Comment détruire Trojan-proxy.sefbov E2 - Page 4

Précédent
  • 1
  • 2
  • 3
  • 4
  1. g3n-h@ckm@n
     
    c'est toi qui l'avais renommé comme ca le txt ?

    xsudmeb
    0
    1. Lyly
       
      bjr
      non ce n'est ps moi qui l"ai nommé ainsi
      j'ai également qewdnl et adsqti fichier bloc note avec même infos sur driver
      Ils se sont créés à chaque fois que j'ai lancé le script
      0
  2. g3n-h@ckm@n
     
    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
    1. Lyly
       
      ok je m'en occupe tout de suite :
      Rapport OTL : http://www.cijoint.fr/cjlink.php?file=cj201108/cij3bqh8kU.txt
      Rapport extra.txt : http://www.cijoint.fr/cjlink.php?file=cj201108/cijoC0pJjT.txt
      0
  3. g3n-h@ckm@n
     
    ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous "Personnalisation" :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :Services
    ctrjngcv

    :OTL
    FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll File not found
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
    O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)
    O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)
    O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)
    O37 - HKU\S-1-5-21-2564530266-2488377112-467800289-1000\...exe [@ = exefile] -- Reg Error: Key error. File not found

    :Files
    C:\Windows\System32\temppf.sys
    C:\Windows\System32\drivers\klbfrmhn.sys
    C:\Windows\System32\drivers\dpduocng.sys
    C:\Windows\System32\drivers\yungbok.sys
    C:\Windows\System32\drivers\pxcnlg.sys
    C:\Windows\System32\drivers\pcpylpl.sys

    :commands
    [CLEARALLRESTOREPOINTS]
    [emptytemp]
    [start explorer]
    [reboot]


    ▶ Clique sur "Correction" pour lancer la suppression.

    ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
    0
    1. Lyly
       
      j'ai effectué la manip, j'ai ps de rapport qui s'ouvre. Par contre 2 nvo icones se sont installés sur mon bureau : fichier type : Paramètre de configuration. Ils portent tous les 2 le nom de desktop.ini

      Infos contenus ds le 1er :
      [.ShellClassInfo]
      LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799

      Infos contenu ds le 2d :
      [.ShellClassInfo]
      LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
      IconResource=%SystemRoot%\system32\imageres.dll,-183

      Et ce qui est le plus étrange c'est les dates de modfications des fichiers, le 1er ayant une date de modif du 03/10/2008 et le 2d du 19/05/2008
      0
  4. g3n-h@ckm@n
     
    ouaip' il faut recacher les fichiers cachés
    0
    1. Lyly
       
      comment?
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    fournis déjà le rapport C:\_OTL\Moved Files\la_date_et_l'heure.log
    0
    1. Lyly
       
      All processes killed
      ========== PROCESSES ==========
      No active process named explorer.exe was found!
      Process iexplore.exe killed successfully!
      No active process named firefox.exe was found!
      No active process named msnmsgr.exe was found!
      No active process named Teatimer.exe was found!
      ========== SERVICES/DRIVERS ==========
      Service ctrjngcv stopped successfully!
      Service ctrjngcv deleted successfully!
      ========== OTL ==========
      Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@viewpoint.com/VMP\ deleted successfully.
      Starting removal of ActiveX control {8AD9C840-044E-11D1-B3E9-00805F499D93}
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
      Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}\ not found.
      Starting removal of ActiveX control {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}\ deleted successfully.
      Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}\ not found.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}\ not found.
      Starting removal of ActiveX control {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
      Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}\ not found.
      Starting removal of ActiveX control {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ deleted successfully.
      Registry key HKEY_CURRENT_USER\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ not found.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}\ not found.
      Starting removal of ActiveX control {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ deleted successfully.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
      Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}\ not found.
      Registry key HKEY_USERS\S-1-5-21-2564530266-2488377112-467800289-1000_Classes\.exe\ deleted successfully.
      Registry key HKEY_USERS\S-1-5-21-2564530266-2488377112-467800289-1000_Classes\exefile\ not found.
      HKEY_LOCAL_MACHINE\Software\Classes\.exe\\|exefile /E : value set successfully!
      ========== FILES ==========
      File move failed. C:\Windows\System32\temppf.sys scheduled to be moved on reboot.
      C:\Windows\System32\drivers\klbfrmhn.sys moved successfully.
      C:\Windows\System32\drivers\dpduocng.sys moved successfully.
      C:\Windows\System32\drivers\yungbok.sys moved successfully.
      C:\Windows\System32\drivers\pxcnlg.sys moved successfully.
      C:\Windows\System32\drivers\pcpylpl.sys moved successfully.
      ========== COMMANDS ==========


