Supprimer striking search système

victorh1 Messages postés 1 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonsoir

j'ai un problème de virus "strikingsearchsystème"
je n'ai plus accès au gestionnaire de tache; ainsi qu'a l'activation des fonctionnalités windows...
je n'arrive pas non plus à suprimer C:Windowssystem32DRIVERSmrxsmb.sys
et je ne trouve pas consrv.dll dans C:Windowssystem32
j'ai aussi éssayé TDSSKillers et OLTD ça n'a rien changé....

voici le rapport combofix :

https://pjjoint.malekal.com/files.php?id=u7v8c10n11j11u1211q13l11o12s13b7r14s14y12h9i11j614q10

37 réponses

  • 1
  • 2
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Re

    ▶ ▶ DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE

    ▶ ▶ SCRIPT PERSONNALISE A CET ORDINATEUR, NE PAS REPRODUIRE : DANGEREUX !!!!


    ▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    KillAll::
    
    File::
    C:\Windows\TEMP\logishrd\LVPrcInj01.dll
    C:\Windows\SysWow64\sho24DE.tmp      
    C:\Windows\SysWow64\MijFrc.dll    
    C:\Windows\SysWow64\sho24CE.tmp        
    
    Folder::
    C:\data    
    C:\Users\Raphaël\AppData\Local\Babylon    
    C:\Users\Raphaël\AppData\Roaming\Babylon    
    C:\ProgramData\Babylon    
    C:\Program Files\Babylon    
    C:\Program Files (x86)\Conduit    
    C:\Users\Raphaël\AppData\Local\Conduit    
    C:\ProgramData\Spybot - Search & Destroy    
    C:\Program Files (x86)\Spybot - Search & Destroy    
    C:\Program Files (x86)\PCTuto
    C:\Users\Raphaël\AppData\Roaming\PCtuto
    
    Registry::
    [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
    "SpybotSD TeaTimer"=-
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] 
    "Adobe Reader Speed Launcher"=-
    "PCTuto"=-
    
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\RunOnce] 
    "autoupdater"=-
    
    [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]  
    "AppInit_DLLs"=-
    
    Firefox::
    FF - prefs.js: browser.search.defaulturl -      
    FF - prefs.js: browser.search.selectedEngine - SweetIM Search      
    FF - prefs.js: browser.startup.homepage - about:home      
    FF - prefs.js: keyword.URL - hxxp://search.sweetim.com/search.asp?src=2&q=   
    
    
    


    ▶ Enregistre ce fichier sous le nom CFScript

    ▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

    ▶ Combofix se lance, laisse toi guider..

    ▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

    ▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
  2. victorh1
     
    Merci pour la réponse

    j'ai toujours le problème d'accès au gestionnaire de tâche, ainsi qu'a l'activation des fonctionnalités windows..(rien ne s'affiche dans la fenêtre) je ne sais pas si cela est du à "strikingsearchsystème"

    dernier rapport COMBOFIX

    http://pjjoint.malekal.com/files.php?id=c8e8g14l11l11u15r5e5d13m9g9x15v15c7f7n6g15m11z5l8
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    le problème c'est que tu as le rootkit 0access et que tu es sous 64 bits ça ne facilite pas la chose ;)

    fais analyser les 2 fichiers suivant sur virustotal.com puis colle les liens des analyses :

    c:\windows\system32\drivers\MijXfilt.sys
    c:\windows\SysWow64\TubeFinder.exe

    ~~

    ▶ Créé un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    KillAll::
    
    Rootkit::
    c:\windows\TEMP\logishrd\LVPrcInj01.dll
    
    Reboot::
    


    ▶ Enregistre ce fichier sous le nom CFScript

    ▶ Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif

    ▶ Combofix se lance, laisse toi guider..

    ▶ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis

    ▶ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
    0
  4. victorh1
     
    Toujours le même problème fonctionnalités windows et gestionnaire des taches..

    j'ai désinstallé le driver Mijxfilt.sys
    pas de problème détecté pour le fichier TubeFinder.exe sur virustotal.

    rapport ComboFix.txt

    http://pjjoint.malekal.com/files.php?id=w126l6t15j15m9q7f8n7k7q6j5w12f7d14t9j8i11n5w9
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    grrrrr

    ▶ Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau

    ▶ Double-clique sur OTM.exe pour le lancer.

    ▶ Copie la liste qui se trouve dans la balise code ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.

     
    :Files
    c:\windows\TEMP\logishrd\LVPrcInj01.dll
    


    ▶ Clique sur MoveIt! puis ferme OTM.

    ▶ Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.

    ▶ Accepte en cliquant sur YES.

    ▶ Poste le rapport situé dans C:\_OTM\MovedFiles.

    ▶ Le nom du rapport correspond au moment de sa création : date_heure.log
    0
  7. victorh1
     
    apparemment je n'ai plus les fenêtre de triking search...et pour le gestionnaire des tâches désolé mais je crois qu'en voulant supprimer trikingsearch j'ai effacé taskmgr..dans le gestionnaire, je suppose qu'il est lié à l'affichage des fonctionnalités windows...

