Virus mevio.com Redirection Google
Andréa
-
AndréaDS Messages postés 48 Statut Membre -
AndréaDS Messages postés 48 Statut Membre -
Bonjour,
Il y a déjà quelques semaine de cela, mon ordi a attrapé un virus, Data Recovery. Suite à ça, j'ai des problèmes de page explorer qui ouvre toute seule et de redirection vers des pages locales lorsque je clique sur google. Par contre, j'ai trouvé ce qui est le problème, je ne sais juste pas comment m'en débarasser... Quelqu'un sur un autre site décrivait le problème comme ceci:
My google searches keep getting redirected to places like localpages.com and mevio.com and ocassionally, a random window will just pop up.
Alors voilà mon problème, lorsque je fais une recherche sur google, et que je clique sur une proposition de google, ça m'ammène à un site des Pages jaunes.... Et ça peut importe quel programme j'utilise (Google Chrome, IExplorer....)
Le virus a rapport avec mevio.com (Site que je ne connais pas, mais qui apparait lorsque mon ordi décide d'ouvrir des pages tout seul.) Croyez-vous pouvoir m'aider à ce sujet?
Merci de donner suite à ma question!
Andréa
Il y a déjà quelques semaine de cela, mon ordi a attrapé un virus, Data Recovery. Suite à ça, j'ai des problèmes de page explorer qui ouvre toute seule et de redirection vers des pages locales lorsque je clique sur google. Par contre, j'ai trouvé ce qui est le problème, je ne sais juste pas comment m'en débarasser... Quelqu'un sur un autre site décrivait le problème comme ceci:
My google searches keep getting redirected to places like localpages.com and mevio.com and ocassionally, a random window will just pop up.
Alors voilà mon problème, lorsque je fais une recherche sur google, et que je clique sur une proposition de google, ça m'ammène à un site des Pages jaunes.... Et ça peut importe quel programme j'utilise (Google Chrome, IExplorer....)
Le virus a rapport avec mevio.com (Site que je ne connais pas, mais qui apparait lorsque mon ordi décide d'ouvrir des pages tout seul.) Croyez-vous pouvoir m'aider à ce sujet?
Merci de donner suite à ma question!
Andréa
A voir également:
- Virus mevio.com Redirection Google
- Google photo - Télécharger - Albums photo
- Créer un compte google - Guide
- Google maps - Guide
- Google maps localisation maison - Guide
- Google chrome - Télécharger - Navigateurs
18 réponses
Résumé de la discussion
Un problème de redirection des recherches Google vers des pages locales et des sites comme mevio.com survient après une infection Data Recovery, avec des fenêtres publicitaires qui s’ouvrent seules. Des conseils préconisent des outils tels que RogueKiller pour détecter et nettoyer les éléments malveillants, avec l’exécution en tant qu’administrateur et la consultation d’un rapport RK. En parallèle, certains proposent OTL et le téléchargement d’exécutables, en suivant des procédures pas à pas et en copiant les rapports générés dans la réponse. Une mention récurrente de mevio.com et de multiples redirections peut indiquer une persistance via des éléments de démarrage ou des extensions suspectes à examiner.
Tu viens de te faire virusé par un rogue ;)
* Télécharger sur le bureau RogueKiller
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 1 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
* Télécharger sur le bureau RogueKiller
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 1 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
AndréaDS
Messages postés
48
Statut
Membre
5
https://pjjoint.malekal.com/files.php?id=20111214_s14x5x14b9m15
Bonjour
On va faire une analyse de ton systéme.
* Télécharge ZHPDiag ( de Nicolas coolman ).
ou
ZHPDiag
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe
***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
On va faire une analyse de ton systéme.
* Télécharge ZHPDiag ( de Nicolas coolman ).
ou
ZHPDiag
ou
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
Ou le lien FTP en secours :
ftp://zebulon.fr/ZHPDiag2.exe
***********************
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Infection BT
Infection PUP
* Télécharge AdwCleaner sur ton Bureau. (Merci à Xplode)
*Double-clique sur l'icône AdwCleaner située sur ton Bureau.
*Sur la page, clique sur le bouton «Suppression»
*Laisse travailler l'outil.
*Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)
===============================================
* Télécharge et installe : Malwarebyte's Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Infection PUP
* Télécharge AdwCleaner sur ton Bureau. (Merci à Xplode)
*Double-clique sur l'icône AdwCleaner située sur ton Bureau.
