SVP aide pour infection windows XP FIX

Question

Bonjour,

Je veux dépanner un pc qui est infecté par windows XP FIX.
Comme indiqué dans un autre sujet, j'ai téléchargé puis éxécuté Rogue killer.
Voici le rapport. J'aimerais si c'est possible apprendre à lire et à interpréter les rapports (hijack ZHP diag etc...) j'ai déjà dépanné mon pc avec l'aide d'internautes de ce forum et si je pouvais devenir autonome voire aider à l'avenir ça serait cool... donc si c'est possible d'expliquer la méthode merci.

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version

Demarrage : Mode normal

Utilisateur: xxxxxxxx [Droits d'admin]

Mode: Recherche -- Date : 13/07/2011 17:26:08

Processus malicieux: 3

[SUSP PATH] czpmc.exe -- c:\documents and settings\xxxxxxxx\local settings\application data\czpmc.exe -> KILLED

[SUSP PATH] WypEHgfIKaPhdv.exe -- c:\documents and settings\all users\application data\wypehgfikaphdv.exe -> KILLED

[ROGUE ST] 18800420.exe -- c:\documents and settings\all users\application data\18800420.exe -> KILLED

Entrees de registre: 12

[SUSP PATH] HKCU\[...]\Run : czpmc ("c:\documents and settings\xxxxxxxx\local settings\application data\czpmc.exe" czpmc) -> FOUND

[SUSP PATH] HKCU\[...]\Run : WypEHgfIKaPhdv (C:\Documents and Settings\All Users\Application Data\WypEHgfIKaPhdv.exe) -> FOUND

[SUSP PATH] HKUS\S-1-5-21-3197956685-2806788064-4108669220-1005[...]\Run : czpmc ("c:\documents and settings\xxxxxxxxx\local settings\application data\czpmc.exe" czpmc) -> FOUND

[SUSP PATH] HKUS\S-1-5-21-3197956685-2806788064-4108669220-1005[...]\Run : WypEHgfIKaPhdv (C:\Documents and Settings\All Users\Application Data\WypEHgfIKaPhdv.exe) -> FOUND

[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> FOUND
[HJPOL] HKCU\[...]\Explorer : NoDesktop (1) -> FOUND
[HJ] HKCU\[...]\ActiveDesktop : NoChangingWallPaper (1) -> FOUND
[HJ] HKLM\[...]\Security Center : AntiVirusDisableNotify (1) -> FOUND
[HJ] HKLM\[...]\Security Center : FirewallDisableNotify (1) -> FOUND
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Fichier HOSTS:

127.0.0.1 localhost
127.0.0.1 3dns.adobe.com
127.0.0.1 3dns-1.adobe.com
127.0.0.1 3dns-2.adobe.com
127.0.0.1 3dns-3.adobe.com
127.0.0.1 3dns-4.adobe.com
127.0.0.1 activate.adobe.com
127.0.0.1 activate-sea.adobe.com
127.0.0.1 activate-sjc0.adobe.com
127.0.0.1 activate.wip.adobe.com
127.0.0.1 activate.wip1.adobe.com
127.0.0.1 activate.wip2.adobe.com
127.0.0.1 activate.wip3.adobe.com
127.0.0.1 activate.wip4.adobe.com
127.0.0.1 adobe-dns.adobe.com
127.0.0.1 adobe-dns-1.adobe.com
127.0.0.1 adobe-dns-2.adobe.com
127.0.0.1 adobe-dns-3.adobe.com
127.0.0.1 adobe-dns-4.adobe.com
127.0.0.1 crl.verisign.net

[...]

Termine : << RKreport[1].txt >>

RKreport[1].txt

g3n-h@ckm@n · Answer

salut option 2 poste le rapport puis options Host et poste le rapport 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

freakyflo · Answer

Salut, merci de prendre en charge, as tu moyen de m'expliquer comment tu procèdes pour que j'aprenne ? J'ai aussi fais des scans avira et malwaresbytes qui étaient positifs. J'ai récupéré le bureau mais pas encore à l'état initial. 

Voila le rapport option 2 : http://cjoint.com/?3GomPtpQgpv
Voici le rapport option 3 : http://cjoint.com/?3GomQfQqBBg
scan avira : http://cjoint.com/?3GomTZ1uwvT 
scan malwarebytes : http://cjoint.com/?3GomWL5LOCM 

merci encore

g3n-h@ckm@n · Answer

salut c'est toi qui change les noms de session ?

freakyflo · Answer

salut oui pour protéger l'identité de la personne dont je répare le pc.

g3n-h@ckm@n · Answer

ok 

des precisions la dessus ?

