Comment enlever le virus "Vista Recovery" ?
Chakhal7
-
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Smart91 Messages postés 30146 Statut Contributeur sécurité -
Bonjour,
'
Mon PC est infecté depuis hier soir par le virus "Vista Recovery". (fonds écran noir, fichiers disparus, msg erreurs IDE / SATA, etc.)... => Quel est la méthode pour supprimer complètement le virus ?
'
Pour info, voici les différentes étapes dont je me souviens :
-j'ai eu qq msg d'erreurs (pb disque dur IDE / SATA) puis le scan Vista Recovery s'est lancé en détectant un certain nb d'erreurs (32 % HDD unreadable, température RAM, etc.). Il m'a proposé d'essayer de réparer ces erreurs - j'ai "malheureusement" cliqué sur ce bouton et un autre scan s'est lancé avec correction de qq erreurs seulement. Ensuite, je me suis dit que c'était un virus au moment au moment ou il m'a proposé d'acheter des modules supplémentaires.... chose que je n'ai pas faite ...
'
Ma 2ème question est la suivante : la "réparation" proposée était-elle un simple leurre ou cela a t-il pu agraver la situation ?
'
Merci d'avance pour vos réponses !
'
Mon PC est infecté depuis hier soir par le virus "Vista Recovery". (fonds écran noir, fichiers disparus, msg erreurs IDE / SATA, etc.)... => Quel est la méthode pour supprimer complètement le virus ?
'
Pour info, voici les différentes étapes dont je me souviens :
-j'ai eu qq msg d'erreurs (pb disque dur IDE / SATA) puis le scan Vista Recovery s'est lancé en détectant un certain nb d'erreurs (32 % HDD unreadable, température RAM, etc.). Il m'a proposé d'essayer de réparer ces erreurs - j'ai "malheureusement" cliqué sur ce bouton et un autre scan s'est lancé avec correction de qq erreurs seulement. Ensuite, je me suis dit que c'était un virus au moment au moment ou il m'a proposé d'acheter des modules supplémentaires.... chose que je n'ai pas faite ...
'
Ma 2ème question est la suivante : la "réparation" proposée était-elle un simple leurre ou cela a t-il pu agraver la situation ?
'
Merci d'avance pour vos réponses !
A voir également:
- Comment enlever le virus "Vista Recovery" ?
- Android recovery - Guide
- Clé windows vista - Guide
- Comment enlever le mode sécurisé - Guide
- Virus mcafee - Accueil - Piratage
- Comment enlever le rond bleu sur whatsapp - Guide
20 réponses
Bonjour,
Tu as attrapé un un rogue c'est à dire un faux antivirus.
Tu vas faire ceci:
- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 2 [DELETE] et valide
- Poste le rapport RKreport.txt présent sur le bureau.
* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe
Ensuite tu relances RogueKIller et choisis l'otion 6 et poste le rapport
Smart
Tu as attrapé un un rogue c'est à dire un faux antivirus.
Tu vas faire ceci:
- Télécharge sur le bureau RogueKiller de Tigzy
- Quitte tous tes programmes en cours
- Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
- Sinon lance simplement RogueKiller.exe
- Lorsque demandé, tape 2 [DELETE] et valide
- Poste le rapport RKreport.txt présent sur le bureau.
* Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe
Ensuite tu relances RogueKIller et choisis l'otion 6 et poste le rapport
Smart
Salut,
merci de ta réponse.
Alors j'ai fait plusieurs choses ce soir :
-j'ai tt d'abord arrêté 2 processus via Gestionnaire des tâches : ggepskfpxtp.exe et 25681680.exe (car ce sont des chaines de caractères "random" typique du virus apparemment ...)
-j'ai ensuite bloqué 1 élément de démarrage (via MSCONFIG) qui me semblait en lien avec le virus (le fichier ggepskfpxtp.exe)
- j'ai lancé TDSSKiller mais il ne m'a rien détecté ...