*Sur la page, clique sur le bouton «Suppression»
*Laisse travailler l'outil.
*Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous C:\ AdwCleaner[SX].Txt)
===============================================
* Télécharge et installe : Malwarebyte's Anti-Malware
* A la fin de l'installation, veille à ce que l'option « mettre a jour Malwarebyte's Anti-Malware » soit cochée
* Lance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme)
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
* Sélectionne tes disques durs" puis clique sur "Lancer l'examen"
* A la fin du scan, clique sur Afficher les résultats
* Coche tous les éléments détectés puis clique sur Supprimer la sélection
* Enregistre le rapport
* S'il t'est demandé de redémarrer, clique sur Yes
* Poste le rapport de scan après la suppression ici.(poste le rapport, même si rien n'est détecté.)
* Si tu as besoin d'aide regarde ce tutorial
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
http://ww38.toofiles.com/fr/oip/documents/txt/mbam-log-2011-12-0323-48-14.html
rien a supprimer avec MBAM...
rien a supprimer avec MBAM...
On va faire une vérification .
Post un nouveau rapport zhpdiag.
Ouvres zhpdiag et clic sur la flèche verte pour faire la mise a jour du programme.Si mise a jour installes la.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Post un nouveau rapport zhpdiag.
Ouvres zhpdiag et clic sur la flèche verte pour faire la mise a jour du programme.Si mise a jour installes la.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
Héberge le rapport ZHPDiag.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
1/ Copie/colle les lignes suivantes en gras:
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)
----------------------------------------------------------
[HKLM\Software\Freeze.com]
[MD5.46E2D72A986DCEF5B2827311E3B5C2EC] [SPRF][2009-01-15] (.Kiwee - Installer Control.) -- C:\Windows\Downloaded Program Files\InstallerControl.dll [204800]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}]
[HKLM\Software\WOW6432Node\freeze.com]
R3 - URLSearchHook: (no name) [64Bits] - {91da5e8a-3318-4f8c-b67e-5964de3ab546} . (...) (No version) -- (.not file.)
O23 - Service: Lavasoft Ad-Aware Service (Lavasoft Ad-Aware Service) . (.Lavasoft Limited - Ad-Aware Service Application.) - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
[MD5.98070A7FCE5B4AFB24A142C6F4C25CC1] [APT] [Ad-Aware Update (Weekly)] (.Lavasoft Limited.) -- C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
[MD5.00000000000000000000000000000000] [APT] [{E176650C-D1C2-4F9E-BE4E-9CC88AE12F96}] (...) -- C:\Users\Andréa\AppData\Local\Temp\IXP074.TMP\QuickTimeInstallerAdmin.exe (.not file.)
O43 - CFD: 2010-08-24 - 17:59:24 - [0,017] ----D- C:\Program Files (x86)\Amazon
O87 - FAEL: "{F94C4A2C-DC77-403E-BCEE-122534FD77B8}" |In - None - P17 - TRUE | .(...) -- E:\setup\hpznui40.exe (.not file.)
O87 - FAEL: "{4D249FEB-B838-4E67-991E-B5B2A2E7C192}" |In - Private - P6 - TRUE | .(...) -- C:\Users\Andréa\AppData\Roaming\Dropbox\bin\Dropbox.exe (.not file.)
O87 - FAEL: "{6B745D0A-9390-4AE7-A40C-69BEE866F9C3}" |In - Private - P17 - TRUE | .(...) -- C:\Users\Andréa\AppData\Roaming\Dropbox\bin\Dropbox.exe (.not file.)
O87 - FAEL: "{DB7E5EAB-448A-45BA-871B-16276A1DE274}" |In - Public - P6 - TRUE | .(...) -- C:\Users\Andréa\AppData\Roaming\Dropbox\bin\Dropbox.exe (.not file.)
O87 - FAEL: "{AF8E6B31-E17A-4A31-9E12-597C2BBD2D6B}" |In - Public - P17 - TRUE | .(...) -- C:\Users\Andréa\AppData\Roaming\Dropbox\bin\Dropbox.exe (.not file.)
SR - | Auto 2011-11-09 2152152 | (Lavasoft Ad-Aware Service) . (.Lavasoft Limited.) - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
M2 - MFEP: prefs.js [Andréa - 5qytam89.default\{32b29df0-2237-4370-9a29-37cebb730e9b}] [] FreeSoundRecorder Community Toolbar v3.8.0.8 (.Conduit Ltd..)