    .merci pour vôtre aide ...
    0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    je peux voir le rapport OTM ?
    0
  9. victorh1
     
    Le voici : http://pjjoint.malekal.com/files.php?id=q1112f13x6x12i14i5i12w10j8x11f15b7p5n7d7m10p8q7q10
    0
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Grmlrnbjrbper $$ù$*¨@

    * Telecharge:: http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

    * dezippe le , Lance l'épée , executer en tant qu'administrateur sous vista/7 [img]http://imagesup.org/image[/img]

    [img]http://img256.imageshack.us/img256/6883/080229185901qa4.jpg[/img]

    * Dans le cadre , sous Input Script here , copie_colle le contenu du cadre ci dessous et clic execute:
    Files to delete:
    
    c:\windows\TEMP\logishrd\LVPrcInj01.dll


    * Après le re-démarrage, il crée un fichier log qui s'ouvrira,que tu posteras dans ta prochaine reponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:avenger.txt
    0
  11. victorh1
     
    Il n'y a pas de fichier avenger sur le disque, il confirme bien avoir retiré le fichier lodshir mais une fois redémarré le fichier est toujours présent.dans .C:WINDOWS/TEMP..j'ai éxécuter avenger en tant qu'administrateur

    j'ai un nouveau message : C:Windows/systeme32/MSVCP100.dll n'est pas conçu ^pour s'exécuter sous windows...c'est lié ?
    0
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Certainement ...

    On va essayer autrement (sans conviction)

    ▶ Télécharge ici The Avanger

    ▶ Dézippe le , lance l'épée (Clic droit > exécuter en tant qu'administrateur sous vista/7)

    ▶ Dans le cadre , sous Input Script here , copie-colle le contenu du cadre ci dessous et clic execute:
    Files to replace with dummy:
    
    c:\windows\TEMP\logishrd\LVPrcInj01.dll


    ▶ Après le re-démarrage, il crée un fichier log qui s'ouvrira, que tu posteras dans ta prochaine réponse, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
    0
  13. victorh1
     
    le fichier logishrd n'est toujours pas supprimé, et il n'y a pas de fichier avenger.text....par contre un doc.text est apparu dans windows\systeme32\temp\MPCmdRun voici le lien :

    http://pjjoint.malekal.com/files.php?id=f8c10r15f11w10d11x5l11o5g11o7x8p13h7l13m10z9u7y5x14
    0
  14. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ça c'est un log de windows defender ...

    Spybot est bien désinstallé ?
    Désactive Windows Defender et ton antivirus
    Puis refais ça
    0
  15. victorh1
     
    Bonjour
    j'ai désactiver defender spybot supprimer l'antivirus et toujours pas de fichier avenger dans c:
    bon bah je crois que je suis bon pour un formatage.....
    0
  16. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    non

    Nous allons effectuer un diagnostic de ton PC:

    Télécharge ZHPDiag

    ▶ Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et "Exécuter ZHPDiag"

    ▶ Clique sur l'icône représentant un tournevis vert et coche tout, puis sur l'icone représentant une loupe (« Lancer le diagnostic »)

    ▶ Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau.

    Voici comment procéder

    ▶ Rends toi sur pjjoint.malekal.com
    ▶ Clique sur le bouton Parcourir
    ▶ Sélectionne le fichier que tu veux héberger et clique sur Ouvrir
    ▶ Clique sur le bouton Envoyer
    ▶ Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015

    ▶ Copie le lien dans ta prochaine réponse.

    A bientôt.
    0
  17. victorh1
     
    alors voici le rapport : http://pjjoint.malekal.com/files.php?id=ZHPDiag_o14d15k7k810k7d14t15h1512j14h7i13f8w7p9l8g6d6l12
    0
  18. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Tes pubs viennent de PCTuto.

    Tu as installé des programmes PCTuto, sais-tu que le service transmet certaines informations ? comme par exemple ton adresse, numéro de télephone qui ont été saisis lors de l'inscription ?
    PCTuto modifie aussi ta page de démarrge vers lo.st, il se peux aussi que ce site transmettent certaines informations et affiche des popups de publicité.

    Pour plus d'informations se reporter à cette page : https://forum.malekal.com/viewtopic.php?t=33439&start=

    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    Lance le, clique sur [Suppression] puis patiente le temps du nettoyage.
    Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
    0
  19. victorh1
     
    fichier d'analyse:

    http://pjjoint.malekal.com/files.php?id=k14s12u10m12r10g13l12i5h12l9w6o1212f7i7x13h6z13d12g11

    Fichier de suppression:
    http://pjjoint.malekal.com/files.php?id=d11v12p15w5j5i6h11y9s13e12j1013d14t135m14r13x6s10c13

    toujours le même problème avec le gestionnaire de tâche et fonctionnalité windows
    0
  20. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Ok on y vient deux minutes :)

    Télécharge AD-Remover sur ton Bureau : (TeamXScript)

    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    OU
    https://www.androidworld.fr/ ( Miroir )

    /!\ Ferme toutes applications en cours /!\

    ▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
    ▶ Sur la page, clique sur le bouton « Scanner »
    ▶ Confirme le lancement du scan
    ▶ Laisse travailler l'outil.
    ▶ Quand il a fini, un rapport s'ouvrira : ferme le.

    ♦ Pour me transmettre le rapport utilise le site pjjoint
    0
  21. victorh1
     
    voici le rapport: http://pjjoint.malekal.com/files.php?id=d9s7q7o14n11l14s15z8v6r7c14r13n12y12x12v6z15q11s12x9
    0
  • 1
  • 2