Problème virus system fix
Baltek
-
kalimusic Messages postés 14619 Statut Contributeur sécurité -
kalimusic Messages postés 14619 Statut Contributeur sécurité -
Bonjour,
Petit problème, j'ai vu que quelques personnes avaient déjà ouvert un sujet là-dessus. Voilà j'ai attrapé le fameux virus System fix, et j'ai peine à m'en débarrasser, en fouinant un peu, j'ai vu que la première étape consistait à faire un scan avec RogueKiller, est-ce que quelqu'un pourrait maintenant me guider, voici les résultats de RK:
RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Eric et Geneviève [Droits d'admin]
Mode: Recherche -- Date : 08/12/2011 15:03:11
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 11 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{E0AACCA7-0454-4A62-A1AF-4C0C149E04A0} : NameServer (10.10.7.14,10.10.6.23) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
Termine : << RKreport[1].txt >>
RKreport[1].txt
J'ai par la suite démarrer l'option 2, et voici les résultats:
RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Eric et Geneviève [Droits d'admin]
Mode: Suppression -- Date : 08/12/2011 15:14:56
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 11 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NOT REMOVED, USE PROXYFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{E0AACCA7-0454-4A62-A1AF-4C0C149E04A0} : NameServer (10.10.7.14,10.10.6.23) -> NOT REMOVED, USE DNSFIX
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Maintenant, que faire?
Petit problème, j'ai vu que quelques personnes avaient déjà ouvert un sujet là-dessus. Voilà j'ai attrapé le fameux virus System fix, et j'ai peine à m'en débarrasser, en fouinant un peu, j'ai vu que la première étape consistait à faire un scan avec RogueKiller, est-ce que quelqu'un pourrait maintenant me guider, voici les résultats de RK:
RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Eric et Geneviève [Droits d'admin]
Mode: Recherche -- Date : 08/12/2011 15:03:11
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 11 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> FOUND
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{E0AACCA7-0454-4A62-A1AF-4C0C149E04A0} : NameServer (10.10.7.14,10.10.6.23) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
Termine : << RKreport[1].txt >>
RKreport[1].txt
J'ai par la suite démarrer l'option 2, et voici les résultats:
RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Eric et Geneviève [Droits d'admin]
Mode: Suppression -- Date : 08/12/2011 15:14:56
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 11 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> NOT REMOVED, USE PROXYFIX
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{E0AACCA7-0454-4A62-A1AF-4C0C149E04A0} : NameServer (10.10.7.14,10.10.6.23) -> NOT REMOVED, USE DNSFIX
[HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1)
[HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
[...]
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
Maintenant, que faire?
A voir également:
- Problème virus system fix
- Reboot system now - Guide
- Fix it - Télécharger - Optimisation
- Virus mcafee - Accueil - Piratage
- Cette action ne peut pas être réalisée car le fichier est ouvert dans system - Guide
- Mail delivery system ✓ - Forum Virus
19 réponses
re,
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes restants.
Télécharge OTL (de OldTimer) sur ton Bureau.
Ferme toutes tes applications en cours
● Lance OTL.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● L'interface principale s'ouvre :
● Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal
● Coche la case également Tous les utilisateurs
● Laisse tous les autres paramètres par défaut
● Dans la partie du bas "Personnalisation", copie/colle la liste en citation :
netsvcs msconfig safebootminimal safebootnetwork /md5start volsnap.* explorer.exe winlogon.exe userinit.exe svchost.exe /md5stop %temp%\*.exe /s %ALLUSERSPROFILE%\Application Data\*.exe /s %ALLUSERSPROFILE%\Application Data\*. %APPDATA%\*.exe /s %APPDATA%\*. %SYSTEMDRIVE%\*.exe %systemroot%\system32\*.dll /lockedfiles %systemroot%\Tasks\*.job /lockedfiles %systemroot%\system32\drivers\*.sys /lockedfiles hklm\software\clients\startmenuinternet|command /rs CREATERESTOREPOINT
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● 2 rapports vont s'ouvrir au format bloc-note :
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)
● Ne les poste pas sur le forum, ils seraient trop long
● Héberge les sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
● Tu obtiendras 2 liens que tu me donneras dans ton prochain message.