- puis j'ai lancé RogueKiller (options 2 et 6) - voir posts ci-dessous
- puis j'ai lancé MalwareBytes AM => qui m'a trouvé 5 fichiers infectés et corrigés dont 2 qui m'ont semblé en lien avec le virus Vista Recovery
-j'ai lancé mon Antivirus (Bitdefender) mais aucune infection détectée ...
Le fond noir était tjs présent après démarrage malgré cela ...
J'ai vu que l'élément de démarrage était tjs présent ds Msconfig bien que désactivé donc je suis intervenu sur la base de registre en supprimant 3 éléments :
-ggepskfpxtp.exe
-HKCU\software\Microsoft\Windows\CurrentVersion\Run "ggepskfpxtp"
-25681680.exe
Pourtant le pb persiste ... auriez-vous des idées ?
Voici les derniers posts :
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Recherche -- Date : 31/05/2011 23:01:18
Processus malicieux: 0
Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (127.0.0.1:9666) -> FOUND
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 31/05/2011 23:05:17
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 8960 / Fail 0
Lancement rapide: Success 8 / Fail 0
Programmes: Success 1070 / Fail 0
Menu demarrer: Success 30 / Fail 0
Dossier utilisateur: Success 8114 / Fail 0
Mes documents: Success 701 / Fail 0
Mes favoris: Success 42 / Fail 0
Mes images: Success 1918 / Fail 0
Ma musique: Success 2 / Fail 0
Mes videos: Success 6 / Fail 0
Disques locaux: Success 5758 / Fail 0
Sauvegarde: [FOUND] Success 18 / Fail 0
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
merci de ta réponse.
Alors j'ai fait plusieurs choses ce soir :
-j'ai tt d'abord arrêté 2 processus via Gestionnaire des tâches : ggepskfpxtp.exe et 25681680.exe (car ce sont des chaines de caractères "random" typique du virus apparemment ...)
-j'ai ensuite bloqué 1 élément de démarrage (via MSCONFIG) qui me semblait en lien avec le virus (le fichier ggepskfpxtp.exe)
- j'ai lancé TDSSKiller mais il ne m'a rien détecté ...
- puis j'ai lancé RogueKiller (options 2 et 6) - voir posts ci-dessous
- puis j'ai lancé MalwareBytes AM => qui m'a trouvé 5 fichiers infectés et corrigés dont 2 qui m'ont semblé en lien avec le virus Vista Recovery
-j'ai lancé mon Antivirus (Bitdefender) mais aucune infection détectée ...
Le fond noir était tjs présent après démarrage malgré cela ...
J'ai vu que l'élément de démarrage était tjs présent ds Msconfig bien que désactivé donc je suis intervenu sur la base de registre en supprimant 3 éléments :
-ggepskfpxtp.exe
-HKCU\software\Microsoft\Windows\CurrentVersion\Run "ggepskfpxtp"
-25681680.exe
Pourtant le pb persiste ... auriez-vous des idées ?
Voici les derniers posts :
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Recherche -- Date : 31/05/2011 23:01:18
Processus malicieux: 0
Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (127.0.0.1:9666) -> FOUND
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 31/05/2011 23:05:17
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 8960 / Fail 0
Lancement rapide: Success 8 / Fail 0
Programmes: Success 1070 / Fail 0
Menu demarrer: Success 30 / Fail 0
Dossier utilisateur: Success 8114 / Fail 0
Mes documents: Success 701 / Fail 0
Mes favoris: Success 42 / Fail 0
Mes images: Success 1918 / Fail 0
Ma musique: Success 2 / Fail 0
Mes videos: Success 6 / Fail 0
Disques locaux: Success 5758 / Fail 0
Sauvegarde: [FOUND] Success 18 / Fail 0
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
j'ai oublié de préciser que par intermittence (période de plusieurs minutes) la couleur blanche de mon écran devient rose flashy ... puis redevient completement normal !
Est ce dû au virus également ? ou est ce un pb matériel (type carte graphique) ?
Est ce dû au virus également ? ou est ce un pb matériel (type carte graphique) ?