M2 - MFEP: prefs.js [Andréa - 5qytam89.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Community Toolbar v3.8.0.8 (.Conduit Ltd..)
R3 - URLSearchHook: Vuze Remote Toolbar [64Bits] - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll
R3 - URLSearchHook: Vuze Remote Toolbar [64Bits] - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll
O2 - BHO: Vuze Remote [64Bits] - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll
[HKCU\Software\AppDataLow\Software\ConduitSearchScopes]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKCU\Software\AppDataLow\Software\ConduitSearchScopes]
C:\Users\Andréa\AppData\LocalLow\Vuze_Remote
EmptyTemp
FirewallRaz
--------------------------------------------------------
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l''icone représentant la lettre H (« coller les lignes Helper »)
----------------------------------------------------------
[HKLM\Software\Freeze.com]
[MD5.46E2D72A986DCEF5B2827311E3B5C2EC] [SPRF][2009-01-15] (.Kiwee - Installer Control.) -- C:\Windows\Downloaded Program Files\InstallerControl.dll [204800]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0702a2b6-13aa-4090-9e01-bcdc85dd933f}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{4260e0cc-0f75-462e-88a3-1e05c248bf4c}]
[HKLM\Software\WOW6432Node\freeze.com]
R3 - URLSearchHook: (no name) [64Bits] - {91da5e8a-3318-4f8c-b67e-5964de3ab546} . (...) (No version) -- (.not file.)
O23 - Service: Lavasoft Ad-Aware Service (Lavasoft Ad-Aware Service) . (.Lavasoft Limited - Ad-Aware Service Application.) - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
[MD5.98070A7FCE5B4AFB24A142C6F4C25CC1] [APT] [Ad-Aware Update (Weekly)] (.Lavasoft Limited.) -- C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe
[MD5.00000000000000000000000000000000] [APT] [{E176650C-D1C2-4F9E-BE4E-9CC88AE12F96}] (...) -- C:\Users\Andréa\AppData\Local\Temp\IXP074.TMP\QuickTimeInstallerAdmin.exe (.not file.)
O43 - CFD: 2010-08-24 - 17:59:24 - [0,017] ----D- C:\Program Files (x86)\Amazon
O87 - FAEL: "{F94C4A2C-DC77-403E-BCEE-122534FD77B8}" |In - None - P17 - TRUE | .(...) -- E:\setup\hpznui40.exe (.not file.)
O87 - FAEL: "{4D249FEB-B838-4E67-991E-B5B2A2E7C192}" |In - Private - P6 - TRUE | .(...) -- C:\Users\Andréa\AppData\Roaming\Dropbox\bin\Dropbox.exe (.not file.)
O87 - FAEL: "{6B745D0A-9390-4AE7-A40C-69BEE866F9C3}" |In - Private - P17 - TRUE | .(...) -- C:\Users\Andréa\AppData\Roaming\Dropbox\bin\Dropbox.exe (.not file.)
O87 - FAEL: "{DB7E5EAB-448A-45BA-871B-16276A1DE274}" |In - Public - P6 - TRUE | .(...) -- C:\Users\Andréa\AppData\Roaming\Dropbox\bin\Dropbox.exe (.not file.)
O87 - FAEL: "{AF8E6B31-E17A-4A31-9E12-597C2BBD2D6B}" |In - Public - P17 - TRUE | .(...) -- C:\Users\Andréa\AppData\Roaming\Dropbox\bin\Dropbox.exe (.not file.)
SR - | Auto 2011-11-09 2152152 | (Lavasoft Ad-Aware Service) . (.Lavasoft Limited.) - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe
M2 - MFEP: prefs.js [Andréa - 5qytam89.default\{32b29df0-2237-4370-9a29-37cebb730e9b}] [] FreeSoundRecorder Community Toolbar v3.8.0.8 (.Conduit Ltd..)
M2 - MFEP: prefs.js [Andréa - 5qytam89.default\{ba14329e-9550-4989-b3f2-9732e92d17cc}] [] Vuze Remote Community Toolbar v3.8.0.8 (.Conduit Ltd..)