A +
Baltek,
1. Désinstalle Spybot S&D, logiciel obsolète et inutile :
● Désactive le module Tea Timer
● Dé-vaccine
● Désinstalle
2. Désinstalle Spyware Doctor 7.0
Ce logiciel est distribué par de faux blogs de sécurité :
https://forum.malekal.com/viewtopic.php?t=12847&start=
Ainsi que : Browser Defender 2.0.6.15
3. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle le texte hébergé ici
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles
4. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
● Clique dans l'onglet du haut "Recherche"
● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
● Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
● Clique sur OK puis "Afficher les résultats"
● Choisis l'option "Supprimer la sélection"
● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
● Sinon le rapport s'ouvre automatiquement après la suppression.
5. Héberge les rapports et donne moi les liens.
A +
1. Désinstalle Spybot S&D, logiciel obsolète et inutile :
● Désactive le module Tea Timer
● Dé-vaccine
● Désinstalle
2. Désinstalle Spyware Doctor 7.0
Ce logiciel est distribué par de faux blogs de sécurité :
https://forum.malekal.com/viewtopic.php?t=12847&start=
Ainsi que : Browser Defender 2.0.6.15
3. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle le texte hébergé ici
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles
4. Télécharge MBAM et installe le selon l'emplacement par défaut.
(l'essai de la version pro est facultative)
● Effectue la mise à jour et lance Malwarebytes' Anti-Malware
● Clique dans l'onglet du haut "Recherche"
● Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
● Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
● Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
● Clique sur OK puis "Afficher les résultats"
● Choisis l'option "Supprimer la sélection"
● Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
● Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
● Sinon le rapport s'ouvre automatiquement après la suppression.
5. Héberge les rapports et donne moi les liens.
A +
Baltek,
Si tu n'as plus de redirections, c'est déjà bien, elles étaient du au rootkit TDL3.
Tu n'as pas besoin de renommer ComboFix comme je l'ai indiqué.
A +
Si tu n'as plus de redirections, c'est déjà bien, elles étaient du au rootkit TDL3.
Tu n'as pas besoin de renommer ComboFix comme je l'ai indiqué.
A +
Bonsoir,
1. Relance RK avec l'option 4
Poste le rapport
2. Relance RK avec l'option 5
Poste le rapport
3. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
● Lance TDSSKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
● Conserve l'action proposée par défaut par l'outil
- Pour TDSS.tdl2 : l'option Delete sera cochée.
- Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
- Pour "Suspicious object" laisse sur "Skip"
- Attention pour Rootkit.Win32.ZAccess :
-- Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
4. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
1. Relance RK avec l'option 4
Poste le rapport
2. Relance RK avec l'option 5
Poste le rapport
3. Télécharge l'utilitaire TDSSKiller (de Kaspersky) sur ton Bureau.
● Lance TDSSKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Clique sur Start scan.
● Laisse l'outil balayer ton système sans l'interrompre et sans utiliser le PC.
● Conserve l'action proposée par défaut par l'outil
- Pour TDSS.tdl2 : l'option Delete sera cochée.
- Pour TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure est bien cochée.
- Pour "Suspicious object" laisse sur "Skip"
- Attention pour Rootkit.Win32.ZAccess :
-- Choisir Cure pour les fichiers .sys et Delete pour le fichier .exe
● Clique sur Continue puis sur Reboot now si le redémarrage est proposé.
● Le rapport se trouve à la racine du disque principal : C:\TDSSKiller.n° de version_date_heure_log.txt
4. Héberge le rapport sur un des sites suivants :
https://www.cjoint.com/
http://pjjoint.malekal.com/
https://textup.fr/
Tu obtiendras un lien que tu me donneras dans ton prochain message afin que je puisse le consulter.
