Virus sur pc Perso/professionnel

Archange_76 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention   -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,
j'ai choppé un virus hier ... écran tout bleu dans le bureau ( plus d'icone ) ...
tous les fichiers sont cachés ...
de plus apparait à l'écran des messages ( voir l'image jointe ... )
https://imageshack.com/
Merci de m'aider à retrouver mon pc saint ....
Hervé

18 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut


    désactive ton antivirus
    désactive Windows defender si présent
    désactive ton pare-feu


    Télécharge Pre_scan (de gen-hackman)

    Si le lien ne fonctionne pas, utilise celui-ci

    ♦ Enregistre le sur ton bureau
    s'il n'est pas sur ton bureau, coupe-le de ton dossier téléchargements et colle-le sur ton bureau

    ▶ Exécute Pre_scan.
    Avertissement: Il y aura une courte extinction du bureau pendant que l'outil travaillera --> pas de panique.
    Si l'outil est bloqué, utilise cette version
    Si l'outil détecte un proxy et que tu n'en n'as pas installé clique sur "supprimer le proxy"

    ▶ Une fois qu'il aura fini, un rapport s'ouvrira.

    ♦ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier Pre_Scan.txt qui se trouve sur ton bureau (une copie est aussi à la racine : C:\Pre_Scan.txt)

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
  2. Archange_76 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    Quel est le nom du fichier a t'envoyer car le rapport ne c'est pas affiché à l'écran ...
    Il est dans le rpertoire Kill'em?
    que je le recherche
    Cordialement
    RV
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    il est sur le bureau ou à C:\

    Pre_Scan.txt
    0
  4. Archange_76 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    désolé, je l'ai trouvé mais le lien http://www.cijoint.fr/ ne fonctionne pas
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ouais ils sont en panné dsl

    utilise http://pjjoint.malekal.com
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ouep pre scan a buggué

    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
    0
  8. Archange_76 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    # AdwCleaner v1.317 - Rapport créé le 09/11/2011 à 11:49:50
    # Mis à jour le 06/11/11 à 14h par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : MOMO - MONIQUE (Administrateur)
    # Exécuté depuis : C:\Documents and Settings\MOMO\Local Settings\Temporary Internet Files\Content.IE5\KWGLD5TA\adwcleaner0[1].exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Babylon
    Dossier Supprimé : C:\Documents and Settings\MOMO\Application Data\Babylon

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\FBSearch
    Clé Supprimée : HKCU\Software\TBSB07183
    Clé Supprimée : HKLM\SOFTWARE\Classes\BHO.PSHelper
    Clé Supprimée : HKLM\SOFTWARE\Classes\BHO.PSHelper.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\ComObject.DeskbarEnabler
    Clé Supprimée : HKLM\SOFTWARE\Classes\ComObject.DeskbarEnabler.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\TBSB07183.IEToolbar
    Clé Supprimée : HKLM\SOFTWARE\Classes\TBSB07183.IEToolbar.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\TBSB07183.TBSB07183
    Clé Supprimée : HKLM\SOFTWARE\Classes\TBSB07183.TBSB07183.3
    Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.XBTBPos00
    Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.XBTBPos00.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\URLSearchHook.ToolbarURLSearchHook
    Clé Supprimée : HKLM\SOFTWARE\Classes\URLSearchHook.ToolbarURLSearchHook.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BHO.DLL
    Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{055069F3-F78B-4BD1-A277-FE66648D3300}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{57CADC46-58FF-4105-B733-5A9F3FC9783C}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CA3EB689-8F09-4026-AA10-B9534C691CE0}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{4897BBA6-48D9-468C-8EFA-846275D7701B}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{E67D5BC7-7129-493E-9281-F47BDAFACE4F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{45D59156-647B-4B06-B20E-0E297A1077BD}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{9EBB289A-2D7B-465B-825F-1530B813E95A}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{BE990A32-C2EC-4654-8FD0-26FECEA81998}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{CD5C92AE-97B0-4BC3-BA65-BA0308D543BF}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4509D3CC-B642-4745-B030-645B79522C6D}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{3088C799-9630-4719-A471-4544D7CABC2D}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\TBSB07183.TBSB07183Toolbar
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{1BB22D38-A411-4B13-A746-C2A4F4EC7344}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v7.0.5730.11

    [OK] Le registre ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [3711 octets] - [09/11/2011 11:49:50]

    *************************

    Dossier Temporaire : 24 dossier(s)et 5 fichier(s) supprimés

    ########## EOF - C:\AdwCleaner[S1].txt - [3931 octets] ##########
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Télécharge AD-Remover sur ton Bureau : (TeamXScript)

    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    OU
    https://www.androidworld.fr/ ( Miroir )

    /!\ Ferme toutes applications en cours /!\

    ▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
    ▶ Sur la page, clique sur le bouton « Scanner »
    ▶ Confirme le lancement du scan
    ▶ Laisse travailler l'outil.
    ▶ Quand il a fini, un rapport s'ouvrira : ferme le.

