.exe 
iexplore.exe 
firefox.exe 
msnmsgr.exe 
Teatimer.exe 

:Services 
Bonjour Service 

:OTL 
IE - HKU\S-1-5-21-362369666-185590851-3789808495-1001\..\URLSearchHook: {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com)  
O2 - BHO: (Ask Search Assistant BHO) - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (Ask.com)    => Infection BT (Adware.AskTBar)   
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll (Google Inc.)    => Google Toolbar Downloader or Infection FakeAlert   
O2 - BHO: (Ask Toolbar BHO) - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)    => Infection BT (Adware.AskBarDis)   
O3 - HKLM\..\Toolbar: (&Google) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (Google Inc.)    => Google Toolbar Downloader or Infection FakeAlert   
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)    => Infection BT (Adware.AskBarDis)   
O3 - HKU\S-1-5-21-362369666-185590851-3789808495-1001\..\Toolbar\WebBrowser: (&Google) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (Google Inc.)    => Google Toolbar Downloader or Infection FakeAlert   
O3 - HKU\S-1-5-21-362369666-185590851-3789808495-1001\..\Toolbar\WebBrowser: (Ask Toolbar) - {FE063DB9-4EC0-403E-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (Ask.com)    => Infection BT (Adware.AskBarDis)   
O4 - Startup: C:\Users\marlene\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\OneNote 2007 - Capture d'écran et lancement.lnk =  File not found 
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Recovery present        
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Recovery present       
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Recovery present       
O7 - HKU\S-1-5-21-362369666-185590851-3789808495-1001\Software\Policies\Microsoft\Internet Explorer\Recovery present       
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)    => Sun Microsystem Java Runtime   
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)    => Sun Java Runtime   
O18 - Protocol\Handler\msdaipp - No CLSID value found 

:Reg 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"Adobe Reader Speed Launcher"=- 
"CognizanceTS"=- 
"HP Software Update"=- 
"SunJavaUpdateSched"=- 
"TkBellExe"=- 
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run] 
"gStart"=- 

:files 
C:\Program Files\AskTBar 
C:\Users\julien\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Windows Vista Recovery       
C:\Users\julien\Desktop\24567568.rar       
C:\Users\julien\Desktop	mp.bat       
C:\ProgramData\~24567568       
C:\Users\julien\Desktop\Windows Vista Recovery.lnk 
C:\ProgramData\~24567568r       
C:\Users\julien\Desktop\24567568       
C:\ProgramData\24567568     
    
:commands 
[start explorer] 
[reboot] 
 

Clique sur "Correction" pour lancer la suppression. 


Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage. 

G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....

ralbol · Answer

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

gen-hackman · Answer

non c'est pas celui-là que j'attendais....

C:\_OTL\Moved Files\la_date_et_l'heure.txt

gen-hackman · Answer

verifie bien que tu aies tous tes documents et les raccourcis du menu demarrer avant que l'on fasse la suite car ca va virer les fichiers temporaires et tout sera effacé

Windows vista recovery

19 réponses