Comment détruire Trojan-proxy.sefbov E2 Fermé

Question

Bonjour,  
J'ai attrapé un virus qui plante totalement mon pc. il ne fonctionne plus qu'en mode echec. Je ne sais ps du tout quoi faire. Selon avira se serait le Trojan-proxy.sefbov E2, détecté le 16/06.  
Quelqu'un pourrait-il m'indiquer, svp la marche à suivre pour l'enlever? 
merci d'avance 

j'ai un ordi HP et je suis sur vista edition familiale

g3n-h@ckm@n · Accepted Answer

salut et tu veux refaire une restauration d'usine pour ca ?

Vent d'ouest · Answer

Salut,

* Télécharge sur le bureau RogueKiller (par tigzy) 
https://www.luanagames.com/index.fr.html 


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur ) 

* Quitte tous tes programmes en cours 
* Lance RogueKiller.exe. 
* Lorsque demandé, tape 4  et valide 
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse 
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.Si cela ne passe toujours pas , (cela peut arriver), renommer RogueKiller.exe en Winlogon.exe
 
Ensuite tu relances RogueKiller et tu choisis l'option 6 et tu postes le rapport

Vent d'ouest · Answer

Ok,

- Télécharge Reload_TDSSKiller
http://dl.dropbox.com/u/21363431/Reload_Tdsskiller.exe 

 

-Télécharge la derniere version. 

-Relance-le 

choisis : lancer le nettoyage 

TDSSKiller va s'ouvrir , clique sur "Start Scan" 

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer 

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau 

- Copie/Colle son contenu dans ta prochaine réponse.

Vent d'ouest · Answer

Chou blanc....


Pour un diagnostic du pc: 

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions. 

/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur » 

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
- Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer. 
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix) 
- Clique sur la loupe pour lancer l'analyse. 
- Laisse l'outil travailler, il peut être assez long. 
- Ferme ZHPDiag en fin d'analyse. 
- Pour transmettre le rapport clique sur ce lien : http://www.cijoint.fr/ 
- Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 
- Sélectionne le fichier ZHPDiag.txt. 
- Clique sur "Cliquez ici pour déposer le fichier". 
- Un lien de cette forme : http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt est ajouté dans la page. 
- Copie ce lien dans ta réponse.

Vent d'ouest · Answer

Désinstalle Norton (Symantec) toujours présent sur ton pc...
(Deux AV entrent en conflit) Tu as déja Avira!  
à l'aide de cet utilitaire:   

http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20050414110429924   

Ensuite:   



Télécharge ComboFix (de sUBs) sur ton Bureau.    

http://download.bleepingcomputer.com/sUBs/ComboFix.exe   

==> Désactive ton anti virus (Avira) et ton pare-feu...    

* Double-clique sur ComboFix afin de le lancer.    
* Il va te demander d'installer la console de récupération : ACCEPTE !.    
* Ne touche pas au pc durant le scan.    
* Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Vent d'ouest · Answer

Re

Clic droit sur le parapluie rouge ds la barre de tâches.
Et tu décoches Activer Antivir Guard.....

Vent d'ouest · Answer

Pas top !!!

On va changer d'optique (mais on y reviendra ...)

Peux-tu me montrer le rapport antivr qui te détecte cette m..de ?
Ou ,pour le moins son chemin genre C:/ etc....

Vent d'ouest · Answer

Ok....

Pourri pour pourri !!!!

==> Lance tout de même Combofix

Ignore les mises en gardes et vas-y:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe


Go ...

Vent d'ouest · Answer

Au pire ...Combofix se lancera en "fonctoinaltés réduites" 

Doncx no problem!!!!

Vent d'ouest · Answer

Redémarre ton pc...

Lance un scan Antivir et poste le rapport stp.

Vent d'ouest · Answer

Bon ,rien d"alarmant la dessus ... 

Juste la quarantaine  de combofix détectée....Quoobox...!!! 


Ouvre Zhpfix (icone seringue) puis clique sur l'onglet "Proxyfix"

Et colle le rapport stp

Vent d'ouest · Answer

Re,

Toujours pareil pour le M S E ?