J'ai récupéré le bureau mais pas encore à l'état initial.

freakyflo · Answer

En fait, contrairement au début de l'infection (ou l'écran était noir sans icônes), j'ai récupéré :  
le fond d'écran, le raccourci poste de travail, le raccourci corbeille, RK, les rapports RK, quarantaine RK, Mbam, Mbam setup, un rapport mbam, un rapport avscan.  
Je ne sais pas si ça peut t'aider mais avec un clic droit sur n'importe lequel de ces icônes, l'instalation de adobe acrobat X commence ce qui quand même très curieux... 

Encore une fois si c'est possible de m'expliquer comment tu procede, je suis preneur.

g3n-h@ckm@n · Answer

comment je procède pour quoi ?

que veux-tu dire ?

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

freakyflo · Answer

ce que je veux dire par là c'est comment interpréter un rapport RK, hijack, zhpdiag etc... pour pouvoir progresser et qui sait me débrouiller à un moment...
je vais faire ce que tu m'indique

freakyflo · Answer

Salut, pardon pour la période sans activité. J'ai réussi à trouv é le temps hier de lancer le scan.
Le voici : http://www.cijoint.fr/cjlink.php?file=cj201107/cijR0mFCui.txt 

Quel conseils a propos des sites traitant de formation en désinfection ? J'ai vu un tuto pour hijack this mais il y a surement des bases à connaître avant ?

Merci pour ton aide

g3n-h@ckm@n · Answer

c'est toi qui mets des "x" à la place des noms de session ?

freakyflo · Answer

Salut,

Oui tu me l'as déjà demandé, c'est pour protéger l'identité de la personne à qui appartient ce pc.

g3n-h@ckm@n · Answer

ok bon je dois te faire un script de suppression donc , tu remettras le bon nom sinon ca marchera pas ^^

=================================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras,  à l'interieur du texte qui s'ouvre , 
sans les lignes , en une seule fois en le mettant en surbrillance  :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"nwiz"=-
"HP Software Update"=-
"Cpqset"=-
"Adobe Reader Speed Launcher"=-
"QuickTime Task"=-
""=-
[-HKEY_CURRENT_USER\Software\65]      
[-HKEY_CURRENT_USER\Software\Live-Player] 
[-HKEY_CURRENT_USER\Software\Official-eMule] 
[-HKEY_LOCAL_MACHINE\Software\13fe]      
[-HKEY_LOCAL_MACHINE\Software\Live-Player]
[-HKEY_LOCAL_MACHINE\Software\Official-eMule]      
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] 
"C:\WINDOWS\system32\mqsvc.exe"=-
"C:\Program Files\Messenger\msmsgs.exe"=-
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]  
"C:\WINDOWS\system32\mqsvc.exe"=-
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] 
"2869:TCP"=-
"1900:UDP"=-

file::
C:\Documents and Settings\xxxxxxxxxxxxxxxx\Local Settings\Application Data\czpmc.dat      

folder::
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Live-Player    
C:\Documents and Settings\xxxxxxxxxxxxxxxx\Application Data\live-player    
C:\Documents and Settings\All Users\Application Data\regid.1986-12.com.adobe  
C:\Documents and Settings\xxxxxxxxxxxxxxxx\Local Settings\Application Data\Installer3824 
C:\Documents and Settings\xxxxxxxxxxxxxxxx\Local Settings\Application Data\Installer5408 
C:\Program Files\Live-Player    

attrib::                                    
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

 puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

freakyflo · Answer

Que veux tu dire quand tu dis :
à l'interieur du texte qui s'ouvre ,  
sans les lignes , en une seule fois  
Est ce que je dois redésactiver mon pare feu  et avira pour cette opération ?
Sinon juste une précision si cela peut t'être utile :  j'ai mis l'option ""afficher les fichiers cachés" et depuis je vois en translucide sur le bureau :   
- un raccourci "windows xp fix"  
- un fichier nommé " cc_20110511_094137 "  
- un raccourci poste de travail  

voilà pour que tu aies toutes les infos.

g3n-h@ckm@n · Answer

ok supprime le raccourci windows xp fix

Que veux tu dire quand tu dis :
à l'interieur du texte qui s'ouvre ,
sans les lignes , en une seule fois 

tu prends tout le texte en gras

freakyflo · Answer

Salut,

Voila le rapport de l'exécution du script dans préscript :
http://www.cijoint.fr/cjlink.php?file=cj201107/cijfTEfszr.txt

Sinon le bureau n'a pas changé par rapport à avant.