R3 - URLSearchHook: Vuze Remote Toolbar [64Bits] - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll
R3 - URLSearchHook: Vuze Remote Toolbar [64Bits] - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) (6.4.0.0) -- C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll
O2 - BHO: Vuze Remote [64Bits] - {ba14329e-9550-4989-b3f2-9732e92d17cc} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Vuze_Remote\prxtbVuze.dll
[HKCU\Software\AppDataLow\Software\ConduitSearchScopes]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKLM\Software\WOW6432Node\Classes\CLSID\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ba14329e-9550-4989-b3f2-9732e92d17cc}]
[HKCU\Software\AppDataLow\Software\ConduitSearchScopes]
C:\Users\Andréa\AppData\LocalLow\Vuze_Remote
EmptyTemp
FirewallRaz
--------------------------------------------------------
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
il y a encore un problème. Lorsque je recherche des images sur google, seulement les 3-5 premières rangées apparaissent, le reste de la page est complètement blanc. Bon ça parait un peu niaiseux comme problème, mais reste que c'est encore un problème.
C'est juste un problème de serveur.On ne peut pas faire grand chose.De mon coté certaines images sont longues a apparaitre voir reste blanche.
-Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
* Lance TDSSKiller.exe
-Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur Start scan.
* Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
* Conserve l'action proposée par défaut par l'outil
- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas
* Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
* Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
C'est juste un problème de serveur.On ne peut pas faire grand chose.De mon coté certaines images sont longues a apparaitre voir reste blanche.
-Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
* Lance TDSSKiller.exe
-Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur Start scan.
* Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
* Conserve l'action proposée par défaut par l'outil
- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas
* Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
* Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
http://ww38.toofiles.com/fr/oip/documents/txt/tdsskiller26210_05122011_175242_log.html
Rien a supprimer. Le scan a duré moins de 10 secondes...
Pour ce qui est des images de google, ce n'est pas que les images sont là mais n'apparaissent pas, dans le fond je pourrais tout simplement dire qu'il n'y a rien sur la page. C'est tout blanc.
Rien a supprimer. Le scan a duré moins de 10 secondes...
Pour ce qui est des images de google, ce n'est pas que les images sont là mais n'apparaissent pas, dans le fond je pourrais tout simplement dire qu'il n'y a rien sur la page. C'est tout blanc.
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\
* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra.
* Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : Tuto Combofix
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.
/!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\
* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra.
* Héberge le rapport C:\Combofix.txt sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : Tuto Combofix
clic droit sur le parapluie en bas de ton pc et clic sur désactiver antivir.Ton parapluie doit être a présent fermé.
* Télécharge OTL sur ton bureau.
* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.
* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.
* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
winlogon.exe
userinit.exe
wininit.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT
* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Héberge le ou les rapports sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles , puis copie/colle le ou les liens fournit dans ta prochaine réponse sur le forum
PS:Tu peux retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.
* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.
* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
winlogon.exe
userinit.exe
wininit.exe
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT
* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Héberge le ou les rapports sur le site pjjoint.malekal.com ou cijoint.fr ou toofiles , puis copie/colle le ou les liens fournit dans ta prochaine réponse sur le forum
PS:Tu peux retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
essayons ainsi...
OTL: https://pjjoint.malekal.com/files.php?id=20111208_x8o8d6e8c10
Extra : https://pjjoint.malekal.com/files.php?id=20111208_p10u8o12s10p6
OTL: https://pjjoint.malekal.com/files.php?id=20111208_x8o8d6e8c10
Extra : https://pjjoint.malekal.com/files.php?id=20111208_p10u8o12s10p6
relançe OTL .
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:
:OTL
[2010-08-24 19:15:28 | 000,010,134 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{9BFCDA7C-FEA6-D810-407C-220476FC73A2}\ARPPRODUCTICON.exe
[2011-09-19 07:48:40 | 000,043,385 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{B821CDAA-34DE-46FD-87C9-E6EE7158DB5D}\_0CE5D65C672A59FCFADCFA.exe
[2011-09-19 07:48:40 | 000,043,385 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{B821CDAA-34DE-46FD-87C9-E6EE7158DB5D}\_112D608FD02CD87FDC7735.exe
[2011-09-19 07:48:40 | 000,032,579 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{B821CDAA-34DE-46FD-87C9-E6EE7158DB5D}\_853F67D554F05449430E7E.exe
[2010-01-30 23:13:40 | 000,010,134 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
[2011-04-12 21:41:16 | 000,032,579 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{E9BD5C23-EB57-45EF-8887-BF6691C50754}\_853F67D554F05449430E7E.exe
IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
FF - prefs.js..extensions.enabledItems: {ba14329e-9550-4989-b3f2-9732e92d17cc}:3.8.0.8
O3 - HKLM\..\Toolbar: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found.