Vent d'ouest · Answer

Le fait que ta machine ne démarre qu'en Mode Sans Echec !!!!

lyly · Answer

Oui, pardon, de suite, j'avais ps fait le lien.
Oui idem, tjrs mode ss echec.
Par contre j'ai un ecran bleu avant la coupure. Texte ecrit en anglais

Vent d'ouest · Answer

Le mieux serait peut-*etre de tenter une restauration de ton systeme,à une date antérieure, à l'apparition de ce dernier.
 

Regarde ce tuto: 
http://www.vista-xp.fr/forum/topic209.html 
et dis moi si tu disposes d'un point de restauration suffisement ancien ?

Vent d'ouest · Answer

Je cherche.....

Ici:
http://www.forum-vista.net/forum/topic14227.html

Vent d'ouest · Answer

"j'ai lu sur le site que certains avaient eu le même pb,c'est exactement le même tye de message que j'ai."

Peux-tu me filer le lien stp?

Vent d'ouest · Answer

Yep....!!!  

As-tu des  choses vraiment importantes sur ton pc?

Vent d'ouest · Answer

Windows Vista intègre une option "Restauration usine"...

A savoir:

Si tu utilises cette fonction, tu retrouveras ton pc comme au premier jour !

En perdant tout bien évidemment.

Ds ce cas sauvegarde tes docs ,fichiers, photos etc sur un support amovible....et donne moi la marque de ta machine.

Vent d'ouest · Answer

Regarde à coté de mon pseudo: -1
https://forums.commentcamarche.net/forum/affich-22704624-comment-detruire-trojan-proxy-sefbov-e2#40

Vent d'ouest · Answer

Un modo a supprimé ....

Vent d'ouest · Answer

P2 - FPN: [HKLM] [@viewpoint.com/VMP] - (.Pas de propriétaire - MetaStream 3 Plugin r4.) -- C:\Program Files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll    => Infection PUP (Adware.MetaStream)  
O23 - Service: AMService (AMService) . (...) - C:\Windows\TEMP\akhh\setup.exe (.not file.)    => Infection FakeAlert (Worm.Koobface)  
O42 - Logiciel: Viewpoint Media Player - (.Pas de propriétaire.) [HKLM] -- ViewpointMediaPlayer    => Infection BT (Adware.MetaStream)  
[HKLM\Software\MetaStream]    => Infection PUP (Adware.MetaStream)  
[HKLM\Software\Viewpoint]    => Infection PUP (Adware.MetaStream)  
O43 - CFD: 26/12/2007 - 17:22:32 - [5793458] ----D- C:\Program Files\Viewpoint    => Infection PUP (Adware.MetaStream)  
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS)  
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS)  
[MD5.83B34CB4C41533A17DA36B0729D7A13F] [SPRF][27/03/2011] (.It Systems - Covering Software.) -- C:\Users\Elodie\AppData\Local\Temp\InternetExplorerUpdate.exe   [131072]    => Infection Rogue (Rogue.AntiMalwareDoctor)  
[MD5.3D36EA747D9F396C086125247E57FBB6] [SPRF][15/05/2011] (.Simon Tatham - c4CodecC8 Setup.) -- C:\Users\Elodie\AppData\Local\Temp\kplv.exe   [85504]    => Infection FakeAlert (Trojan.FakeAlert)  
[HKLM\Software\MozillaPlugins\@viewpoint.com/VMP]    => Infection PUP (Adware.MetaStream)  
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer]    => Infection BT (Adware.MetaStream)  
[HKLM\Software\Classes\axmetastream.metastreamctl]    => Infection PUP (Adware.MetaStream)  
[HKLM\Software\Classes\axmetastream.metastreamctl.1]    => Infection PUP (Adware.MetaStream)  
[HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary]    => Infection PUP (Adware.MetaStream)  
[HKLM\Software\Classes\AxMetaStream.MetaStreamCtlSecondary.1]    => Infection PUP (Adware.MetaStream)  
[HKLM\Software\Classes\CLSID\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}]    => Infection BT (Adware.MetaStream)  
[HKLM\Software\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}]    => Infection BT (Adware.MetaStream)  
[HKLM\Software\Classes\TypeLib\{4f7d1b07-6203-41f0-947b-a29cc9ecd9b0}]    => Infection BT (Adware.BHO)  
[HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]    => Infection BT (Adware.2Search)  
[HKLM\Software\Classes\TypeLib\{9dbb28c1-1925-11d3-a498-00104b6eb52e}]    => Infection PUP (Adware.MetaStream)  
[HKLM\SYSTEM\CurrentControlSet\Services\AMService]    => Infection Diverse (Spyware.Passwords)  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ViewpointMediaPlayer]    => Infection PUP (Adware.MetaStream)  
C:\Program Files\Viewpoint    => Infection PUP (Adware.MetaStream)  
SS - | Auto 30/12/1899 0 |  (AMService) . (...) - C:\Windows\TEMP\akhh\setup.exe    => Infection FakeAlert (Worm.Koobface)  