A +
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voici ce que le résultat de l'option 4 m'a donné:
RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Eric et Geneviève [Droits d'admin]
Mode: Proxy RAZ -- Date : 08/12/2011 15:28:04
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Entrees de registre: 1 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0)
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
L'option 5 me donne:
RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Eric et Geneviève [Droits d'admin]
Mode: DNS RAZ -- Date : 08/12/2011 15:31:09
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Entrees de registre: 1 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{E0AACCA7-0454-4A62-A1AF-4C0C149E04A0} : NameServer (10.10.7.14,10.10.6.23) -> REPLACED ()
Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Eric et Geneviève [Droits d'admin]
Mode: Proxy RAZ -- Date : 08/12/2011 15:28:04
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Entrees de registre: 1 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyEnable (1) -> REPLACED (0)
Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
L'option 5 me donne:
RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Eric et Geneviève [Droits d'admin]
Mode: DNS RAZ -- Date : 08/12/2011 15:31:09
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Entrees de registre: 1 ¤¤¤
[DNS] HKLM\[...]\ControlSet001\Parameters\Interfaces\{E0AACCA7-0454-4A62-A1AF-4C0C149E04A0} : NameServer (10.10.7.14,10.10.6.23) -> REPLACED ()
Termine : << RKreport[4].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
voici pour OTL après l'étape de la correction:
Files\Folders moved on Reboot...
File move failed. E:\AutoRun.exe scheduled to be moved on reboot.
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
Registry entries deleted on Reboot...
Files\Folders moved on Reboot...
File move failed. E:\AutoRun.exe scheduled to be moved on reboot.
File move failed. C:\Windows\System32\drivers\etc\Hosts scheduled to be moved on reboot.
Registry entries deleted on Reboot...
Bonjour,
La correction OTL n'a été correctement effectuée ou le rapport est incomplet.
Il faut copier/coller l'intégralité du script hébergé.
Recommence stp puis enchaine sur Malwarebytes.
A +
La correction OTL n'a été correctement effectuée ou le rapport est incomplet.
Il faut copier/coller l'intégralité du script hébergé.
Recommence stp puis enchaine sur Malwarebytes.
A +
Bonjour kalimusic,
Je me doutais bien que quelque chose n'allait pas, hier on dirait que OTL a bloqué après un certain temps, et lorsque j'ai redémarré moî-même, après 10 minutes de ce programme ne répond pas. J'ai quand même démarré Malware Bytes hier, mais après 1h30 et plus de 150000 fichiers scannés le programme travaillait toujours.
Je te tiens au courant dès que je reviens du travail plus tard ce soir.
Merci de ta patience et de ton aide.
Je me doutais bien que quelque chose n'allait pas, hier on dirait que OTL a bloqué après un certain temps, et lorsque j'ai redémarré moî-même, après 10 minutes de ce programme ne répond pas. J'ai quand même démarré Malware Bytes hier, mais après 1h30 et plus de 150000 fichiers scannés le programme travaillait toujours.
Je te tiens au courant dès que je reviens du travail plus tard ce soir.
Merci de ta patience et de ton aide.
Pas de soucis, il y a aussi le décalage horaire.
Ne refait pas la correction OTL si ça bloquait.
On avisera après le rapport de scan de Malwarebytes.
A +
Ne refait pas la correction OTL si ça bloquait.
On avisera après le rapport de scan de Malwarebytes.
A +
Bon voici le rapport de Malwarebytes. Je dois dire que malgré cela, je ne vois toujours plus mes icônes sur mon bureau ainsi que dans mon menu de démarrage... pas plus que je vois la barre de lancement rapide.
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 8338
Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421
2011-12-10 12:13:56
mbam-log-2011-12-10 (12-13-56).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 338686
Temps écoulé: 1 heure(s), 40 minute(s), 44 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 8338
Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421
2011-12-10 12:13:56
mbam-log-2011-12-10 (12-13-56).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 338686
Temps écoulé: 1 heure(s), 40 minute(s), 44 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Bonjour,
Je ne me souvenais pas que tu avais ce soucis.
Relance RogueKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Lorsque demandé, tape 6 et valide.
● Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), copie/colle le sur le forum.
A +
Je ne me souvenais pas que tu avais ce soucis.
Relance RogueKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Lorsque demandé, tape 6 et valide.
● Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), copie/colle le sur le forum.
