infecté par windows xp recovery Fermé

Question

Bonjour, mon pc a chopé le windows xp recovery. j'ai fait un rogue Killer option 1 voici le rapport pouvez vous m'aider SVP? RogueKiller V5.1.9 [29/05/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode sans echec Utilisateur: Christian [Droits d'admin] Mode: Recherche -- Date : 31/05/2011 19:46:44 Processus malicieux: 0 Entrees de registre: 8 [SUSP PATH] HKCU\[...]\Run : ggePSKfpxtP (C:\Documents and Settings\All Users\Application Data\ggePSKfpxtP.exe) -> FOUND [SUSP PATH] HKUS\S-1-5-21-790525478-1715567821-725345543-1004[...]\Run : ggePSKfpxtP (C:\Documents and Settings\All Users\Application Data\ggePSKfpxtP.exe) -> FOUND [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND [HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND [WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[1].txt >> RKreport[1].txt merci Configuration: Windows XP / Firefox 3.6.4

gen-hackman · Answer

salut option 2 , poste le rapport
option 6 poste le rapport

cascado · Answer

bonjour et merci 1) voila le rapport suite à l'option 2 : RogueKiller V5.1.9 [29/05/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: Christian [Droits d'admin] Mode: Suppression -- Date : 31/05/2011 21:06:46 Processus malicieux: 0 Entrees de registre: 7 [SUSP PATH] HKCU\[...]\Run : ggePSKfpxtP (C:\Documents and Settings\All Users\Application Data\ggePSKfpxtP.exe) -> DELETED [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED [HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> DELETED [HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> REPLACED (0) [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\WINDOWS\web\wallpaper\Colline verdoyante.bmp) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) Fichier HOSTS: 127.0.0.1 localhost Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt 2) et le rapport suite a l'option 6 : RogueKiller V5.1.9 [29/05/2011] par Tigzy contact sur https://www.luanagames.com/index.fr.html mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: Christian [Droits d'admin] Mode: Raccourcis RAZ -- Date : 31/05/2011 21:22:03 Processus malicieux: 0 Attributs de fichiers restaures: Bureau: Success 313 / Fail 0 Lancement rapide: Success 7 / Fail 0 Programmes: Success 48038 / Fail 0 Menu demarrer: Success 216 / Fail 0 Dossier utilisateur: Success 19409 / Fail 0 Mes documents: Success 25439 / Fail 0 Mes favoris: Success 10 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 24169 / Fail 0 Sauvegarde: [FOUND] Success 154 / Fail 0 Termine : << RKreport[4].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

gen-hackman · Answer

bien

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut que l'outil soit un peu long sur la reattribution des fichiers tout depend combien tu en as , laisse-le travailler 

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

cascado · Answer

re

j'ai deja recupéré mon bureau et mes documents ( en mode sans echec).

http://www.cijoint.fr/cjlink.php?file=cj201105/cijFDMRXvw.txt

gen-hackman · Answer

repasse-le en mode normal stp 

toutes protections desactivées

pour tes dossiers , c'est roguekiller qui te les a rendus

cascado · Answer

voila

http://www.cijoint.fr/cjlink.php?file=cj201105/cij3kmmJLA.txt

gen-hackman · Answer

pourquoi est-il dans E:\ ?

cascado · Answer

au début j'avais pas accès au bureau. 

cette fois ci j'ai bien copié le fichier sur le bureau et refait la procedure  :

http://www.cijoint.fr/cjlink.php?file=cj201106/cijHuAbEeC.txt

gen-hackman · Answer

selectionne ce texte sans les lignes :
___________________________________________________
file::
C:\Documents and Settings\Christian\Local Settings\Application Data\BIT3.tmp
C:\Documents and Settings\Christian\Local Settings\Application Data\BIT4.tmp
       
folder::
C:\Documents and Settings\Christian\Application Data\CrazyLoader  
 C:\Documents and Settings\Christian\Application Data\OfferBox  
C:\Documents and Settings\Christian\Application Data\pdfforge
C:\Documents and Settings\Christian\Application Data\Search Settings   
C:\Documents and Settings\Christian\Local Settings\Application Data\BIT3.tmp
C:\Documents and Settings\Christian\Local Settings\Application Data\BIT4.tmp
C:\Documents and Settings\Christian\Local Settings\Application Data\crazyloader Air                                            
___________________________________________________

copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau

colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail

cascado · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

Utilisateur : Christian (Administrateurs)
Ordinateur : CRIS

Système d'exploitation : Microsoft Windows XP (32 bits)
Internet Explorer : 8.0.6001.18702
Mozilla Firefox : 4.0.1 (fr)

Script : 12:05:33

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Supprimé : C:\Documents and Settings\Christian\Local Settings\Application Data\BIT3.tmp
Supprimé : C:\Documents and Settings\Christian\Local Settings\Application Data\BIT4.tmp

¤

Supprimé : C:\Documents and Settings\Christian\Application Data\CrazyLoader
Supprimé : C:\Documents and Settings\Christian\Application Data\OfferBox
Supprimé : C:\Documents and Settings\Christian\Application Data\pdfforge
Supprimé : C:\Documents and Settings\Christian\Application Data\Search Settings
Dossier : C:\Documents and Settings\Christian\Local Settings\Application Data\BIT3.tmp introuvable
Dossier : C:\Documents and Settings\Christian\Local Settings\Application Data\BIT4.tmp introuvable
Supprimé : C:\Documents and Settings\Christian\Local Settings\Application Data\crazyloader Air 

¤

Fin : 12:05:52

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

gen-hackman · Answer

salut c'est bon mais c'est pas fini

verifie que tu aies bien tout dans ton menu demarrer ainsi que dans tes documents

cela avait-il affecté tes clés usb ou disque dur externe ?

cascado · Answer

je crois qu'il ne manque rien et pas d'infection USB ou DD

gen-hackman · Answer

non je parlais de dossiers qui auraient eventuellement disparu :)

cascado · Answer

non je pense qu'il ne manque rien

gen-hackman · Answer

&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

Infecté par windows xp recovery

15 réponses