 SCRIPT DE SUPPRESSION DE FICHIER
c:\program files\viewpoint\viewpoint experience technology
pviewpoint.dll
c:\users\elodie\appdata\local	emp\internetexplorerupdate.exe

 PROCESSUS SUPERFLU DU SYSTEME
O4 - HKCU\..\Run: [Htoga] C:\Users\Elodie\AppData\Local\msdbreto.dll (.not file.)    => Fichier absent  
O4 - HKUS\S-1-5-21-2564530266-2488377112-467800289-1000\..\Run: [Htoga] C:\Users\Elodie\AppData\Local\msdbreto.dll (.not file.)    => Fichier absent  
O41 - Driver: (ctrjngcv) . (. - .) - C:\Windows\system32\drivers\ctrjngcv.sys (.not file.)    => Fichier absent  
O43 - CFD: 20/03/2011 - 14:19:28 - [0] --H-D- C:\Users\Elodie\AppData\Local\Windows    => Empty Folder not necessary  
O52 - TDSD: \Drivers32\"msacm.l3codecp"="" . (...) -- (.not file.)    => MPEG Audio Layer-3 ACM Codec  
O52 - TDSD: \drivers.desc\"l3codecp.acm"="" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Audio Layer-3 Codec for MSACM.) -- C:\Windows\System32\l3codecp.acm

g3n-h@ckm@n · Answer

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse. 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

g3n-h@ckm@n · Answer

hello si tu peux :

desinstalle viewpoint
desinstalle Java 6 Update 15 
desinstalle Adobe Reader 8 

================================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras,  à l'interieur du texte qui s'ouvre , 
sans les lignes , en une seule fois en le mettant en surbrillance  :
___________________________________________________
Registry::
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{1B00725B-C455-4DE6-BFB6-AD540AD427CD}]
[-HKEY_LOCAL_MACHINE\Software\Viewpoint]  

file::
C:\ProgramData\39116552    

folder::
C:\Users\Elodie\AppData\Local\Temp\822B.dir
C:\Users\Elodie\AppData\Local\Temp(415)      
C:\Program Files\Viewpoint    

list::
C:\Users\Elodie\AppData\Local\Windows      

attrib::                                    
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

 puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

g3n-h@ckm@n · Answer

ok la suite

g3n-h@ckm@n · Answer

salut

oui

g3n-h@ckm@n · Answer

bien refais zhpdaig , coche tout au tournevis , heberge le rapport

g3n-h@ckm@n · Answer

tu peux mettre windows à jour là ?

g3n-h@ckm@n · Answer

refais zhpdiag tout coché au tournevis hébbergé ??

g3n-h@ckm@n · Answer

salut


&#9654 Télécharge ici : Ad-remover sur ton bureau : 


&#9654 Déconnecte toi et ferme toutes applications en cours ! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

&#9654 sur "Ad-R.exe" pour lancer l'installation et laisse les paramètres d'installation par défaut . 

&#9654 clique le raccourci Ad-remover qui est sur ton bureau pour lancer l'outil .
 
&#9654 Au menu principal choisis "option Nettoyer" et tape sur [entrée] .

&#9654 Laisse travailler l'outil et ne touche à rien ... 

&#9654 Poste le rapport qui apparait à la fin , sur le forum ...

