infectée par windows recover

Question

Bonjour, 

Bref, je suis infectée par ce "virus" et assez novice en la matière. Je suis en train d'exécuter Malwarebytes. Est-ce la chose à faire ? 
J'ai lu certains posts, mais j'avoue que je suis perdue.

Pouvez-vous m'aider à me dépatouiller ?

Configuration: Windows XP / Internet Explorer 8.0
Merci d'avance...

g3n-h@ckm@n · Answer

salut

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

damia · Answer

je viens de tenter, mais est-ce très long ? , j'ai l'impression que çà bloque...
J'ai redémarrer et j'ai une partie des fichiers qui revenus.... Avant de tenter version.pif
Peux-tu me donner une indication de durée....

Merci

g3n-h@ckm@n · Answer

il fallait laisser faire le programme tu etais prevenue que des fenetres noires allaient clignoter 

tu as le rapport sur le bureau dans les icones ?
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

damia · Answer

j'ai le rapport sur le bureau.... j'ai fait l'erreur après les fenêtres noires justement, rien ne sait passé pendant un long moment.... désolée, je crois d'ailleurs qu'internet explorer en a pris un coup.

voilà le lien :
http://www.cijoint.fr/cjlink.php?file=cj201107/cijKN261yd.txt

g3n-h@ckm@n · Answer

desinstalle adobe reader et zynga
desinstalle aussi spybot il est nul

=========================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras,  à l'interieur du texte qui s'ouvre , 
sans les lignes , en une seule fois en le mettant en surbrillance  :
___________________________________________________
Registry::
[-HKEY_CLASSES_ROOT\CLSID\{7b13ec3e-999a-4b70-b9cb-2617b8323822}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{7b13ec3e-999a-4b70-b9cb-2617b8323822}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{7b13ec3e-999a-4b70-b9cb-2617b8323822}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{7b13ec3e-999a-4b70-b9cb-2617b8323822}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{7b13ec3e-999a-4b70-b9cb-2617b8323822}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{7b13ec3e-999a-4b70-b9cb-2617b8323822}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{7b13ec3e-999a-4b70-b9cb-2617b8323822}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{7b13ec3e-999a-4b70-b9cb-2617b8323822}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{7b13ec3e-999a-4b70-b9cb-2617b8323822}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{7b13ec3e-999a-4b70-b9cb-2617b8323822}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{7b13ec3e-999a-4b70-b9cb-2617b8323822}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}]
[-HKEY_CURRENT_USER\Software\Conduit]  
[-HKEY_CURRENT_USER\Software\sponsoradulto]  
[-HKEY_CURRENT_USER\Software	oolbar] 
[-HKEY_CURRENT_USER\Software\Zynga] 
[-HKEY_LOCAL_MACHINE\Software\Conduit] 
[-HKEY_LOCAL_MACHINE\Software\Viewpoint]
[-HKEY_CLASSES_ROOT\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
[-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{72B3882F-453A-4633-AAC9-8C3DCED62AFF}"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
"{72B3882F-453A-4633-AAC9-8C3DCED62AFF}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{72B3882F-453A-4633-AAC9-8C3DCED62AFF}"=-
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{72B3882F-453A-4633-AAC9-8C3DCED62AFF}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{72B3882F-453A-4633-AAC9-8C3DCED62AFF}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{72B3882F-453A-4633-AAC9-8C3DCED62AFF}"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
"{72B3882F-453A-4633-AAC9-8C3DCED62AFF}"=-
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1900:UDP"=-
"2869:TCP"=-

folder::
C:\Documents and Settings\NOËL  Sophie.Ordifixe.000\Local Settings\Application Data\Conduit      
C:\Documents and Settings\NOËL  Sophie.Ordifixe.000\Local Settings\Application Data\Zynga    
C:\Program Files\Conduit    
C:\Program Files\Viewpoint    
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy    
C:\Program Files\Spybot - Search & Destroy    
C:\Program Files\Zynga    

attrib::                                    
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

 puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

damia · Answer

pour zynga çà plante, parce qu'internet explorer ne s'ouvre plus.... 

pour adode message d'erreur suivant : impossible d'accéder au service Windows  
Installer, cela peut se produire si window est en mode sans échec. 

Spybot n'est pas dans ma liste, d'ailleurs il me semblait l'avoir supprimé en son temps..... 

est-ce que je tente tout de même ta procédure ?
petite précision: je copie tel que et je colle ? je sais j'insiste, mais j'suis pas trop à l'aise... 