      [EMPTYTEMP]

      User: All Users

      User: Default
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 402 bytes

      User: Default User
      ->Temp folder emptied: 0 bytes
      ->Temporary Internet Files folder emptied: 0 bytes

      User: Elodie
      ->Temp folder emptied: 2369607 bytes
      ->Temporary Internet Files folder emptied: 386423749 bytes
      ->Java cache emptied: 0 bytes
      ->Google Chrome cache emptied: 6405406 bytes
      ->Flash cache emptied: 1964762 bytes

      User: Public
      ->Temp folder emptied: 0 bytes

      %systemdrive% .tmp files removed: 0 bytes
      %systemroot% .tmp files removed: 0 bytes
      %systemroot%\System32 .tmp files removed: 0 bytes
      %systemroot%\System32\drivers .tmp files removed: 0 bytes
      Windows Temp folder emptied: 0 bytes
      RecycleBin emptied: 0 bytes

      Total Files Cleaned = 379,00 mb


      OTL by OldTimer - Version 3.2.26.1 log created on 08112011_140148
      0
  7. g3n-h@ckm@n
     
    on l'a eu le service pourri

    ===========================

    pour recacher les fichiers qui doivent l'être :

    demarrer/ordinateur/

    onglet de gauche => organiser => option des dossiers => ne pas afficher les fichiers cachés => valider
    0
    1. Lyly
       
      Oui, c'est une bonne chose !

      fichiers recachés, mais j'ai du passer par le panneau de config, et la l'onglet option des dossiers est apparu

      Et maintenant on fait quoi?
      0
    2. g3n-h@ckm@n
       
      ah oui chuis bête c'est la methode pour windows 7 ca ^^ :S
      0
    3. Lyly
       
      ok,
      0
  8. g3n-h@ckm@n
     
    bien je pense que tu devrais mettre malwarebytes à jour et faire un scan complet pour courronner l'histoire
    0
    1. Lyly
       
      malwarebytes? C'est un logiciel de nettoyage?
      0
    2. g3n-h@ckm@n
       
      oups ^^


      fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


      ▶ Télécharge ici :

      Malwarebytes

      ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

      (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

      ▶ Potasses le Tuto pour te familiariser avec le prg :


      ( cela dit, il est très simple d'utilisation ).

      relance malwarebytes en suivant scrupuleusement ces consignes :

      ! Déconnecte toi et ferme toutes applications en cours !

      ▶ Lance Malwarebyte's .

      Fais un examen dit "Complet" .

      ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
      ▶ à la fin tu cliques sur "résultat" .
      Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

      Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


      Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
      0
    3. Lyly
       
      programme lancé. 1seul fichier ninfesté. J'ai le rapport, puis le pc a redemarrer pour finir le nettoyage. Maintenat il met impossible d'ouvrir malwarebytes : Run time Error '0', puis un autre pavé "R T error 372"Failed to load control vbalgrid from vbalgid6.ocx. Your version may be outdated
      0
  9. g3n-h@ckm@n
     
    tu l'as bien telechargé de mon lien ?
    0
    1. Lyly
       
      oui,
      je ne connais ps ce logiciel. Je n'irai ps le télécharger ne connaissant ps la source sinon
      0
  10. g3n-h@ckm@n
     
    mmm....il ne te manque pas des mises à jour sur windows update ?
    0
    1. Lyly
       
      bonne question !
      Ps la moindre idée.
      sûrement
      0
  11. g3n-h@ckm@n
     