( Le rapport est sauvegardé aussi sous C:\Ad-report.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

g3n-h@ckm@n · Answer

__________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Rootkit:: c:\windows\system32\drivers\ctrjngcv.sys Folder:: c:\windows\TEMP\akhh DeQuarantine:: c:\windows\system32\jgaw400.dll Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000000 Driver:: ctrjngcv AMService RegLock:: [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\msiserver] ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

g3n-h@ckm@n · Answer

refais l'operation en mode sans echec

g3n-h@ckm@n · Answer

sans prise en charge reseau ?

Vent d'ouest · Answer

"Bonjour,  
J'ai attrapé un virus qui plante totalement mon pc. il ne fonctionne plus qu'en mode echec." 


Eh bien oui Gen....Lyly ns l'avait dit depuis le début , et c'est bien là le problême....!!!!

g3n-h@ckm@n · Answer

salut

@Vent d'ouest : revois tes canneds

@lily :

tu deposes le CFScript.txt sur le fichier combofix (l'icone rouge et noir)

g3n-h@ckm@n · Answer

il t'indique qu'il supprime des fichiers ou pas ?

execute ceci et poste  le rapport qui s'ouvrira

http://dl.dropbox.com/u/21363431/fichiers/Comboquarantine.bat

g3n-h@ckm@n · Answer

regarde si tu as ceci

C:\Windows\System32\drivers\ctrjngcv.sys

g3n-h@ckm@n · Answer

ce qui m'étonne c'est que quand tu relances combofix , il ne te demande pas de le mettre à jour... 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

en general au bout de trois jours , il demande une mise à jour....

je me demande si ca serait pas une bonne idée de supprimer tous les outils utilisés , puis de le retelecharger , renommer , relancer.....

g3n-h@ckm@n · Answer

non je te remets le topo : ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ================================== /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur (clic droit sur le lien => enregistrer la cible du lien sous....=> ton prenom => sur le bureau Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

g3n-h@ckm@n · Answer

yes !!! il est passé !!! __________________________________________________ =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <= =>il est fort déconseillé de le transposer sur un autre ordinateur !<= ---------------------------------------------------------------------------- Toujours avec toutes les protections désactivées, fais ceci : ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes) ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) : ---------------------------------------------------------- KillAll:: Registry:: [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000000 Driver:: ctrjngcv ------------------------------------------------------------------ ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt ▶ Quitte le Bloc Notes ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu. ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

g3n-h@ckm@n · Answer

on va biaiser

&#9654 Télécharge : Gmer (by Przemyslaw Gmerek) clique sur "Download EXE" et enregistre-le sur ton bureau

Desactive toutes tes protections le temps du scan de gMer

Pour XP => double clique sur gmer.exe
Pour Vista et 7 => clique droit "executer en tant que...."

&#9654 clique sur l'onglet rootkit,lances le scan,des lignes rouges vont apparaitre.

&#9654 Les lignes rouges indiquent la presence d'un rootkit.Postes moi le rapport gmer (cliques sur copy,puis vas dans demarrer ,puis ouvres le bloc note,vas dans edition et cliques sur coller,le rapport gmer va apparaitre,postes moi le)

g3n-h@ckm@n · Answer

ca depend des pc

g3n-h@ckm@n · Answer

salut pas complet ce rapport....

g3n-h@ckm@n · Answer

1. Télécharge The Avenger par Swandog46 sur le Bureau

http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Drivers to delete:
ctrjngcv 

IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

g3n-h@ckm@n · Answer

dans C:\ non ?

g3n-h@ckm@n · Answer

par contre j'ai oublié de le mettre en gras fallait mettre que ca dans avenger :

Drivers to delete:
ctrjngcv

g3n-h@ckm@n · Answer

et le zip il y est ?

g3n-h@ckm@n · Answer

ressaie en lancant avenger avec le clic droit "executer en tant qu'administrateur"

g3n-h@ckm@n · Answer

bah si t'es sur vista t'as forcement ca !

ou alors "executer en tant que......"

g3n-h@ckm@n · Answer

avec le clic droit

g3n-h@ckm@n · Answer

il sort d'ou ce vista ?

g3n-h@ckm@n · Answer

j'ai jamais vu un vista qui n'a pas cette fonction ! :)

g3n-h@ckm@n · Answer

t'as pas dézippé avenger alors....

g3n-h@ckm@n · Answer

tu vas me rendre chêvre toi ! ^^

g3n-h@ckm@n · Answer

t'as essayé avec le clic droit sur l'appli du coup ?