Merci de ta patience

g3n-h@ckm@n · Answer

ah oui on les desinstallera en mode normal

oui fais le script comme demandé

damia · Answer

Bon là,pré script tourne j espere que c est bon signe. Je commence à m inquiéter.
Est- ce que je laisse tourner toute la journée. Parce que je vais partir au boulot.

g3n-h@ckm@n · Answer

salut heu....logiquement ca dure 10 s

damia · Answer

je croise les doigts....


http://www.cijoint.fr/cjlink.php?file=cj201107/cijbwjaWBL.txt

g3n-h@ckm@n · Answer

impec

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

damia · Answer

cijoint.fr rame j'ai tenté cijoint.com,...


	http://cjoint.com/?3GfsokKEMBS

	http://cjoint.com/?3GfspyzRblO


Merci de ta patience.

g3n-h@ckm@n · Answer

desinstalle adobe reader 5 on mettra le dernier
desinstalle toutes tes versions de Java on mettra le dernier
desinstalle Loaris Trojan Remover 1.2    c'est un rogue
=============================================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll File not found
FF - HKCU\Software\MozillaPlugins\@adobe.com/Acrobat,version=5.1: C:\Program Files\Adobe\Acrobat 5.0\Reader\Browser
ppdf32.dll (Adobe Systems Inc.)    => Adobe Acrobat Reader 5.0  
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyServer" =      
[2008/03/09 23:23:03 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA}
[2008/08/03 22:58:46 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
[2008/12/08 19:46:46 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}
[2009/05/27 18:24:48 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}
O4 - HKLM\..\Run: [CmUsbAudio]  File not found
O4 - HKLM\..\Run: [KernelFaultCheck]  File not found
O7 - HKU\.DEFAULT\Software\Policies\Microsoft\Internet Explorer\Recovery present      
O7 - HKU\S-1-5-19\Software\Policies\Microsoft\Internet Explorer\Recovery present      
O7 - HKU\S-1-5-20\Software\Policies\Microsoft\Internet Explorer\Recovery present      
O7 - HKU\S-1-5-21-2058806733-2939155541-1756514142-1005\Software\Policies\Microsoft\Internet Explorer\Recovery present      
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} http://download.microsoft.com/download/e/7/3/e7345c16-80aa-4488-ae10-9ac6be844f99/OGAControl.cab (Reg Error: Key error.)
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11) 
O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)  
O16 - DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)  
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab (Java Plug-in 1.6.0_11)
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)  
O16 - DPF: Garmin Communicator Plug-In https://static.garmincdn.com/gcp/ie/2.9.3.0/GarminAxControl.CAB (Reg Error: Key error.)  
O18 - Protocol\Handler\ipp - No CLSID value found
O18 - Protocol\Handler\msdaipp - No CLSID value found
[2002/11/01 16:17:50 | 000,000,256 | ---- | C] () -- C:\WINDOWS\aucfg.ini 


:Reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]  
"1900:UDP"=-
"2869:TCP"=-
"5985:TCP"=-
"80:TCP"=- 

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

damia · Answer

adobe reader 5 + loaris c'est fait

mais pour mes java impossibles, pourtant je passe par ajouter supprimer un prog.

Je tente tout de même ta procédure ?

bon j'ai préparé ta procédure : réouvrir otl et coller tes indications.

merci

g3n-h@ckm@n · Answer

ok le rapport

damia · Answer

voili voilou 	http://cjoint.com/?3GftOongpr0

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

damia · Answer

Alors Docteur ? 

Bon j'ai encore l'une ou l'autre qui a icône disparu du bureau, et surtout lorsque je clique sur démarrer çà donne tous les programmes -> programmes et j'ai seulement les liens.... Est-ce que je peux simplement déplacer les raccourcis dans l'arborescence pour avoir un affichage "normal" et aussi accéder sans soucis aux applications (comme internet explorer qui se lance plus....) ?

Je te remercie de t'occuper de mon "cas".


Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Version de la base de données: 7028

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

05/07/2011 20:49:30
mbam-log-2011-07-05 (20-49-29).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|)
Elément(s) analysé(s): 262588
Temps écoulé: 42 minute(s), 7 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

g3n-h@ckm@n · Answer

salut donne un maximum de precisions , et de plus tes phrases sont deformées j'ai rien compris

damia · Answer

Salut,

je tente d'être plus claire : je clique démarrer, puis tous les programmes, là je retrouve une partie de mes anciens liens, mais certains sont "vides" ou l'application ne se lance plus. 