    bah alors demarrer/programmes/ => windows update
    0
    1. Lyly
       
      oui, déjà essayé. Ms rien ne s'ouvre
      0
  12. g3n-h@ckm@n
     
    heu tu es bien en mode normal là....?
    0
    1. Lyly
       
      je suis encore en mode ss echec.
      le pc plante tjrs
      0
  13. g3n-h@ckm@n
     
    bah refais ton systeme
    0
    1. Lyly
       
      par refaire, tu veux dire une une restauration du système?
      0
  14. g3n-h@ckm@n
     
    non refaire le systeme completement

    il ne sera jamais stable
    0
    1. Lyly
       
      donc la fameuse restauration d'usine ?
      Et comment je m'y prends?
      0
  15. g3n-h@ckm@n
     
    c'est quoi la marque du pc ?
    0
    1. Lyly
       
      HP pavilion dv6500 notebook pc
      0
  16. Vent d'ouest Messages postés 714 Statut Membre 41
     
    Lol !!!! mdr...
    0
  17. Vent d'ouest Messages postés 714 Statut Membre 41
     
    Re,

    Entre:

    https://forums.commentcamarche.net/forum/affich-22704624-comment-detruire-trojan-proxy-sefbov-e2?page=2#51
    Et:

    https://forums.commentcamarche.net/forum/affich-22704624-comment-detruire-trojan-proxy-sefbov-e2?page=4#200

    ==> Tu as perdu une bonne dizaine de jours !

    Compte tenu de tout cela,tu es revenu sur un système qui est désormais sain....donc intstalle toutes les mises à jour qui te seront proposées.

    Cela te prendra un peu de temps,mais bon.....

    a+
    -2
  18. Vent d'ouest Messages postés 714 Statut Membre 41
     
    Salut,

    * Télécharge sur le bureau RogueKiller (par tigzy)
    https://www.luanagames.com/index.fr.html

    *( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

    * Quitte tous tes programmes en cours
    * Lance RogueKiller.exe.
    * Lorsque demandé, tape 4 et valide
    * Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
    * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe

    Ensuite tu relances RogueKiller et tu choisis l'option 6 et tu postes le rapport
    -3
    1. Lyly
       
      J'ai suivi tes conseils et voici la réponse :

      RogueKiller V5.2.7 [30/06/2011] par Tigzy
      contact sur http://www.sur-la-toile.com
      mail: tigzyRK<at>gmail<dot>com
      Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

      Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
      Demarrage : Mode sans echec avec prise en charge reseau
      Utilisateur: Elodie [Droits d'admin]
      Mode: Proxy RAZ -- Date : 22/07/2011 20:56:34

      Processus malicieux: 0

      Entrees de registre: 0

      Termine : << RKreport[1].txt >>
      RKreport[1].txt



      RogueKiller V5.2.7 [30/06/2011] par Tigzy
      contact sur http://www.sur-la-toile.com
      mail: tigzyRK<at>gmail<dot>com
      Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

      Systeme d'exploitation: Windows Vista (6.0.6001 Service Pack 1) 32 bits version
      Demarrage : Mode sans echec avec prise en charge reseau
      Utilisateur: Elodie [Droits d'admin]
      Mode: Raccourcis RAZ -- Date : 22/07/2011 20:59:20

      Processus malicieux: 0

      Attributs de fichiers restaures:
      Bureau: Success 1 / Fail 0
      Lancement rapide: Success 0 / Fail 0
      Programmes: Success 27 / Fail 0
      Menu demarrer: Success 1 / Fail 0
      Dossier utilisateur: Success 393 / Fail 0
      Mes documents: Success 0 / Fail 0
      Mes favoris: Success 0 / Fail 0
      Mes images: Success 0 / Fail 0
      Ma musique: Success 28 / Fail 0
      Mes videos: Success 0 / Fail 0
      Disques locaux: Success 1072 / Fail 0
      Sauvegarde: [NOT FOUND]

      Lecteurs:
      [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
      [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
      [E:] \Device\CdRom0 -- 0x5 --> Skipped

      Termine : << RKreport[2].txt >>
      RKreport[1].txt ; RKreport[2].txt
      0
    2. Tigzy Messages postés 7983 Statut Contributeur sécurité 582
       
      Salut

      Pourquoi le mode 6?
      0
Précédent
  • 1
  • 2
  • 3
  • 4