PC infecté par MS REMOVAL TOOL
ptitevaness2608
-
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
depuis hier matin mon PC est infecté par ms removal tool, écran de l'ordi bleu, je ne peux accéder à aucuns fichiers, je ne peux rien faire, mise à part aller sur le net avec internet explorer, avec firefox impossible, ça rame au bout de 2 min,
j'ai lu les différentes solutions, installer roguekiller, je l'ai téléchargé d'un autre pc mais il ne veut pas s'ouvrir, ainsi que spybot, ou bien anti-malware.
je ne peux meme pas mettre l'ordi en mode sans échec,
alors si quelqu'un a une idée, merci d'avance!!!
depuis hier matin mon PC est infecté par ms removal tool, écran de l'ordi bleu, je ne peux accéder à aucuns fichiers, je ne peux rien faire, mise à part aller sur le net avec internet explorer, avec firefox impossible, ça rame au bout de 2 min,
j'ai lu les différentes solutions, installer roguekiller, je l'ai téléchargé d'un autre pc mais il ne veut pas s'ouvrir, ainsi que spybot, ou bien anti-malware.
je ne peux meme pas mettre l'ordi en mode sans échec,
alors si quelqu'un a une idée, merci d'avance!!!
A voir également:
- PC infecté par MS REMOVAL TOOL
- Hp usb disk storage format tool - Télécharger - Stockage
- Reinitialiser pc - Guide
- Pc lent - Guide
- Office removal tool - Télécharger - Nettoyage
- Test performance pc - Guide
4 réponses
Salut,
Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement.
Bien poster les rapports comme demandés afin de pouvoir les analyser.
ETAPE 1:
Télécharge ça : https://www.luanagames.com/index.fr.html
Tu le renommes en winlogon ou iexplore s'il est bloqué.
Lances en option 2 (nettoyage).
Poste le rapport ici.
ETAPE 2:
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
ETAPE 3:
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement.
Bien poster les rapports comme demandés afin de pouvoir les analyser.
ETAPE 1:
Télécharge ça : https://www.luanagames.com/index.fr.html
Tu le renommes en winlogon ou iexplore s'il est bloqué.
Lances en option 2 (nettoyage).
Poste le rapport ici.
ETAPE 2:
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
ETAPE 3:
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
RogueKiller V5.1.9 [29/05/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: user [Droits d'admin]
Mode: Suppression -- Date : 31/05/2011 12:35:06
Processus malicieux: 2
[SVCHOST] svchost.exe -- c:\documents and settings\user\application data\svchost.exe -> KILLED
[SUSP PATH] hI28220JlFnA28220.exe -- c:\documents and settings\all users\application data\hi28220jlfna28220\hi28220jlfna28220.exe -> KILLED
Entrees de registre: 5
[SUSP PATH] HKCU\[...]\Run : Windows Defender (C:\Documents and Settings\user\Application Data\svchost.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Run : {BBC6FF7B-4F3F-72EA-1304-8320729F095A} ("C:\Documents and Settings\user\Application Data\Rugu\bousw.exe") -> DELETED
[SUSP PATH] HKLM\[...]\Run : Windows Defender (C:\Documents and Settings\user\Application Data\svchost.exe) -> DELETED
[SUSP PATH] HKCU\[...]\RunOnce : hI28220JlFnA28220 (C:\Documents and Settings\All Users\Application Data\hI28220JlFnA28220\hI28220JlFnA28220.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: user [Droits d'admin]
Mode: Suppression -- Date : 31/05/2011 12:35:06
Processus malicieux: 2
[SVCHOST] svchost.exe -- c:\documents and settings\user\application data\svchost.exe -> KILLED
[SUSP PATH] hI28220JlFnA28220.exe -- c:\documents and settings\all users\application data\hi28220jlfna28220\hi28220jlfna28220.exe -> KILLED
Entrees de registre: 5
[SUSP PATH] HKCU\[...]\Run : Windows Defender (C:\Documents and Settings\user\Application Data\svchost.exe) -> DELETED
[SUSP PATH] HKCU\[...]\Run : {BBC6FF7B-4F3F-72EA-1304-8320729F095A} ("C:\Documents and Settings\user\Application Data\Rugu\bousw.exe") -> DELETED
[SUSP PATH] HKLM\[...]\Run : Windows Defender (C:\Documents and Settings\user\Application Data\svchost.exe) -> DELETED
[SUSP PATH] HKCU\[...]\RunOnce : hI28220JlFnA28220 (C:\Documents and Settings\All Users\Application Data\hI28220JlFnA28220\hI28220JlFnA28220.exe) -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
Fichier HOSTS:
127.0.0.1 localhost
Termine : << RKreport[1].txt >>
RKreport[1].txt
Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org
Version de la base de données: 6730
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
31/05/2011 12:47:27
mbam-log-2011-05-31 (12-47-23).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 150153
Temps écoulé: 5 minute(s), 31 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 32
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{DAAF886E-EDEE-EE6D-2E89-AD488CAA9E6E} (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{DAAF886E-EDEE-EE6D-2E89-AD488CAA9E6E} (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{DAAF886E-EDEE-EE6D-2E89-AD488CAA9E6E} (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Windows Defender (Trojan.Dropper) -> Value: Windows Defender -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{BBC6FF7B-4F3F-72EA-1304-8320729F095A} (Trojan.Agent) -> Value: {BBC6FF7B-4F3F-72EA-1304-8320729F095A} -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\documents and settings\user\application data\svchost.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\user\application data\Rugu\bousw.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\10879.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\12850.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\33273.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\3666.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\38723.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\50355.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\50689.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\53525.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\54056.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\56045.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\56616.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\59848.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\59959.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\60310.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\62548.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\66744.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\67892.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\69307.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\72469.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\72792.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\76970.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\95256.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\97166.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\999.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\répertoire temporaire 1 pour facture_fa785888hg45a.pdf.zip\facture_f785888hg45.pdf.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\user\local settings\Temp\facture_fa785888hg45a.pdf\facture_f785888hg45.pdf.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\user\application data\data.dat (Stolen.Data) -> No action taken.