DRV - (PCDSRVC{1E208CE0-FB7451FF-06020101}_0) -- c:\program files\dell support center\pcdsrvc_x64.pkms (PC-Doctor, Inc.)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = F0 E6 78 89 21 79 CC 01 [binary data]
O32 - AutoRun File - [2010-04-20 15:37:17 | 000,054,544 | R--- | M] (Electronic Arts) - E:\Autorun.exe -- [ UDF ] => Microsoft Windows NT or Infection USB
O32 - AutoRun File - [2010-03-26 23:03:00 | 000,000,049 | R--- | M] () - E:\Autorun.inf -- [ UDF ] => Légitime or Malware (Worm.Mabezat)
:commands
[EmptyTemp]
[EmptyFlash]
[CREATERESTOREPOINT]
[ResetHosts]
[Reboot]
===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:
:OTL
[2010-08-24 19:15:28 | 000,010,134 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{9BFCDA7C-FEA6-D810-407C-220476FC73A2}\ARPPRODUCTICON.exe
[2011-09-19 07:48:40 | 000,043,385 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{B821CDAA-34DE-46FD-87C9-E6EE7158DB5D}\_0CE5D65C672A59FCFADCFA.exe
[2011-09-19 07:48:40 | 000,043,385 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{B821CDAA-34DE-46FD-87C9-E6EE7158DB5D}\_112D608FD02CD87FDC7735.exe
[2011-09-19 07:48:40 | 000,032,579 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{B821CDAA-34DE-46FD-87C9-E6EE7158DB5D}\_853F67D554F05449430E7E.exe
[2010-01-30 23:13:40 | 000,010,134 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{E3E71D07-CD27-46CB-8448-16D4FB29AA13}\ARPPRODUCTICON.exe
[2011-04-12 21:41:16 | 000,032,579 | R--- | M] () -- C:\Users\Andréa\AppData\Roaming\Microsoft\Installer\{E9BD5C23-EB57-45EF-8887-BF6691C50754}\_853F67D554F05449430E7E.exe
IE - HKLM\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
FF - prefs.js..extensions.enabledItems: {ba14329e-9550-4989-b3f2-9732e92d17cc}:3.8.0.8
O3 - HKLM\..\Toolbar: (no name) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found.
DRV - (PCDSRVC{1E208CE0-FB7451FF-06020101}_0) -- c:\program files\dell support center\pcdsrvc_x64.pkms (PC-Doctor, Inc.)
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded = 1
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP = F0 E6 78 89 21 79 CC 01 [binary data]
O32 - AutoRun File - [2010-04-20 15:37:17 | 000,054,544 | R--- | M] (Electronic Arts) - E:\Autorun.exe -- [ UDF ] => Microsoft Windows NT or Infection USB
O32 - AutoRun File - [2010-03-26 23:03:00 | 000,000,049 | R--- | M] () - E:\Autorun.inf -- [ UDF ] => Légitime or Malware (Worm.Mabezat)
:commands
[EmptyTemp]
[EmptyFlash]
[CREATERESTOREPOINT]
[ResetHosts]
[Reboot]
===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .
http://ww38.toofiles.com/fr/oip/documents/log/12082011_162544.html ce rapport m'est apparu plusieurs minutes plus tard
Oui... Et j'ai des fenêtres de pop up de Internet Explorer (Toujours en provenance de IE et non des autres mozilla et chrome...) qui apparaissent... C'est pas vrm une page, mais plus une petite fenetre qui propose une offre quelquonc et j'ai le choix de cliquer sur quitter ou rester sur la page... Ily a aussi des fenêtres dans le genre des autorisations avant d'installer un programme qui apparaissent et sur ces fenêtres, il y a une adresse de marquée et c'est en provenance de mevio.com...
Ton rapport ne montre aucune redirection.
Bonjour
* Téléchargez SEAF puis lancez le.
* Copie/colle le mot ci-dessous en gras et place le dans le champs de recherche, cliquez sur "Lancer la recherche" puis patientez.
________________________________________________________________
extensions
________________________________________________________________
*Héberge le rapport SEAF sur le site cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
Bonjour
* Téléchargez SEAF puis lancez le.