Alors tout d'abord tu n'as pas suivi ce que j'ai dit. Tu n'as pas lancé RogueKiller en option 2 mais option 1
Alors refais le en option 2 et ensuite tu le relances en option 4. Et tu postes les deux rapports
Comme tu n'avais lancé lancé l'option 2 le processus lancé par le rogue n'a pas été tué, donc il se peut que cela soit la raison pour laquelle que tu ne retrouves pas ton bureau. Il faudra surement relancer RogueKiller avec l'option 6
Je te demanderais également de ne pas prendre d'initaitive, sinon je vais avoir du mal à suivre la désinfection. (Ta manip avec msconfig ne servait à rien)
Smart
Alors refais le en option 2 et ensuite tu le relances en option 4. Et tu postes les deux rapports
Comme tu n'avais lancé lancé l'option 2 le processus lancé par le rogue n'a pas été tué, donc il se peut que cela soit la raison pour laquelle que tu ne retrouves pas ton bureau. Il faudra surement relancer RogueKiller avec l'option 6
Je te demanderais également de ne pas prendre d'initaitive, sinon je vais avoir du mal à suivre la désinfection. (Ta manip avec msconfig ne servait à rien)
Smart
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
non j'ai bien lancé l'option 2 (après avoir lancé en option 1 Recherche) ... je me suis juste trompé de post à mon avis ....
au final j'ai effectué une restauration de système à la date du 28/05 et mon fonds ecran est revenu à la normal (mais la couleur rose est tjs présente)
Puis j'ai relancé MBAM et RogueKiller => aucune infection détectée
Est ce que c'est bon à votre avis ? Comment en être sûr ?
@smart : Pourquoi tu dis que la manip avec msconfig ne servait à rien ? car plusieurs sites disent qu'on peut nettoyer manuellement le registre avec cette manip ... ?
au final j'ai effectué une restauration de système à la date du 28/05 et mon fonds ecran est revenu à la normal (mais la couleur rose est tjs présente)
Puis j'ai relancé MBAM et RogueKiller => aucune infection détectée
Est ce que c'est bon à votre avis ? Comment en être sûr ?
@smart : Pourquoi tu dis que la manip avec msconfig ne servait à rien ? car plusieurs sites disent qu'on peut nettoyer manuellement le registre avec cette manip ... ?
Si tu as avais lancé l'option 2 j'aurais vu dans les rapport que tu as postés
Un rapport avec le n3
Or tes rapports montre le rapport N°1 pour rechercjhe et le rapport N°2 pour Raccoucis RAZ (option6)
pas d'option 2.
Deplus je t'ai demandé de lancer RogueKiller avec l'option 2 et 4 et j'attends le rapport
Il est important, de plus, lorsque l'on fait une désinfection de ne pas faire d'aures manips en parallèle, car à la leture des rapports il est difficile de voir ce qui se passe. Comme éagalement il nje afaut pas se faire désinfecter par deux personns différentes en même temps
Avec msconfg tu vas arréter les services, et ou des programmes au démarrage mais tu ne les supprimes pas. Ils vont revenir.
Smart
Un rapport avec le n3
Or tes rapports montre le rapport N°1 pour rechercjhe et le rapport N°2 pour Raccoucis RAZ (option6)
pas d'option 2.
Deplus je t'ai demandé de lancer RogueKiller avec l'option 2 et 4 et j'attends le rapport
Il est important, de plus, lorsque l'on fait une désinfection de ne pas faire d'aures manips en parallèle, car à la leture des rapports il est difficile de voir ce qui se passe. Comme éagalement il nje afaut pas se faire désinfecter par deux personns différentes en même temps
Avec msconfg tu vas arréter les services, et ou des programmes au démarrage mais tu ne les supprimes pas. Ils vont revenir.
