Pentoweb page démarrage

Résolu
jaco -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,



Je n'arrive pas à fixer ma page de démarrage ; chaque fois que je redémarre mon ordinateur, elle m'est imposée par un malware "Pentoweb" .

Merci me dire ce que l'on peut faire.

cordialement

35 réponses

  • 1
  • 2
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bonjour

    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Recherche] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt
    0
  2. jaco
     
    Voici le fichier.

    # AdwCleaner v1.317 - Rapport créé le 07/11/2011 à 21:36:52
    # Mis à jour le 06/11/11 à 14h par Xplode
    # Système d'exploitation : Windows (TM) Vista Home Premium Service Pack 2 (64 bits)
    # Nom d'utilisateur : Jacques - PC-DE-JACQUES (Administrateur)
    # Exécuté depuis : C:\Users\Jacques\Downloads\adwcleaner0 (1).exe
    # Option [Recherche]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    ***** [Registre] *****

    ***** [Registre (x64)] *****

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Google Chrome v [Impossible d'obtenir la version]

    Fichier : C:\Users\Jacques\AppData\Local\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R1].txt - [1421 octets] - [06/11/2011 14:17:10]
    AdwCleaner[S1].txt - [1624 octets] - [06/11/2011 21:10:48]
    AdwCleaner[S2].txt - [342 octets] - [07/11/2011 20:37:06]
    AdwCleaner[R2].txt - [1425 octets] - [07/11/2011 20:38:06]
    AdwCleaner[S3].txt - [1579 octets] - [07/11/2011 20:38:28]
    AdwCleaner[R3].txt - [1133 octets] - [07/11/2011 21:36:52]

    ########## EOF - C:\AdwCleaner[R3].txt - [1261 octets] ##########
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Poste celui-là : AdwCleaner[S1].txt
    0
  4. jaco
     
    Le voilà,

    # AdwCleaner v1.317 - Rapport créé le 06/11/2011 à 21:10:48
    # Mis à jour le 06/11/11 à 14h par Xplode
    # Système d'exploitation : Windows (TM) Vista Home Premium Service Pack 2 (64 bits)
    # Nom d'utilisateur : Jacques - PC-DE-JACQUES (Administrateur)
    # Exécuté depuis : C:\Users\Jacques\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\OWV2NKC7\adwcleaner0.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    ***** [Registre] *****

    Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4

    ***** [Registre (x64)] *****

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v2.0.0.20 (fr)

    Profil : 0io4w5q4.default
    Fichier : C:\Users\Jacques\AppData\Roaming\Mozilla\Firefox\Profiles\0io4w5q4.default\prefs.js

    C:\Users\Jacques\AppData\Roaming\Mozilla\Firefox\Profiles\0io4w5q4.default\user.js ... Supprimé !

    [OK] Le fichier ne contient aucune entrée illégitime.

    -\\ Google Chrome v [Impossible d'obtenir la version]

    Fichier : C:\Users\Jacques\AppData\Local\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[R1].txt - [1421 octets] - [06/11/2011 14:17:10]
    AdwCleaner[S1].txt - [1403 octets] - [06/11/2011 21:10:48]

    *************************

    Dossier Temporaire : 6 dossier(s)et 11 fichier(s) supprimés

    ########## EOF - C:\AdwCleaner[S1].txt - [1623 octets] ##########
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Télécharge AD-Remover sur ton Bureau : (TeamXScript)

    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    OU
    https://www.androidworld.fr/ ( Miroir )

    /!\ Ferme toutes applications en cours /!\

    ▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
    ▶ Sur la page, clique sur le bouton « Scanner »
    ▶ Confirme le lancement du scan
    ▶ Laisse travailler l'outil.
    ▶ Quand il a fini, un rapport s'ouvrira : ferme le.

    ♦ Pour me transmettre le rapport

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier C:\Ad-Report-SCAN[1].txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
  7. jaco
     
    Voici lelien

    http://www.cijoint.fr/cjlink.php?file=cj201111/cijWZWkhT7.txt
    0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ok.

