System Fix

King James -  
 g3n-h@ckm@n -
Bonjour,

Hier soir, mauvazise surprise avec une attaque de system fix ! J 'ai vu qu'il fallait que j'utilise certains logiciels comme rogue killer donc je les ai telechargés mais maintenant j'aurais besoin d'un helper svp !

40 réponses

  • 1
  • 2
  1. g3n-h@ckm@n
     
    salut lance l'option 6 de roguekiller
    1
  2. King James
     
    Voici le premier rapport de Rogue

    RogueKiller V6.1.11 [30/11/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Pascal [Droits d'admin]
    Mode: Suppression -- Date : 01/12/2011 18:08:11

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Entrees de registre: 11 ¤¤¤
    [SUSP PATH] HKLM\[...]\Run : vMttfGqwJXmmgo.exe (C:\ProgramData\vMttfGqwJXmmgo.exe) -> DELETED
    [HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
    [HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
    [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
    [HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
    [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
    [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    127.0.0.1 localhost
    ::1 localhost
    0
  3. King James
     
    Salut alors voici le rapport après l'option 6

    RogueKiller V6.1.11 [30/11/2011] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
    Demarrage : Mode sans echec avec prise en charge reseau
    Utilisateur: Pascal [Droits d'admin]
    Mode: Raccourcis RAZ -- Date : 01/12/2011 18:24:25

    ¤¤¤ Processus malicieux: 0 ¤¤¤

    ¤¤¤ Driver: [NOT LOADED] ¤¤¤

    Attributs de fichiers restaures:
    Bureau: Success 1782 / Fail 0
    Lancement rapide: Success 10 / Fail 0
    Programmes: Success 10535 / Fail 0
    Menu demarrer: Success 188 / Fail 0
    Dossier utilisateur: Success 11069 / Fail 0
    Mes documents: Success 37 / Fail 0
    Mes favoris: Success 23 / Fail 0
    Mes images: Success 595 / Fail 0
    Ma musique: Success 869 / Fail 0
    Mes videos: Success 2 / Fail 0
    Disques locaux: Success 2279 / Fail 0
    Sauvegarde: [FOUND] Success 151 / Fail 1

    Lecteurs:
    [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
    [D:] \Device\CdRom0 -- 0x5 --> Skipped

    ¤¤¤ Infection : Rogue.FakeHDD ¤¤¤

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. g3n-h@ckm@n
     
    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    CREATERESTOREPOINT


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  6. King James
     
    Voici le lien pour OTL (j' ai utilisé cjoint.com , cijoint.fr ne repondant pas )

    http://cjoint.com/?ALbuDdZs4le

    et Voici Extras

    http://cjoint.com/?ALbuEzWnHT1
    0
  7. g3n-h@ckm@n
     
    le rogue n'est pas totalement eradiqué

    desinstalle java update 24

    ===========================

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge le rapport sur cjoint.com

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
  8. King James
     
    Le logiciel pre-scan ne fonctionne pas, meme apres renommage etc. ca m'affiche une fenetre noire d'erreur :s
    0
  9. g3n-h@ckm@n
     
    ?? le message c'est quoi ?

    t'as essayé la version .pif ?
    0
  10. King James
     
    ouais j'ai essayé. c'est pendant le controle des services drivers, une fenetre noire apparait au bout de laquelle est ecrit :

    error: Read Impossible de satisfaire à la demande en raison d'une erreur de pùr iphùrique d'E/S.

    Après gros blocage et impossible de faire quoi que ce soit meme ctrl+alt+supp ne marche pas .
    0
  11. g3n-h@ckm@n
     
    d'accord heberge C:\Pre_Scan.txt sur cjoint.com stp
    0
  12. King James
     
    Et voila

    http://cjoint.com/?ALcuqGipAtt
    0
  13. g3n-h@ckm@n
     
    ▶ Télécharge Reload_TDSSKiller

    ▶ Lance le

    choisis : lancer le nettoyage

    l'outil va automatiquement télécharger la derniere version puis

    TDSSKiller va s'ouvrir , clique sur "Start Scan"

    Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
    Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
    Si Suspicious file est indiqué, laisse l''option cochée sur Skip
    Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

    une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

    sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

    ▶ Copie/Colle son contenu dans ta prochaine réponse.
    0
  14. King James
     
    j'ai Rootkit.Boot.SST.b qui est directement sur cure, je poursuis ? Désolé mais vraiment jsuis en mode puceau là :s
    0
  15. King James
     
    Voici le lien du rapport

    http://cjoint.com/?ALdkthqXpti
    0
  16. g3n-h@ckm@n
     
    comodo me bloque cijoint.com

    heberge-le sur http://pjjoint.malekal.com
    0
  17. King James
     
    Voilou

    http://pjjoint.malekal.com/files.php?id=20111203_t6k6z6x6h8
    0
  18. g3n-h@ckm@n
     
    pre_scan devrait aller jusqu'au bout maintenant
    0
  • 1
  • 2