L'analyse planifiée d'avira à donné 4 résultats (cheval de troies):
A0098524.exe
A0104450.exe
A0104451.exe
A0104452.exe
    
Que penses tu de la formation de Helper sur security-domain.be ?

g3n-h@ckm@n · Answer

salut les 4 executables sont dans la restauration systeme on la purgera à la fin

=====================================


&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

freakyflo · Answer

Salut, voilà le rapport AD-R :
http://www.cijoint.fr/cjlink.php?file=cj201107/cijcTupQPv.txt

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

freakyflo · Answer

ok je vais faire tout ça, merci pour ton aide et le temps passé !

g3n-h@ckm@n · Answer

à te lire :)

g3n-h@ckm@n · Answer

desinstalle adobe reader  

============== 

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...."  

sur OTL.exe pour le lancer. 


&#9654Copie la liste qui se trouve en gras ci-dessous, 

&#9654 colle-la dans la zone sous "Personnalisation" : 


:processes 
explorer.exe 
iexplore.exe 
firefox.exe 
msnmsgr.exe 
Teatimer.exe 

:OTL 
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}:6.0.13   
[2007/05/02 13:26:27 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA}  
[2009/05/26 19:31:05 | 000,000,000 | ---D | M] (Java Console) -- C:\Program Files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}    
O4 - HKLM\..\Run: []  File not found 
O4 - HKLM\..\Run: [Acrobat Assistant 8.0]  File not found 
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher]  File not found 
O4 - Startup: C:\Documents and Settings\xxxxxxxxxxxxx\Menu Démarrer\Programmes\Démarrage\Adobe Gamma.lnk =  File not found 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)   
O16 - DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab (Java Plug-in 1.6.0_01)  
O16 - DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)   
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab (Java Plug-in 1.6.0_13)  
O18 - Protocol\Handler\ipp - No CLSID value found 
O18 - Protocol\Handler\msdaipp - No CLSID value found 
O33 - MountPoints2\{de74d27e-e8ca-11dd-b89a-001636b3aeb1}\Shell\AutoRun\command - "" = nideiect.com    => Infection Diverse   
O33 - MountPoints2\{de74d27e-e8ca-11dd-b89a-001636b3aeb1}\Shell\explore\Command - "" = nideiect.com    => Infection Diverse   
O33 - MountPoints2\{de74d27e-e8ca-11dd-b89a-001636b3aeb1}\Shell\open\Command - "" = nideiect.com    => Infection Diverse   

:Reg 
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run] 
"nwiz"=- 
"QuickTime Task"=- 

:Files 
G:\ACROBAT\BROWSER       
C:\Documents and Settings\xxxxxxxxxxxxx\Bureau\malwarebytes-anti-malware_malwarebytes_anti-malware_1.51.0.1200_francais_215092.exe       
C:\Documents and Settings\xxxxxxxxxxxxx\Menu Démarrer\Programmes\Windows XP Fix       
C:\WINDOWS\jestertb.dll     

:commands 
[CLEARALLRESTOREPOINTS] 
[emptytemp] 
[start explorer] 
[reboot] 


&#9654 Clique sur "Correction" pour lancer la suppression. 


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage. 


¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

freakyflo · Answer

voilà les rapports :

otl : http://www.cijoint.fr/cjlink.php?file=cj201107/cijHRooVwK.txt
extras : http://www.cijoint.fr/cjlink.php?file=cj201107/cijUCnOeYt.txt

merci encore

freakyflo · Answer

euh je lis à la fin de ton script : "[CLEARALLRESTOREPOINTS]"  
je suppose que cela va effacer les points de restaurations du pc ? est ce que c'est obligatoire pour l'opération ?

g3n-h@ckm@n · Answer

le rapport n'est pas complet

freakyflo · Answer

Salut,

J'ai posté le rapoort qui à été crée au redémarrage...
tu veux que je recommence la correction avec le script ?

freakydot · Answer

Salut,
pourrais tu me dire la marche à suivre s'il te plait ?

g3n-h@ckm@n · Answer

hello tu es sur que le rapport finissait comme ca ?