    ▶ Relance AD-Remover, clique sur [ Nettoyer ]
    ▶ Laisse le pc redémarrer.
    ▶ Une fois revenu sur le bureau, le rapport devrait s'ouvrir : ferme-le

    ♦ Pour me transmettre le rapport

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier C:\Ad-Report-CLEAN[1].txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.

    ~~

    ▶ Télécharge MBAM et installe le selon l'emplacement par défaut
    https://www.malwarebytes.com/mwb-download/
    ▶ Effectue la mise à jour et lance Malwarebytes' Anti-Malware

    ▶ ▶ Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

    ▶ Clique dans l'onglet du haut "Recherche"
    ▶ Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
    ▶ Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

    A la fin de l'analyse, si MBAM n'a rien trouvé :

    ▶ Clique sur OK, le rapport s'ouvre spontanément

    Si des menaces ont été détectées :

    ▶ Clique sur OK puis "Afficher les résultats"
    ▶ Choisis l'option "Supprimer la sélection"
    ▶ Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
    ▶ Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
    ▶ Sinon le rapport s'ouvre automatiquement après la suppression

    Quelque soit le résultat, copie/colle le rapport dans le prochain message
    0
  9. jaco
     
    Ci après le rapport ad-remover: ce soir je suis crevé, je te propose de reprendre ça demain, le temps de faire la manip avec malwarebytes.

    Merci beaucoup, bonne soirée

    http://www.cijoint.fr/cjlink.php?file=cj201111/cij9ymdMgu.txt
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Ok, à demain donc ;)
    0
  11. jaco
     
    Bonjour,

    Je profite de repasser chez moi à midi pour te faire passer le rapport malwarebytes.

    A ce soir

    Malwarebytes' Anti-Malware 1.51.2.1300
    www.malwarebytes.org

    Version de la base de données: 8105

    Windows 6.0.6002 Service Pack 2
    Internet Explorer 9.0.8112.16421

    07/11/2011 23:56:25
    mbam-log-2011-11-07 (23-56-25).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 379938
    Temps écoulé: 1 heure(s), 19 minute(s), 56 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    0
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut c'est ok

    ▶ Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu''administrateur)

    ▶ Lance OTL
    ▶ Sous Personnalisation, copie-colle ce qu''il y a dans le cadre ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\*.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT
    nslookup www.google.fr /c 

    ▶ Clique sur le bouton Analyse.
    ▶ Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
    Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
    0
  13. jaco
     
    Bonsoir, je bataille depuis un quart d'heure, impossible de télécharger ce OTL, mon ordi le bloque chaque fois: j'ai désactiveél'antivirus, rien à faire .

    Merci me dire
    0
  14. jaco
     
    Rebonsoir, ça y est finalement j'y suis arrivé: ci dessous le rapport.

    A plus,

    http://pjjoint.malekal.com/files.php?id=g6h9k14r14m6b5v15u12v12i13i15o14d6c6x13t1113r8p10l15
    0
  15. jaco
     
    Finalement il y a aussi un deuxième fichier

    http://pjjoint.malekal.com/files.php?id=w13e13t8x10k9r12g5c7t5j13h10t14i5x12i13s7t6y5q15d14
    0
  16. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Re ;-)

    Fais analyser le fichier suivant sur VirusTotal : C:\Program Files (x86)\rbjcl.vbs
    Clique sur Reanalyse si demandé.
    Colle le lien vers l'analyse ici.
    0
  17. jaco
     
    Je trouve pas de lien ,je peux coller ici le résultat ?
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      oui.
      0
  18. jaco
     