A +
RogueKiller V6.1.12 [02/12/2011] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Eric et Geneviève [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 10/12/2011 16:25:47
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
Attributs de fichiers restaures:
Bureau: Success 140 / Fail 0
Lancement rapide: Success 1 / Fail 0
Programmes: Success 1334 / Fail 0
Menu demarrer: Success 41 / Fail 0
Dossier utilisateur: Success 3271 / Fail 0
Mes documents: Success 3677 / Fail 0
Mes favoris: Success 36 / Fail 0
Mes images: Success 145 / Fail 0
Ma musique: Success 4 / Fail 0
Mes videos: Success 2 / Fail 0
Disques locaux: Success 24632 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[G:] \Device\HarddiskVolume4 -- 0x2 --> Restored
[H:] \Device\HarddiskVolume5 -- 0x2 --> Restored
[I:] \Device\HarddiskVolume6 -- 0x2 --> Restored
[J:] \Device\HarddiskVolume7 -- 0x2 --> Restored
[K:] \Device\HarddiskVolume3 -- 0x2 --> Restored
¤¤¤ Infection : ¤¤¤
Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: Eric et Geneviève [Droits d'admin]
Mode: Raccourcis RAZ -- Date : 10/12/2011 16:25:47
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
Attributs de fichiers restaures:
Bureau: Success 140 / Fail 0
Lancement rapide: Success 1 / Fail 0
Programmes: Success 1334 / Fail 0
Menu demarrer: Success 41 / Fail 0
Dossier utilisateur: Success 3271 / Fail 0
Mes documents: Success 3677 / Fail 0
Mes favoris: Success 36 / Fail 0
Mes images: Success 145 / Fail 0
Ma musique: Success 4 / Fail 0
Mes videos: Success 2 / Fail 0
Disques locaux: Success 24632 / Fail 0
Sauvegarde: [NOT FOUND]
Lecteurs:
[C:] \Device\HarddiskVolume1 -- 0x3 --> Restored
[D:] \Device\HarddiskVolume2 -- 0x3 --> Restored
[E:] \Device\CdRom0 -- 0x5 --> Skipped
[G:] \Device\HarddiskVolume4 -- 0x2 --> Restored
[H:] \Device\HarddiskVolume5 -- 0x2 --> Restored
[I:] \Device\HarddiskVolume6 -- 0x2 --> Restored
[J:] \Device\HarddiskVolume7 -- 0x2 --> Restored
[K:] \Device\HarddiskVolume3 -- 0x2 --> Restored
¤¤¤ Infection : ¤¤¤
Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
Baltek,
As tu retrouvé ton bureau ?
Relance OTL
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la section Rapport , coche Rapport minimal
● Laisse tous les autres paramètres par défaut
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Après le balayage, un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
● Héberge le rapport et donne moi le lien.
A +
As tu retrouvé ton bureau ?
Relance OTL
- Sous Vista/Seven : clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la section Rapport , coche Rapport minimal
● Laisse tous les autres paramètres par défaut
● Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.
● Après le balayage, un nouveau rapport OTL.txt va s'ouvrir au format bloc-note
● Héberge le rapport et donne moi le lien.
A +
Bonjour Baltek,
Tu ne m'as pas dit si tu avais retrouvé ton bureau.
1. Relance RogueKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Lorsque demandé, tape 3 et valide.
● Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable).
2. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle :
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)
3. héberge les rapports et donne moi les liens
Encore des soucis ?
A +
Tu ne m'as pas dit si tu avais retrouvé ton bureau.
1. Relance RogueKiller.exe
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Lorsque demandé, tape 3 et valide.
● Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable).
2. Relance OTL
- Sous XP double-clic sur l'icône pour lancer l'outil.
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
● Dans la partie "Personnalisation", copie/colle :
:OTL [2008-11-14 13:21:13 | 000,002,273 | ---- | M] () -- C:\Users\Eric et Geneviève\AppData\Roaming\Mozilla\Firefox\Profiles\tewgpyyo.default\searchplugins\ask.xml [2011-12-01 20:34:49 | 000,000,448 | ---- | M] () -- C:\ProgramData\Ez1PhuTS0gSLqt [2011-12-01 20:33:52 | 000,000,312 | -H-- | M] () -- C:\ProgramData\~Ez1PhuTS0gSLqt [2011-12-01 20:33:51 | 000,000,216 | -H-- | M] () -- C:\ProgramData\~Ez1PhuTS0gSLqtr :Commands [emptytemp]
● Clique sur le bouton Correction.
● Patiente pendant le travail de l'outil, il doit ensuite redémarrer le PC.
● Accepte en cliquant sur OK.
● Le rapport indiquant les actions réalisées par OTL doit s'ouvrir spontanément.
Tu peux le retrouver le fichier à la racine du disque : C:\_OTL\MovedFiles (Vérifie la date si besoin : jjmmaaaa_xxxxxxxx.log)
3. héberge les rapports et donne moi les liens
Encore des soucis ?