Et dans cette arborescence, j'ai un dossier "programme" qui n'existait pas avant qui reprend de manière plus complète mon ancienne arborescence, mais pareil certaines applications ne se lance plus (ex. word)

Ma barre de lancement rapide est vide, même si j'y ajoute des raccourcis (ex/ firefox), l'application ne se lance pas.
D'ailleurs, je suis oblige d'ouvrir firefox avec "exécuter"

Bon j'espère avoir été plus claire, je sais que j'utilise pas forcément les bons termes....

g3n-h@ckm@n · Answer

salut refais un passage avec pre_scan stp

g3n-h@ckm@n · Answer

hello

y'a un truc que je saisis pas ou j'ai raté un virage

ce scan date d'avant ou d'apres ta restauration ?

g3n-h@ckm@n · Answer

bon :

installe le service pack 3

https://www.clubic.com/telecharger-fiche242026-windows-xp-service-pack-3.html

damia · Answer

je lance l'installation du pack, celle-ci débute et tout de suite ce message apparaît.

g3n-h@ckm@n · Answer

essaie de passer par le service pack 2 alors

https://www.clubic.com/telecharger-fiche12824-windows-xp-service-pack-2-sp2.html

g3n-h@ckm@n · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : tu m'envoies l'archive comme ceci : clique sur ce lien : http://www.cijoint.fr/ ▶ Clique sur Parcourir et cherche le fichier ci-dessus. ▶ Clique sur Ouvrir. ▶ Clique sur "Cliquez ici pour déposer le fichier". Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt est ajouté dans la page. ▶ Copie ce lien dans ta réponse. ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

damia · Answer

hello,

bon ce fût long, mais c'est fait 

http://www.cijoint.fr/cjlink.php?file=cj201107/cij1ZNzvcA.zip 

A te lire

g3n-h@ckm@n · Answer

salut ok super :

Processus en mémoire: C:\WINDOWS\Explorer.EXE:692;;BackDoor.Tdss.565;Eradiqué.;

ton service pack devrait s'installer maintenant

damia · Answer

et non malheuresement pas :( ni le pack 2, ni le 3.

g3n-h@ckm@n · Answer

c'est un cd d'origine le windows ?

damia · Answer

oui c'est celui qui était avec l'ordi, lors de l'achat, j'ai bien tout conservé.

je fais réguliément mes mises à jour et la pack 3 était installé. (MAJ automatique).

g3n-h@ckm@n · Answer

telecharge ici :  

 MBR_Repair   

enregistre-le sur ton bureau ,  

lance-le , choisis l'option "Verify"  

MBR_Verify.txt se mettra sur ton bureau poste ici son contenu

damia · Answer

et hop

¤¤¤¤¤¤¤¤¤ MBR_Repair | Verify | 1.0.0.5¤¤¤¤¤¤¤¤¤¤

Mis à jour le 04/05/2011 | 15.00 par g3n-h@ckm@n

Utilisateur : Sophie NOEL (Administrateurs)
Ordinateur : ANCIENORDI

Système d'exploitation : Microsoft Windows XP (32 bits)

Scan : 16:45:18 | 08/07/2011

Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 1 (build 2600)
Logical Drives Mask:		0x000000fc

Analysis of file "MBR.bin":
Windows XP MBR code detected


Done!

g3n-h@ckm@n · Answer

&#9654 Télécharge ZHPDiag (de Nicolas Coolman) 

ou :ZHPDiag

&#9654 Enregistre le sur ton Bureau.

Une fois le téléchargement achevé, 

&#9654 lance ZHPDiag.exe et clique sur Unzip dans la fenêtre qui s'ouvre.

&#9654 Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

&#9654 Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, 

&#9654 clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Pour me le transmettre clique sur ce lien :

http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\.ZHPDiag.txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

damia · Answer

http://www.cijoint.fr/cjlink.php?file=cj201107/cijHicWaEr.txt

et un rapport tout chaud !
merci

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

damia · Answer

http://www.cijoint.fr/cjlink.php?file=cj201107/cijs5Bw5Vr.txt 

bon la console de récupération n'a pas voulu s'intaller, mais le reste s'est passé normalement.

A te lire.

g3n-h@ckm@n · Answer

aAAhhh !! il manque le plus important du rapport il est pas complet

g3n-h@ckm@n · Answer

attends on va deja faire avec ca :) __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: SRPeek:: C:\WINDOWS\System32\wscntfy.exe C:\WINDOWS\System32\xmlprov.dll NetSvc:: Ip6FwHlp ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

damia · Answer

voilà

http://www.cijoint.fr/cjlink.php?file=cj201107/cij1ZtUnCY.txt 

Si tu es déjà parti : bonne nuit

g3n-h@ckm@n · Answer

salut on ne peut pas reparer dans ces conditions...la console de recupération Microsoft ne s'installe pas ou c'est toi qui en empeches le telechargement ?

damia · Answer

ah, cela montre mon ignorance en informatique.... merci de m'avoir aidé.
Je suppose qu'il n'y a plus rien d'autre à faire ?