g3n-h@ckm@n · Answer

ouvre Pre_script et colle ce qui suit en gras,  à l'interieur du texte qui s'ouvre , 
sans les lignes , en une seule fois en le mettant en surbrillance  :
___________________________________________________
Driver::
ctrjngcv            
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

 puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

g3n-h@ckm@n · Answer

prends pre_script ici sinon :

http://dl.dropbox.com/u/21363431/Pre_Script.exe

g3n-h@ckm@n · Answer

????????????

g3n-h@ckm@n · Answer

c'est toi qui l'avais renommé comme ca le txt ?

xsudmeb

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

&#9654 Copie ce lien dans ta réponse.

&#9654&#9654 Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:Services
ctrjngcv

:OTL
FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology
pViewpoint.dll File not found 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15) 
O16 - DPF: {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0-windows-i586.cab (Java Plug-in 1.6.0)   
O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07) 
O16 - DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)  
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab (Java Plug-in 1.6.0_15)   
O37 - HKU\S-1-5-21-2564530266-2488377112-467800289-1000\...exe [@ = exefile] -- Reg Error: Key error. File not found

:Files
C:\Windows\System32	emppf.sys            
C:\Windows\System32\drivers\klbfrmhn.sys      
C:\Windows\System32\drivers\dpduocng.sys
C:\Windows\System32\drivers\yungbok.sys      
C:\Windows\System32\drivers\pxcnlg.sys   
C:\Windows\System32\drivers\pcpylpl.sys      

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

g3n-h@ckm@n · Answer

ouaip' il faut recacher les fichiers cachés

g3n-h@ckm@n · Answer

fournis déjà le rapport C:\_OTL\Moved Files\la_date_et_l'heure.log

g3n-h@ckm@n · Answer

on l'a eu le service pourri

===========================

pour recacher les fichiers qui doivent l'être :

demarrer/ordinateur/

onglet de gauche => organiser => option des dossiers => ne pas afficher les fichiers cachés => valider

g3n-h@ckm@n · Answer

bien je pense que tu devrais mettre malwarebytes à jour et faire un scan complet pour courronner l'histoire

g3n-h@ckm@n · Answer

tu l'as bien telechargé de mon lien ?

g3n-h@ckm@n · Answer

mmm....il ne te manque pas des mises à jour sur windows update ?

g3n-h@ckm@n · Answer

bah alors demarrer/programmes/ => windows update

g3n-h@ckm@n · Answer

heu tu es bien en mode normal là....?

g3n-h@ckm@n · Answer

bah refais ton systeme

g3n-h@ckm@n · Answer

non refaire le systeme completement

il ne sera jamais stable

g3n-h@ckm@n · Answer

c'est quoi la marque du pc ?

g3n-h@ckm@n · Answer

https://www.commentcamarche.net/faq/20792-restaurer-un-ordinateur-hp-a-son-etat-d-usine

Vent d'ouest · Answer

Salut à vs deux juste en passant....

https://forums.commentcamarche.net/forum/affich-22704624-comment-detruire-trojan-proxy-sefbov-e2?page=2#51

°-)

Vent d'ouest · Answer

Re,    

Entre:    

https://forums.commentcamarche.net/forum/affich-22704624-comment-detruire-trojan-proxy-sefbov-e2?page=2#51   
Et:    

https://forums.commentcamarche.net/forum/affich-22704624-comment-detruire-trojan-proxy-sefbov-e2?page=4#200    


==> Tu as perdu une bonne dizaine de jours !    



Compte tenu de tout cela,tu es revenu sur un système qui est désormais sain....donc intstalle toutes les mises à jour qui te seront proposées.   
   

Cela te prendra un peu de temps,mais bon.....    


a+

g3n-h@ckm@n · Answer

moi au moins j'ai essayé de sauver le pc.... 

j'ai pas fait la truffe en disant "reinstalle" parce que je ne savais pas quoi faire...... 

l'aut'non ? il revient après la guerre faire le malin !!!
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Vent d'ouest · Answer

Lol !!!! mdr...

Comment détruire Trojan-proxy.sefbov E2

78 réponses

Discussions similaires

Newsletters