freakyflo · Answer

Salut,
j'ai vérifié, et il fini bien comme ça. Est-ce que ça pourrais être a cause du fait que je remplace les xxxxxxxx par le nom de la personne ? Ce qui aurait modifié le script ? Je peux recommencer si tu veux.

g3n-h@ckm@n · Answer

&#9654 Télécharge ici : USBFIX sur ton bureau 

branche tous tes periphériques sans les ouvrir

/!\ Désactive provisoirement et seulement le temps de l'utilisation d'USBFIX, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur l'icône Usbfix située sur ton Bureau.
Sur la page, clique sur le bouton :

&#9654 choisi l option Suppression

&#9654 UsbFix scannera ton pc , laisse travailler l outil.

&#9654 Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

&#9654 Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

freakyflo · Answer

Hey  :)
apparemment positif !
voici le rapport : http://www.cijoint.fr/cjlink.php?file=cj201107/cijtdWjRXW.txt 

je pense que je ferai le scan sur mes lecteurs aussi ça ne fera pas de mal !!

g3n-h@ckm@n · Answer

Firewall: Norton Internet Worm Protection 2006

c'est quoi ca ?

freakyflo · Answer

euh bonne question ! sur les forum il y a un sujet similaire : http://www.commentcamarche.net/forum/affich-2304404-norton-internet-worm-protection

il y a bien un dossier c:\programmes files\synmatec mais rien à l'intérieur... 
rien dans le firewall windows... 

autre chose que je viens de noter : dans les exceptions du pare feu, il y a des programmes ou services cochés dont le chemin d'accès ne correspond a rien dans l'arborecence comme si les fichiers n'existaient pas... si ça peut te renseigner...

g3n-h@ckm@n · Answer

supprime les deux rapports d'OTL , puis refais un scan et poste les deux rapports

freakyflo · Answer

voilà, c'est indiqué run 3 parce que j'avais pas mis la bonne config ...
otl : http://www.cijoint.fr/cjlink.php?file=cj201107/cij9DSdrTm.txt 
extra : http://www.cijoint.fr/cjlink.php?file=cj201107/cijdZi00xB.txt

g3n-h@ckm@n · Answer

Télécharge SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape jatmlano

 dans cette fenêtre 

confirme la recherche "aussi" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

freakyflo · Answer

Salut, je ne pouvait pas poster sur le sujet à cause de la maintenance du site puis de probleme de conexion. Bref : 
j'ai refais l'analyse seaf et le rapport d'aujourd'hui est différent de celui d'il y a 2 jours ( qui comptaient ~40 lignes). Je ne peux pas retrouver l'ancien rapport.
voilà le rapport d'aujourd'hui.

1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 15:40:46 le 28/07/2011
4. 
5. Valeur(s) recherchée(s):
6. jatmlamo
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Recherche registre
11. 
12. ====== Fichier(s) ======
13. 
14. Aucun fichier trouvé
15. 
16. 
17. ====== Entrée(s) du registre ======
18. 
19. Aucun élément dans le registre trouvé
20. 
21. =========================
22. 
23. Fin à: 15:47:29 le 28/07/2011
24. 363624 Éléments analysés
25. 
26. =========================
27. E.O.F

g3n-h@ckm@n · Answer

le rapport est dans C:\

freakyflo · Answer

Salut,
Désolé pour les quelques jours sans nouvelles.
Je ne retrouve pas le tout premier rapport. Je supose que le dernier rapport effectué ecrase le précédent ...
voici le rapport d'aujourd'hui:
1. ========================= SEAF 1.0.1.0 - C_XX
2. 
3. Commencé à: 22:42:28 le 01/08/2011
4. 
5. Valeur(s) recherchée(s):
6. jatmlano
7. 
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9. 
10. (!) --- Recherche registre
11. 
12. ====== Fichier(s) ======
13. 
14. Aucun fichier trouvé
15. 
16. 
17. ====== Entrée(s) du registre ======
18. 
19. 
20. [HKLM\System\ControlSet001\Enum\Root\LEGACY_JATMLANO]
21. DA: 01/08/2011 22:33:43
22. 
23. [HKLM\System\ControlSet001\Services\jatmlano]
24. DA: 01/08/2011 22:32:52
25. 
26. [HKLM\System\ControlSet003\Enum\Root\LEGACY_JATMLANO]
27. DA: 01/08/2011 22:33:43
28. 
29. [HKLM\System\ControlSet003\Services\jatmlano]
30. DA: 01/08/2011 22:32:52
31. 
32. [HKLM\System\CurrentControlSet\Enum\Root\LEGACY_JATMLANO]
33. DA: 01/08/2011 22:33:43
34. 
35. [HKLM\System\CurrentControlSet\Services\jatmlano]
36. DA: 01/08/2011 22:32:52
37. 
38. =========================
39. 
40. Fin à: 22:47:47 le 01/08/2011
41. 363637 Éléments analysés
42. 
43. =========================
44. E.O.F

g3n-h@ckm@n · Answer

hello 

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique 
si tu as Vista ou windows 7 => clic droit "executer en tant que...."  