Bonne soirée.

damia

damia · Answer

Bonjour,

Comme j'avais un nouveau message d'erreur, je me suis dit que perdue pour perdue, autant tout réinstaller à  nouveau à partir du cd...

bon là çà démarre, plus de messages d'erreur ".dll manquante"

mais par contre j'ai attrapé "goméo" après une recherche google,je suis redirigée à droite, gauche (restons zen)....

j'ai suivi à la lettre les opérations de CCM sur le sujet, voici les rapports... :

AD-R : http://www.cijoint.fr/cjlink.php?file=cj201107/cijSiGrbuH.txt

MalwareBytes : http://www.cijoint.fr/cjlink.php?file=cj201107/cijr0PXU5E.txt

J'ai fait aussi combofix et j'ai meme réussi à intaller la console de récupération manuellement... en tout cas le 2e rapport n'en parle plus, je mets les 2...

http://www.cijoint.fr/cjlink.php?file=cj201107/cijoTPZINf.txt
http://www.cijoint.fr/cjlink.php?file=cj201107/cijqtN3ZB8.txt

Si tu avais encore la gentillesse de m'aider, je t'en serai reconnaissante !

Merci d'avance 
damia

g3n-h@ckm@n · Answer

desolé je m'étais absenté ^^

pou rad-remover il faut faire nettoyer

=============================

Mbam vu , je m'y attendais à ce resultat

=============================

essaie par la suite de voir si ton service pack s'installe

il te manque aussi deux fichier à remettre dans ton system32

damia · Answer

pas de soucis, c'est le week-end pour tout le monde ! surtout que c'est super sympa de nous aider comme çà !!! 

bon voilà déjà le rapport : http://www.cijoint.fr/cjlink.php?file=cj201107/cijWlNNbGU.txt 

Je vais essayer pour l'installation du pack, çà va prendre du temps, comme je suis partie avec l'ordi sous le bras en week-end pour rappatrier mes sauvegardes, c'est pas le haut débit ici,... et comme je veux pas infecter l'ordi de mes hôtes... c'est pas de contact entre eux !!!

par contre pour les fichiers manquants, comment je procède ? merci

g3n-h@ckm@n · Answer

telecharge ceci :

http://www.general-changelog-team.fr/outils/164-rst-associations

cliques sur tous , puis executer

g3n-h@ckm@n · Answer

reessaie le service pack

g3n-h@ckm@n · Answer

ok regarde dans ton cd de windows tu dois les trouver les deux fichiers manquants

wscntfy.exe 
xmlprov.dll

g3n-h@ckm@n · Answer

le service pack c'est bien un fichier .exe que tu essaies d'executer ?

g3n-h@ckm@n · Answer

tu peux le copier sur ton bureau ce fichier ?

c:\windows\system32
toskrnl.exe

damia · Answer

copie faite.

g3n-h@ckm@n · Answer

ok analyse-le ici :

https://www.virustotal.com/gui/

parcourir => jusqu'à selectionner ton fichier sur le bureau

clic sur send file , laisse faire l'analyse et quand le resultat des 40 ou 41 ou 42 antivirus est affiché tu me donnes le lien qui se trouvera dans ta barre d'adresse pour que je consulte la page à mon tour

g3n-h@ckm@n · Answer

refais un scan OTL stp

g3n-h@ckm@n · Answer

repasse combofix

g3n-h@ckm@n · Answer

y'a un truc que j'arrive pas à saisir , c'est pourquoi IPv6 est controllé par svchost.exe.....

damia · Answer

Bonsoir,

Quelques nouvelles : comme mon ordi. était reparti pour un tour de "je tourne en boucle et je veux plus démarrer...", j'ai refais une nouvelle réinstallation (je bénis mon cd de récup livré avec l'ordi...) et là au miracle, avec l'option config. d'origine les mises à jour ce sont faites, SP2 et 3 se sont installés et ainsi de suite. 

Par contre j'aurai encore besoin d'aide pour vérifier que tout est en ordre et si possible désinfecter mes clés.

Si tu avais la gentillesse de me filer un dernier "coup de souris", ce serait vraiment super...

Bonne soirée, Damia

g3n-h@ckm@n · Answer

salut

tes clés usb ou de registre ?

g3n-h@ckm@n · Answer

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

g3n-h@ckm@n · Answer

bah t'avais pas assez de place pour les mettre toutes en meme temps ?

g3n-h@ckm@n · Answer

bah c'est bon :)

et en plus elles sont vaccinées maintenant ^^

g3n-h@ckm@n · Answer

ok c'est bon :)

au plaisir :)

Infectée par windows recover

61 réponses

Votre réponse

Newsletters