    ♦ Pour me transmettre le rapport utilise pjjoint
    0
  10. G-H
     
    salut explique le deroulement du travail de pre_scan stp il n'a jamais beugué à cet endroit et ca fait 2 mois que j'ai pas modifié cette partie donc j'aimerais savoir exactement merci
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    explique si tu as eu un message d'erreur ou autre car pre scan a planté ...

    ▶ Relance AD-Remover, clique sur [ Nettoyer ]
    ▶ Laisse le pc redémarrer.
    ▶ Une fois revenu sur le bureau, le rapport devrait s'ouvrir : ferme-le

    ♦ Pour me transmettre le rapport utilise pjjoint
    0
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ok démarre en mode sans échec et retente pre scan ?

    Démarrer Windows en « mode sans échec »

    - Au démarrage de l'ordinateur presser successivement (intervalle d'une seconde) la touche F8 jusqu'à arriver au menu de démarrage avancé permettant de sélectionner le Mode sans échec.
    - Vous naviguez dans le menu jusqu'à l'option « Mode sans échec » grâce aux flèches de direction.
    - Validez avec la touche Entrée.

    Note : Sur certains ordinateurs, c'est la touche F5 qu'il convient d'utiliser.
    0
  13. Archange_76 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    OKETTE Merci
    0
  14. G-H
     
    j'ai compris pourquoi il s'arretait , tu ne l'enregistres pas sur le bureau tu l'executes directement à partir d'internet (comme tous les autres outils apparement , et c'est pour ca qu ils en ratent la moitié )donc le processus est automatiquement stoppé par lui-meme (d'où l'importantce de bien lire les consignes) !!

    C:\Documents and Settings\MOMO\Local Settings\Temporary Internet Files\Content.IE5\53N2SRO0\Pre_scan[1].exe - MOMO - Normal - "C:\Documents and Settings\MOMO\Local Settings\Temporary Internet Files\Content.IE5\53N2SRO0\Pre_scan[1].exe"

    ======================================

    si presents :

    desinstalle SPGSA
    desinstalle Fast Browser Search
    desinstalle adobe reader 7

    ====================================

    ▶ Télécharge Reload_TDSSKiller

    ▶ Lance le

    choisis : lancer le nettoyage

    l'outil va automatiquement télécharger la derniere version puis

    TDSSKiller va s'ouvrir , clique sur "Start Scan"

    Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
    Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
    Si Suspicious file est indiqué, laisse l''option cochée sur Skip
    Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

    une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

    sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

    ▶ Copie/Colle son contenu dans ta prochaine réponse.

    =====================================

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    Lance Pre_script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Registry::
    [-HKEY_CLASSES_ROOT\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}]
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{1BB22D38-A411-4B13-A746-C2A4F4EC7344}"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{1BB22D38-A411-4B13-A746-C2A4F4EC7344}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{1BB22D38-A411-4B13-A746-C2A4F4EC7344}"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
    "{1BB22D38-A411-4B13-A746-C2A4F4EC7344}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{1BB22D38-A411-4B13-A746-C2A4F4EC7344}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{1BB22D38-A411-4B13-A746-C2A4F4EC7344}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
    "{1BB22D38-A411-4B13-A746-C2A4F4EC7344}"=-
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{AC76BA86-7AD7-1036-7B44-A70800000002}]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
    [-HKLM\Software\BrowserChoice]

    folder::
    C:\DOCUMENTS AND SETTINGS\MOMO\LOCAL SETTINGS\Temp\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}
    C:\DOCUMENTS AND SETTINGS\MOMO\LOCAL SETTINGS\Temp\esauvegarde

    attrib::

    clean::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

    =======================================
    0
  15. Archange_76 Messages postés 11 Date d'inscription   Statut Membre Dernière intervention  
     
    TDSSKiller ne se lance pas !!!!
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      t as enregistré sur le bureau?
      t as essayé pre script ?
      0