sur OTL.exe pour le lancer. 


&#9654Copie la liste qui se trouve en gras ci-dessous, 

&#9654 colle-la dans la zone sous "Personnalisation" : 


:processes 
explorer.exe 
iexplore.exe 
firefox.exe 
msnmsgr.exe 
Teatimer.exe 

:Services 
JATMLANO 

:commands 
[CLEARALLRESTOREPOINTS] 
[emptytemp] 
[start explorer] 
[reboot] 


&#9654 Clique sur "Correction" pour lancer la suppression. 


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage. 

¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

freakyflo · Answer

salut ! 

voici le rapport: 
http://www.cijoint.fr/cjlink.php?file=cj201108/cijHBcVrpx.txt 

observations : 
- je n'ai plus besoin mettre "afiicher les dossiers caché" pour voir le contenu de l'arborescence 
- la barre de lancement rapide est toujours invisible ou bloquée 
- j'ai toujours le lancement de l'instalation de acrobat reader X quand je fais clic droit sur un icone du bureau (n'importe lequel)

merci pour ton aide

g3n-h@ckm@n · Answer

salut tu parles de ca après le reboot hein ?

freakyflo · Answer

hello,

oui pour l'affichage des fichiers cachés je pense que ça c'est produit après le reboot et corection OTL

g3n-h@ckm@n · Answer

ok donne des precisions là-dessus :

la barre de lancement rapide est toujours invisible ou bloquée

freakyflo · Answer

hé bien depuis que la personne m'a confié son PC, je n'ai jamais vu de barre de lancement rapide l'espace est vide (fond couleur barre de taches) 

autre chose aussi, dans le menu démarrer, les applications les plus utilisées étaient vides 

NB : je viens juste d'installer avira version 10

est ce que je peux faire une défragmentation ou ça gene les opérations que tu veux faire ?

g3n-h@ckm@n · Answer

elle est selectionnée en marche la barre de lancemment rapide au moins ?

freakyflo · Answer

oui oui j'avais vérifié avant de poster...

et pour la défrag ça ne gène pas ?

g3n-h@ckm@n · Answer

tu peux mais je ne pense pas que ca y changera grand chose faut voir plus loin que ca à mon avis 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

freakyflo · Answer

ça c'est juste pour la santé du pc je crois que ça n'a pas été fais depuis longtemps...

à ton écoute pour la suite :)

g3n-h@ckm@n · Answer

ok fais ta defrag alors ca ne pourra etre que mieux dans ce cas

freakyflo · Answer

ok je vais faire ça, j'ai aussi lancé una analyse intégrale de la "bête" avec avira pour voir... si résultats positifs je posterai.

autre chose !! je cosntate avec effroi que dans le dossier "outil d'administration" est vide dans "panneau de config" !!!

g3n-h@ckm@n · Answer

ne fais pas tout en meme temps ca va prendre 20 ans

freakyflo · Answer

c'est clair !!

concernant l'affichage des dossiers et fichiers, en fait les dossiers dans C: sont bien visibles comme je te l'ai dis.
Par contre ceux dans "mes documents" sont cachés hormis le répetoire "download"

désolé pour ces informations au compte goutte mais j'essaie de décrire le plus possible, pour t'aider.

g3n-h@ckm@n · Answer

ok supprime pre_scan , et ses rapports , retelecharge-le puis relance-le

freakyflo · Answer

Hey !