Smart
@smart : je t'assures que j'ai bien lancé RogueKiller avec l'option 1 (recherche) puis l'option 2 (supprimer) puis l'option 6 comme tu me l'avais demandé dans ton 1er msg ...
par contre je ne peux pas te fournir les rapports car je suis au taf et dc je n'ai pas mon ordi avec moi.
par contre à quoi sert l'option 4 car apparemment cela supprime les configuration proxy trouvées ( pour IE et firefox) ... cela peut avoir un lien avec le virus ?
et sinon que penses tu de la restauration du système ? ça a marché selon toi ?comment être sur qu'il n'y a plus de virus ?
par contre je ne peux pas te fournir les rapports car je suis au taf et dc je n'ai pas mon ordi avec moi.
par contre à quoi sert l'option 4 car apparemment cela supprime les configuration proxy trouvées ( pour IE et firefox) ... cela peut avoir un lien avec le virus ?
et sinon que penses tu de la restauration du système ? ça a marché selon toi ?comment être sur qu'il n'y a plus de virus ?
par contre à quoi sert l'option 4 car apparemment cela supprime les configuration proxy trouvées ( pour IE et firefox) ... cela peut avoir un lien avec le virus ?
OUI
Je la vois ici dans le rapport RK
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (127.0.0.1:9666) -> FOUND
A ce soir. Bonne Journée :-)
Smart
OUI
Je la vois ici dans le rapport RK
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (127.0.0.1:9666) -> FOUND
A ce soir. Bonne Journée :-)
Smart
je vais essayer de repasser chez moi vers 12h45 et de poster les rapports de RK d'hier et d'aujourd'hui + ceux de MBAM ...
a tte
a tte
Comme promis voici l'ensemble des rapports :
1) Rapport RK d'hier soir - option 2
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Suppression -- Date : 31/05/2011 22:05:09
Processus malicieux: 0
Entrees de registre: 9
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (127.0.0.1:9666) -> NOT REMOVED, USE PROXYFIX
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
2) Rapport RK d'hier soir - option 6
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 31/05/2011 23:05:17
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 8960 / Fail 0
Lancement rapide: Success 8 / Fail 0
Programmes: Success 1070 / Fail 0
Menu demarrer: Success 30 / Fail 0
Dossier utilisateur: Success 8114 / Fail 0
Mes documents: Success 701 / Fail 0
Mes favoris: Success 42 / Fail 0
Mes images: Success 1918 / Fail 0
Ma musique: Success 2 / Fail 0
Mes videos: Success 6 / Fail 0
Disques locaux: Success 5758 / Fail 0
Sauvegarde: [FOUND] Success 18 / Fail 0
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
3) Rapport MalwareBytes AM
alwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6734
Windows 6.0.6000 (Safe Mode)
Internet Explorer 7.0.6000.17037
31/05/2011 20:28:14
mbam-log-2011-05-31 (20-28-14).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 295747
Temps écoulé: 50 minute(s), 11 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programdata\25681680.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\programdata\ggepskfpxtp.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\Users\Vincent\AppData\Local\Temp\tmpE269.tmp (Trojan.FakeMS) -> Quarantined and deleted successfully.
4) Rapport RK de ce soir (dc post restauration)- option 2
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Suppression -- Date : 01/06/2011 19:16:02
Processus malicieux: 0
Entrees de registre: 3
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (127.0.0.1:9666) -> NOT REMOVED, USE PROXYFIX
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt
5) Rapport RK de ce soir (dc post restauration)- option 4
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Proxy RAZ -- Date : 01/06/2011 19:17:00
Processus malicieux: 0
Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (127.0.0.1:9666) -> DELETED
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt
6) Rapport RK de ce soir (dc post restauration) - option 6
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 01/06/2011 19:17:54
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 1 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 13 / Fail 0
Menu demarrer: Success 1 / Fail 0
Dossier utilisateur: Success 28 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 15 / Fail 0
Sauvegarde: [FOUND] Success 0 / Fail 0
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt
---------------
@Smart : qu'en penses-tu ? pr l'instant le fond d'écran est tjs normal (hormis la couleur rose ) ...