c:\documents and settings\user\local settings\Temp\pws_cdk.bss (Stolen.Data) -> No action taken.
c:\documents and settings\user\local settings\Temp\pws_mail.bss (Stolen.Data) -> No action taken.
c:\documents and settings\user\local settings\Temp\pws_mess.bss (Stolen.Data) -> No action taken.
www.malwarebytes.org
Version de la base de données: 6730
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
31/05/2011 12:47:27
mbam-log-2011-05-31 (12-47-23).txt
Type d'examen: Examen rapide
Elément(s) analysé(s): 150153
Temps écoulé: 5 minute(s), 31 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 4
Valeur(s) du Registre infectée(s): 2
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 32
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CLASSES_ROOT\CLSID\{DAAF886E-EDEE-EE6D-2E89-AD488CAA9E6E} (Trojan.Dropper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{DAAF886E-EDEE-EE6D-2E89-AD488CAA9E6E} (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Active Setup\Installed Components\{DAAF886E-EDEE-EE6D-2E89-AD488CAA9E6E} (Trojan.Dropper) -> No action taken.
HKEY_CURRENT_USER\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> No action taken.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\Windows Defender (Trojan.Dropper) -> Value: Windows Defender -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{BBC6FF7B-4F3F-72EA-1304-8320729F095A} (Trojan.Agent) -> Value: {BBC6FF7B-4F3F-72EA-1304-8320729F095A} -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\documents and settings\user\application data\svchost.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\user\application data\Rugu\bousw.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\10879.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\12850.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\33273.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\3666.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\38723.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\50355.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\50689.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\53525.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\54056.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\56045.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\56616.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\59848.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\59959.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\60310.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\62548.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\66744.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\67892.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\69307.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\72469.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\72792.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\76970.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\95256.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\97166.exe (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\999.EXE (Trojan.Agent) -> No action taken.
c:\documents and settings\user\local settings\Temp\répertoire temporaire 1 pour facture_fa785888hg45a.pdf.zip\facture_f785888hg45.pdf.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\user\local settings\Temp\facture_fa785888hg45a.pdf\facture_f785888hg45.pdf.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\user\application data\data.dat (Stolen.Data) -> No action taken.
c:\documents and settings\user\local settings\Temp\pws_cdk.bss (Stolen.Data) -> No action taken.
c:\documents and settings\user\local settings\Temp\pws_mail.bss (Stolen.Data) -> No action taken.
c:\documents and settings\user\local settings\Temp\pws_mess.bss (Stolen.Data) -> No action taken.
Tu n'as pas mis en quarantaine les détections de Malwarebyte.
Donc rien n'a été supprimé.
Retourne sur Malwarebyte puis log/rapports et tu fais supprimer selection sur ce qui est détecté.
Quand il a supprimé tout ce qui est détecté.
Refais un scan OTL et donne le lien pjjoint.
Donc rien n'a été supprimé.
Retourne sur Malwarebyte puis log/rapports et tu fais supprimer selection sur ce qui est détecté.
Quand il a supprimé tout ce qui est détecté.
Refais un scan OTL et donne le lien pjjoint.
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.
~~
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:OTL
[2011/06/30 08:42:29 | 000,393,728 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\hI28220JlFnA28220\hI28220JlFnA28220.exe
* redemarre le pc sous windows et poste le rapport ici
Poste le rapport ici.
~~
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:OTL
[2011/06/30 08:42:29 | 000,393,728 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\hI28220JlFnA28220\hI28220JlFnA28220.exe
* redemarre le pc sous windows et poste le rapport ici