* Copie/colle le mot ci-dessous en gras et place le dans le champs de recherche, cliquez sur "Lancer la recherche" puis patientez.
________________________________________________________________
extensions
________________________________________________________________
*Héberge le rapport SEAF sur le site cijoint.fr ou toofiles puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
relançe OTL .
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:
:OTL
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
CHR - plugin: iTunes Application Detector (Enabled) = C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded =
:commands
[EmptyTemp]
[CREATERESTOREPOINT]
[Reboot]
===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .
J'espére que cette fois mevio ne t'embêtera plus!!!
Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"
Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:
:OTL
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=1.0: C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll ()
CHR - plugin: iTunes Application Detector (Enabled) = C:\Program Files (x86)\iTunes\Mozilla Plugins\npitunes.dll
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page Redirect Cache_TIMESTAMP =
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,SearchDefaultBranded =
:commands
[EmptyTemp]
[CREATERESTOREPOINT]
[Reboot]
===>Copie_colle le contenu du rapport texte qui apparrait au redemarrage du pc .
J'espére que cette fois mevio ne t'embêtera plus!!!
Je ne sais pas ou il se colle mevio mais aucune trace de lui dans les rapports.
Télécharge Ad-Remover sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Ferme toutes tes applications ouvertes. /!\
* Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil.
Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur
"Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt
Télécharge Ad-Remover sur ton bureau:
http://www.teamxscript.org/adremoverTelechargement.html
/!\ Ferme toutes tes applications ouvertes. /!\
* Désactive la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner la procédure de recherche et de nettoyage de l'outil.
Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur
"Nettoyer".
Laisse travailler l'outil.
Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.
Si le rapport n'apparait pas il se trouve à cet emplacement :C:\Ad-Report-CLEAN[1].txt
On va commencer par firefox
Clic sur outil====>option====>general.
Dans l'encadré de page d'accueil tu as quelle adresse?
Clic sur outil====>option====>general.
Dans l'encadré de page d'accueil tu as quelle adresse?
J'ai tout a coup un problème bcp plus sérieux que les redirection...... Ce matin, je ne sais pas pour quelle raison, mais j'ai perdu la moitié des icônes sur mon bureau... Ah non maintenant tout a disparu sauf le dossier Ordianteur. un programme appelé Systeme Scan s'est ouvert (Virus... j'ai eu un truc semblable avant de me retrouver avec des redirection..) Je devine quil a caché tous mes icônes, mais je ne sais vraiment pas quoi faire... C'est un peu paniquant...! J'ai des photos à l'appuie, mais je n'arrive pas a les joindre à ce message... Elle sont ds ma boite de réception de courriel... Le System scan "effectue un scan" et me dit que jai 14 erreurs détectée...
Et oui a nouveau infecté!!!!
* Quitter tous les programmes en cours
* lancer sRogueKiller.exe
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Lorsque demandé, taper 2 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
====================================================
-Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
* Lance TDSSKiller.exe
-Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur Start scan.
* Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
* Conserve l'action proposée par défaut par l'outil
- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas
* Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
* Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
===================================================
fais un scan complet avec malawarebyte et postes le rapport
* Quitter tous les programmes en cours
* lancer sRogueKiller.exe
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Lorsque demandé, taper 2 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
====================================================
-Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe
* Lance TDSSKiller.exe
-Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
* Clique sur Start scan.
* Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
* Conserve l'action proposée par défaut par l'outil
- Si TDSS.tdl2 : l'option Delete sera cochée.
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée.