1) Rapport RK d'hier soir - option 2
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Suppression -- Date : 31/05/2011 22:05:09
Processus malicieux: 0
Entrees de registre: 9
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (127.0.0.1:9666) -> NOT REMOVED, USE PROXYFIX
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
2) Rapport RK d'hier soir - option 6
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 31/05/2011 23:05:17
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 8960 / Fail 0
Lancement rapide: Success 8 / Fail 0
Programmes: Success 1070 / Fail 0
Menu demarrer: Success 30 / Fail 0
Dossier utilisateur: Success 8114 / Fail 0
Mes documents: Success 701 / Fail 0
Mes favoris: Success 42 / Fail 0
Mes images: Success 1918 / Fail 0
Ma musique: Success 2 / Fail 0
Mes videos: Success 6 / Fail 0
Disques locaux: Success 5758 / Fail 0
Sauvegarde: [FOUND] Success 18 / Fail 0
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
3) Rapport MalwareBytes AM
alwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6734
Windows 6.0.6000 (Safe Mode)
Internet Explorer 7.0.6000.17037
31/05/2011 20:28:14
mbam-log-2011-05-31 (20-28-14).txt
Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 295747
Temps écoulé: 50 minute(s), 11 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 4
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\PROGRAM FILES\COMMON FILES\SPIGOT\WTXPCOM\COMPONENTS\WIDGITOOLBARFF.DLL (Adware.WidgiToolbar) -> Value: WIDGITOOLBARFF.DLL -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\program files\common files\Spigot\wtxpcom\components\widgitoolbarff.dll (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\programdata\25681680.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.
c:\programdata\ggepskfpxtp.exe (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\Users\Vincent\AppData\Local\Temp\tmpE269.tmp (Trojan.FakeMS) -> Quarantined and deleted successfully.
4) Rapport RK de ce soir (dc post restauration)- option 2
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Suppression -- Date : 01/06/2011 19:16:02
Processus malicieux: 0
Entrees de registre: 3
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (127.0.0.1:9666) -> NOT REMOVED, USE PROXYFIX
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Fichier HOSTS:
127.0.0.1 localhost
::1 localhost
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt
5) Rapport RK de ce soir (dc post restauration)- option 4
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Proxy RAZ -- Date : 01/06/2011 19:17:00
Processus malicieux: 0
Entrees de registre: 1
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (127.0.0.1:9666) -> DELETED
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt
6) Rapport RK de ce soir (dc post restauration) - option 6
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows Vista (6.0.6000 ) 32 bits version
Demarrage : Mode normal
Utilisateur: Vincent [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 01/06/2011 19:17:54
Processus malicieux: 0
Attributs de fichiers restaures:
Bureau: Success 1 / Fail 0
Lancement rapide: Success 0 / Fail 0
Programmes: Success 13 / Fail 0
Menu demarrer: Success 1 / Fail 0
Dossier utilisateur: Success 28 / Fail 0
Mes documents: Success 0 / Fail 0
Mes favoris: Success 0 / Fail 0
Mes images: Success 0 / Fail 0
Ma musique: Success 0 / Fail 0
Mes videos: Success 0 / Fail 0
Disques locaux: Success 15 / Fail 0
Sauvegarde: [FOUND] Success 0 / Fail 0
Termine : << RKreport[6].txt >>
RKreport[1].txt ; RKreport[4].txt ; RKreport[5].txt ; RKreport[6].txt
---------------
@Smart : qu'en penses-tu ? pr l'instant le fond d'écran est tjs normal (hormis la couleur rose ) ...
OK Relance MBAM et vide la quarantaine.
Ensuite tu vas faire ceci:
Télécharge RSTshell:
http://www.general-changelog-team.fr/...
Lance le, clique su "Restaurer" et poste le rapport
Smart
Ensuite tu vas faire ceci:
Télécharge RSTshell:
http://www.general-changelog-team.fr/...
Lance le, clique su "Restaurer" et poste le rapport
Smart
ok pour MBAM
par contre , j'essaie de comprendre ta démarche => pourquoi tu penses à RSTshell ?
car sur leur site c'est écrit : "RstShell permet de résoudre des problèmes comme l'ordinateur qui reste bloqué sur l'écran de bienvenue, ou encore un écran noir au démarrage.
C'est un outil spécifique qui ne doit pas être utilisé si votre PC ne présente aucun de ces symptômes.
or, je n'ai pas l'impression d'avoir ces symptomes ... ?
par contre , j'essaie de comprendre ta démarche => pourquoi tu penses à RSTshell ?
car sur leur site c'est écrit : "RstShell permet de résoudre des problèmes comme l'ordinateur qui reste bloqué sur l'écran de bienvenue, ou encore un écran noir au démarrage.