    Antivirus

    Version

    Last update

    Result

    AhnLab-V3

    2011.11.08.01

    2011.11.08

    -

    AntiVir

    7.11.17.87

    2011.11.08

    -

    Antiy-AVL

    2.0.3.7

    2011.11.08

    -

    Avast

    6.0.1289.0

    2011.11.08

    -

    AVG

    10.0.0.1190

    2011.11.08

    -

    BitDefender

    7.2

    2011.11.08

    -

    ByteHero

    1.0.0.1

    2011.11.04

    -

    CAT-QuickHeal

    11.00

    2011.11.08

    -

    ClamAV

    0.97.3.0

    2011.11.08

    -

    Commtouch

    5.3.2.6

    2011.11.08

    -

    Comodo

    10712

    2011.11.08

    -

    DrWeb

    5.0.2.03300

    2011.11.08

    -

    Emsisoft

    5.1.0.11

    2011.11.08

    Trojan.VBS.Seeker!IK

    eSafe

    7.0.17.0

    2011.11.08

    -

    eTrust-Vet

    36.1.8662

    2011.11.08

    -

    F-Prot

    4.6.5.141

    2011.11.08

    -

    F-Secure

    9.0.16440.0

    2011.11.08

    -

    Fortinet

    4.3.370.0

    2011.11.08

    -

    GData

    22

    2011.11.08

    -

    Ikarus

    T3.1.1.109.0

    2011.11.08

    Trojan.VBS.Seeker

    Jiangmin

    13.0.900

    2011.11.08

    -

    K7AntiVirus

    9.117.5413

    2011.11.08

    Trojan

    Kaspersky

    9.0.0.837

    2011.11.08

    -

    McAfee

    5.400.0.1158

    2011.11.08

    -

    McAfee-GW-Edition

    2010.1D

    2011.11.08

    Heuristic.BehavesLike.VBS.Exploit.D

    Microsoft

    1.7801

    2011.11.08

    Trojan:VBS/Phopaiz.A

    NOD32

    6612

    2011.11.08

    Win32/StartPage.OFC

    Norman

    6.07.13

    2011.11.08

    -

    nProtect

    2011-11-08.01

    2011.11.08

    -

    Panda

    10.0.3.5

    2011.11.08

    -

    PCTools

    8.0.0.5

    2011.11.08

    -

    Rising

    23.83.01.01

    2011.11.08

    Trojan.JS.StartPage.an

    Sophos

    4.71.0

    2011.11.08

    -

    SUPERAntiSpyware

    4.40.0.1006

    2011.11.08

    -

    Symantec

    20111.2.0.82

    2011.11.08

    -

    TheHacker

    6.7.0.1.339

    2011.11.08

    -

    TrendMicro

    9.500.0.1008

    2011.11.08

    -

    VBA32

    3.12.16.4

    2011.11.08

    -

    VIPRE

    10999

    2011.11.08

    -

    ViRobot

    2011.11.8.4761

    2011.11.08

    -

    VirusBuster

    14.1.53.1

    2011.11.08

    VBS.Iesta.B

    MD5: 115f7fff190b73cd329cb541469f12d7

    SHA1: a7866f9d4d672d2bfea16c135cb4934aed864d71

    SHA256: 8516ca7a9d26f584c36ba5a5f56ae8d6637dd3b7ade3e2654bd4d29c14bb56e1

    File size: 5488 bytes

    Scan date: 2011-11-08 20:31:45 (UTC)
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    @Carail : ouvre ton propre sujet, merci !

    @Jaco : envoie C:\Program Files (x86)\rbjcl.vbs sur www3.malekal.com
    Le but est de remonter cette infection aux éditeurs antivirus.
    Merci.

    ~~

    Une fois fait :

    'ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur OTL.exe pour le lancer.

    ▶ Copie/colle les lignes suivantes en gras et place les dans la zone "personnalisation" :


    :OTL
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://pentoweb.net/pt2.php
    O4 - HKCU\..\Run: [optical] C:\Program Files (x86)\rbjcl.vbs ()
    [2011/10/30 21:15:30 | 000,005,488 | RH-- | M] () -- C:\Program Files (x86)\rbjcl.vbs

    :commands
    [emptytemp]


    ▶ Clique sur « Correction » et laisse l''outil travailler. L''ordinateur redémarre.

    ▶ Copie/colle la totalité du rapport dans ta prochaine réponse.
    0
  20. jaco
     
    quand je vais sur www3malekal.com ça me marque It Works ! sur une page blanche
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      je me suis trompé !

      http://upload.malekal.com/
      0
  21. jaco
     
    maintenat ça me dit que les fichiers avec l'extension vbs ne peuvent pas être uploader.
    0
  • 1
  • 2