- Si "Suspicious object" laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas
* Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
* Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
===================================================
fais un scan complet avec malawarebyte et postes le rapport
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Andréa [Droits d'admin]
Mode: Suppression -- Date : 14/12/2011 12:15:31
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 13 ¤¤¤
[SUSP PATH] HKLM\[...]\Wow6432Node\Run : wKgaGVYnyvop.exe (C:\ProgramData\wKgaGVYnyvop.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\Andréa\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg)
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : Root.MBR ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 2631b9dca6ae6db305b408756ac20c84
[BSP] c3ba5f37cd917729e9bf6d6558ea4f68 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 73 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 145408 | Size: 16106 Mo
2 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 31602688 | Size: 984022 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] c7b1fcc75b928fd80eaef1b1a7333c9e
[BSP] 42aa4f383af15532904d4eed97f3e47b : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 73 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 145408 | Size: 16106 Mo
2 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 31602688 | Size: 984022 Mo
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Andréa [Droits d'admin]
Mode: Suppression -- Date : 14/12/2011 12:15:31
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 13 ¤¤¤
[SUSP PATH] HKLM\[...]\Wow6432Node\Run : wKgaGVYnyvop.exe (C:\ProgramData\wKgaGVYnyvop.exe) -> DELETED
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> DELETED
[HJPOL] HKLM\[...]\System : DisableTaskMgr (1) -> DELETED
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\Andréa\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg)
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
¤¤¤ Infection : Root.MBR ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
--- User ---
[MBR] 2631b9dca6ae6db305b408756ac20c84
[BSP] c3ba5f37cd917729e9bf6d6558ea4f68 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 73 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 145408 | Size: 16106 Mo
2 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 31602688 | Size: 984022 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] c7b1fcc75b928fd80eaef1b1a7333c9e
[BSP] 42aa4f383af15532904d4eed97f3e47b : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 73 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 145408 | Size: 16106 Mo
2 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 31602688 | Size: 984022 Mo
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
mirroir :
http://www.archive-host.com
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
??? NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
? Clique sur Parcourir et cherche le fichier ci-dessus.
? Clique sur Ouvrir.
? Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
? Copie ce lien dans ta réponse.
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
desactive Windows defender si présent
desactive ton pare-feu
Ferme toutes tes appilications en cours
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
mirroir :
http://www.archive-host.com
s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau
Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
??? NE LE POSTE PAS SUR LE FORUM (il est trop long)
clique sur ce lien : http://www.cijoint.fr/
? Clique sur Parcourir et cherche le fichier ci-dessus.
? Clique sur Ouvrir.
? Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt
est ajouté dans la page.
? Copie ce lien dans ta réponse.
si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
Ça a été long à faire mais finalement le voilà! https://pjjoint.malekal.com/files.php?id=20111215_j9j5g12s7k11
# Quitter tous les programmes en cours
# Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
# lancer RogueKiller.exe
# Lorsque demandé, taper 6 et valider
# Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
# Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
# Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
# lancer RogueKiller.exe
# Lorsque demandé, taper 6 et valider
# Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), colle son contenu dans la réponse
# Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.
RogueKiller V6.2.0 [12/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Andréa [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 15/12/2011 08:45:13
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
Attributs de fichiers restaures:
Bureau: Success 107 / Fail 0
Lancement rapide: Success 27 / Fail 0
Programmes: Success 44 / Fail 0
Menu demarrer: Success 245 / Fail 0
Dossier utilisateur: Success 10469 / Fail 0
Mes documents: Success 117 / Fail 0
Mes favoris: Success 109 / Fail 0
Mes images: Success 116 / Fail 0
Ma musique: Success 6267 / Fail 0
Mes videos: Success 1 / Fail 0
Disques locaux: Success 18449 / Fail 1
Sauvegarde: [FOUND] Success 30 / Fail 0
Lecteurs:
[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\HarddiskVolume4 -- 0x2 --> Restored
[G:] \Device\HarddiskVolume5 -- 0x2 --> Restored
[H:] \Device\HarddiskVolume6 -- 0x2 --> Restored
[I:] \Device\HarddiskVolume7 -- 0x2 --> Restored
¤¤¤ Infection : Rogue.FakeHDD ¤¤¤
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: Andréa [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 15/12/2011 08:45:13
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [NOT LOADED] ¤¤¤
Attributs de fichiers restaures:
Bureau: Success 107 / Fail 0
Lancement rapide: Success 27 / Fail 0
Programmes: Success 44 / Fail 0
Menu demarrer: Success 245 / Fail 0
Dossier utilisateur: Success 10469 / Fail 0
Mes documents: Success 117 / Fail 0
Mes favoris: Success 109 / Fail 0
Mes images: Success 116 / Fail 0
Ma musique: Success 6267 / Fail 0
Mes videos: Success 1 / Fail 0
Disques locaux: Success 18449 / Fail 1
Sauvegarde: [FOUND] Success 30 / Fail 0
Lecteurs:
[C:] \Device\HarddiskVolume3 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[F:] \Device\HarddiskVolume4 -- 0x2 --> Restored
[G:] \Device\HarddiskVolume5 -- 0x2 --> Restored
[H:] \Device\HarddiskVolume6 -- 0x2 --> Restored
[I:] \Device\HarddiskVolume7 -- 0x2 --> Restored
¤¤¤ Infection : Rogue.FakeHDD ¤¤¤
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