C'est un outil spécifique qui ne doit pas être utilisé si votre PC ne présente aucun de ces symptômes.
or, je n'ai pas l'impression d'avoir ces symptomes ... ?
C'est pour supprimer ton écran rose. Du moins tu peux toujours l'essayer. Tu ne risques rien.
Et si tu n'as pas confiance et que tu vas vérifier la fonction de chaque outil que je fais passer. Il vaut mieux voir avec quelqu'un d'autre
Smart
Et si tu n'as pas confiance et que tu vas vérifier la fonction de chaque outil que je fais passer. Il vaut mieux voir avec quelqu'un d'autre
Smart
écoute, c'est pas que je n'ai pas confiance en toi mais d'une part j'ai envie d'apprendre (dc j'ai besoin de comprendre la démarche suivie) et d'autre part, je me méfie quand même de certains logiciels qui ne sont pas très communs (Si RK l'est, j'avais jamais entendu parler de RstShell ... !) ...
OK. Donc on reprend. Si j'ai bien compris tu as récupérer ton bureau avec tes icones. c'est uniquement le fond d'écarn qui est rose donc tu n'as pas récupéré ton le paier peint du bureau.
On va utiliser la toute dernière version de RogueKIller
Supprime RogueKiler qui est sur ton bureau.
Teélécharge la nouvelle version ==> RogueKiller sur ton bureau
Relance RogueKiller en option 2 puis 6 et poste les rapports
Smart
On va utiliser la toute dernière version de RogueKIller
Supprime RogueKiler qui est sur ton bureau.
Teélécharge la nouvelle version ==> RogueKiller sur ton bureau
Relance RogueKiller en option 2 puis 6 et poste les rapports
Smart
non, j'ai bien récupéré le papier peint du bureau ... en fait l'écran n'arrive plus à afficher la couleur blanche => la couleur blanche est remplacée par du rose "pétant" voire "scintillant"
de la même façon lors du démarrage de Windows, quand le logo Win s'affiche (avant saisie mot de passe), il y a une couleur verte autour du logo ....
en fait l'écran n'affiche plus correcetment les couleurs car sur Internet par exemple, il y a de la couleur verte dans les images (sous forme de pixels qui scintille / clignote)
... j'ai l'impression que c'est la carte graphique ou l'écran (neon de la dalle plutot que nappe ?) qui serait en cause ...
a ton avis ?
de la même façon lors du démarrage de Windows, quand le logo Win s'affiche (avant saisie mot de passe), il y a une couleur verte autour du logo ....
en fait l'écran n'affiche plus correcetment les couleurs car sur Internet par exemple, il y a de la couleur verte dans les images (sous forme de pixels qui scintille / clignote)
... j'ai l'impression que c'est la carte graphique ou l'écran (neon de la dalle plutot que nappe ?) qui serait en cause ...
a ton avis ?
AH. Je n'avais pas compris.
Et là je ne suis pas un spécialiste du matériel. Ce que je te propose c'est de continuer la désinfection , en fait il faut un faire un diagnostic pour voir s'il y a d'autres infcetions.
Et pour ce pb d'écran voir dans le forum matériel si cela vient de l'écran ou la carte graphique ou alors d'une mauvaise connexion
Donc si tu veux continuer
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
Et là je ne suis pas un spécialiste du matériel. Ce que je te propose c'est de continuer la désinfection , en fait il faut un faire un diagnostic pour voir s'il y a d'autres infcetions.
Et pour ce pb d'écran voir dans le forum matériel si cela vient de l'écran ou la carte graphique ou alors d'une mauvaise connexion
Donc si tu veux continuer
Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026
Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
- Clique sur la loupe pour lancer l'analyse.
- Laisse l'outil travailler, il peut être assez long.
- Ferme ZHPDiag en fin d'analyse.
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
- Sélectionne le fichier ZHPDiag.txt.
- Clique sur "Cliquez ici pour déposer le fichier".
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page.
- Copie ce lien dans ta réponse.
Smart