A +
J'ai effectivement retrouvé mon bureau, mais pas ma barre de lancement rapide. De plus mon fond d'écran est un rose total plutôt que le fond d'écran que j'avais mis.
Rapport Rogue Killer:
http://cjoint.com/?0Lmgtrkeyqu
Rapport Rogue Killer:
http://cjoint.com/?0Lmgtrkeyqu
Voici suite à OTL:
http://cjoint.com/?0LmgKBEMLHc
j'ai remarqué une différence dans le sens que précédant cette dernière vérification d'OTL, j'avais tout le temps mon programme de HP qui refusait de démarrer, ou semblait bloqué à l'étape de la tentative d'ouverture, et maintenant plus de soucis. Il ne reste que mon fond d'écran de problématique. Par contre, j'ai remarqué que lorsque je fais une recherche google, ça me redirige toujours à un autre site qui n'est pas en lien avec ce que j'ai recherché. Ce problème n'a pas été réglé par toutes les opérations. :(
http://cjoint.com/?0LmgKBEMLHc
j'ai remarqué une différence dans le sens que précédant cette dernière vérification d'OTL, j'avais tout le temps mon programme de HP qui refusait de démarrer, ou semblait bloqué à l'étape de la tentative d'ouverture, et maintenant plus de soucis. Il ne reste que mon fond d'écran de problématique. Par contre, j'ai remarqué que lorsque je fais une recherche google, ça me redirige toujours à un autre site qui n'est pas en lien avec ce que j'ai recherché. Ce problème n'a pas été réglé par toutes les opérations. :(
Bonjour,
Pour le fond d'écran, as tu essayé de remettre le tiens pas clic-droit "Propriétés"
Pour la barre de lancement rapide, tu aurais du la retrouver effectivement.
On a tué le rogue, restaurer la plupart des paramètres, désinfecté un rootkit TDL3, c'est déjà ça.
Tu m'avais dit que tu avais des redirections ?! Je ne crois pas.
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! ) en le renommant avant de l'enregistrer .exe
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarre l'ordinateur.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● Héberge le rapport et donne moi le lien.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
Pour le fond d'écran, as tu essayé de remettre le tiens pas clic-droit "Propriétés"
Pour la barre de lancement rapide, tu aurais du la retrouver effectivement.
On a tué le rogue, restaurer la plupart des paramètres, désinfecté un rootkit TDL3, c'est déjà ça.
Tu m'avais dit que tu avais des redirections ?! Je ne crois pas.
== == == == == == == == == == == == == == == == == == == == == ==
Sauvegarde tes documents les plus importants.
== == == == == == == == == == == == == == == == == == == == == ==
Télécharge ComboFix de sUBs sur ton bureau (et nulle part ailleurs ! ) en le renommant avant de l'enregistrer .exe
!! Ferme toutes tes applications en cours et désactive les protections résidentes de ton PC (Antivirus, Antispywares, Firewall, etc...) !!
Regarde attentivement ce tutoriel pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Si besoin, imprime ce dont tu auras besoin, car ensuite toutes les fenêtres doivent être fermés.
● Lance ComboFix
● Accepte la licence d'utilisation et laisse toi guider par le programme.
● Accepte d'installer la console de récupération si tu es sous XP
● Autorise ComboFix a se connecter à internet pour les mises à jour si besoin.
● Il est possible que l'outil est besoin de redémarre l'ordinateur.
!! Surtout ne rien faire et ne rien toucher pendant le travail de l'outil !!
(risque de plantage complet de l'ordinateur)
● A la fin ComboFix indique l'emplacement du rapport et l'ouvre spontanément.
● Héberge le rapport et donne moi le lien.
!! Réactive les protections résidentes de ton PC !!
Note : Le rapport se trouve normalement à la racine du disque: C:\ComboFix.txt
A +
Je suis au travail actuellement, alors je ferai tout ça en revenant ce soir à la maison. Mais pour les redirections que je te parlais, ça arrivait lorsque je faisais une recherche dans Google. Mais depuis que tu m'as fait faire toutes ces étapes, ça aussi ça a disparut, alors c'est très bien.
Je te tiens au courant plus tard des résultats de Combofix.
Je te tiens au courant plus tard des résultats de Combofix.