Alors la défrag est faite.
Le scan avira est fait, 1 résultat positif s******e de rootkit : RKIT/agent.45056.1 (dis moi si tu veux plus de détails)

J'ai réinstalé pré-scan, et relancé, ça à été très rapide...
Voila le rapport : http://www.cijoint.fr/cjlink.php?file=cj201108/cij6B50uQ9.txt

g3n-h@ckm@n · Answer

poste le rapport d'antivir

g3n-h@ckm@n · Answer

c'est quoi cet adobe pas à jour dans G:\ ?

evite d'installer des programmes ailleurs que dans C:\ ca chamboule le systeme et les desinfections

=====================================

desinstalle Java 6 Update 13 

=====================================

tu as des restes de :

Avast
McAfee
Symantec Norton

sers-toi de cette page pour les virer :

Désinstallation Antivirus , Parefeu , Antispyware

=========================================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras,  à l'interieur du texte qui s'ouvre , 
sans les lignes , en une seule fois en le mettant en surbrillance  :
___________________________________________________
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
"Cpqset"=-
""=-
[-HKEY_CURRENT_USER\Software\65]      
[-HKEY_CURRENT_USER\Software\Official-eMule] 
[-HKEY_LOCAL_MACHINE\Software\Official-eMule]      
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]  
"2869:TCP"=-

attrib::                                    
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

 puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

freakyflo · Answer

voilà pour avira : http://www.cijoint.fr/cjlink.php?file=cj201108/cij6QSzpjk.txt

freakyflo · Answer

Les fichiers sur G:/ sont des fichiers qui ont servi à l'installation de la suite adobe cs5, car le C:/ n'avait plus assez de mémoire. 
Voilà le rapport pre-script:  
http://www.cijoint.fr/cjlink.php?file=cj201108/cijiYt3kOM.txt  
Le reste des antivirus est viré et Java est désinstallé. 
Le lancement de l'installation d'Abobe en cliquant droit sur n'importe quelle icône n'existe plus.
Sinon, la nouveauté: quand on essaie d'ouvrir un fichier excel sur l'ordi, une fenêtre "Windows installer" avec la mention "veuillez patienter pendant que windows configure mircosoft office professional plus." appâraît. J'ai annulé, mais ça me semble bizarre aussi...

g3n-h@ckm@n · Answer

il est cracké adobe cs5 ?

et office pro plus 2010 ?

freakyflo · Answer

oui pour cs5 
office pro 2010 par contre on n'a pas du tout ! le 2007 était vendu avec l'ordi mais c'est tout

ma copine à fait tombé le pc et l'écran est brisé... je vais essayer de le faire fonctionner sur celui de mon fixe... Je suis assez dégouté après 2 semaine de désinfection...

g3n-h@ckm@n · Answer

ah.......

oui 2007 pardon...

freakyflo · Answer

Salut !!
Je ne laisse pas tomber simplement je n'arrive pas faire fonctionner le pc sur mon écran fixe. J'y travaille (si tu as des tuyaux... ).

Autrement les dd de portables sont ils tous interchangeable. Ex si je mets celui du pc cassé dans un de marque différente qu'est ce que je risque ?

Merci

g3n-h@ckm@n · Answer

bah ca sera pas stable mais si c'est le meme branchement et que tu formates tu peux y reinstaller un systeme ...

freakyflo · Answer

salut !

Ca y est j'ai réussi à le brancher sur un écran on peux reprendre si tu veux bien.

g3n-h@ckm@n · Answer

ca donne quoi ?

freakyflo · Answer

Bonjour, 
Eh bien je n'ai plus la même disponibilité pour dépanner ce pc car je dois débrancher/rebrancher celui mon fixe. Sinon la situation du PC à réparer est toujours identique...

- lancement de l'installation de acrobat reader X lors d'un clic droit sur une icone du bureau.
- apparement plus de propostion de mise à jour de microsoft office au lancement de fichier excel...
- toujours tout les documents en fichiers cachés

étant donné ta réponse pour les dd dans d'autres portables..
voici ma question :
- est-ce jouable de remplacer l'écran d'un portable soi même ? (si je tombe sur un identique ...)
- si ce n'est pas le cas nous allons nous orienter vers la sauvegarde des données sans virus pour utilisation dans un autre PC
si tu as d'autres idées ?

Merci !

g3n-h@ckm@n · Answer

aucune idée je ne suis pas materiel.........

freakydot · Answer

Bonjour à tous,

Je déterre ce post car j'ai récupéré le pc de mon amie qui est resté pendant 2 ans avec une dalle cassée qui a finalement été changée !!!
Je peux donc reprendre la désinfection apres un long moment.
Gen hackman m'avait bien aidé et accompagné jusque l'écran soit pété.

A votre disposition pour toute question.

SVP aide pour infection windows XP FIX

68 réponses

Newsletters