Ordi bloqué par privacy.. sauvegarde?

Dji -  
 g3n-h@ckm@n -
Bonjour !!

J'ai un soucis avec mon ordi.. privacy protection me bloque toutes les applications que j'essaie d'ouvrir, impossible de le supprimer, d'installer un autre antivirus.. et pas même écouter de la musique!

Avec un ami on a réussi à le supprimer.. provisoirement. Avec le mode sans échec, dans programme data et simplement supprimer l'icône. Ensuite quand on est revenu sur windows normal, il n'y était plus! Il m'a donc ensuite installer AVG, Ccleaner, Spybot... ça marchait nikel, 2 ou 3 cheval de troie mis en quarantaine.. !

Mais le lendemain mon ordi a redémarrer tout seul, et une page bizarre s'est affichée, et à tout remis comme avant, et donc avec privacy protection .. J'ai tout refait aujourd'hui, mais j'ai bien peur que ce soit provisoire.. quelqu'un sait si on peut faire une sauvegarde qui éviterai d'avoir fait tout ça pour rien ?

Merci d'avance pour votre aide!!

38 réponses

  • 1
  • 2
Résumé de la discussion

Problème récurrent de blocage par une protection de la vie privée qui empêche l'ouverture d'applications et complique la suppression, l'installation d'antivirus et l'accès à certaines fonctions système. Des indications d'infection apparaissent avec des fenêtres publicitaires et des redémarrages, et des suggestions invitent à analyser des fichiers suspects via VirusTotal et à tester des outils de pré-scan et de détection. Des solutions proposées incluent la suppression des rapports et versions non fiables, l'exécution d'applications en mode administrateur lorsque nécessaire et l'évitement d'exécutables douteux, tout en signalant que certaines pistes semblent provenir d'outils non fiables. En complément, certains proposent des outils d'analyse hors ligne et soulignent l'importance de sauvegarder les données afin de limiter les dégâts lors de futures infections.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    salut c est pasce que vous eradiquez pas totalement l infection que ca revient ^^

    vire spybot il sert à rien

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    si le lien ne fonctionne pas :

    http://www.archive-host.com

    Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné affiche les extensions des fichiers et renomme-le winlogon.exe , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  2. Dji
     
    Alors voilà, j'ai essayé les deux. Ils se sont tous les deux lancés, mais ensuite y'a eu une petite fenêtre avec une croix, qui disait que ça ne pouvait pas continuer.. :s par contre y'a bien eu les fenêtres noirs qui sont apparus..
    0
  3. Dji
     
    Je ne peux pas, je viens de réessayer. Je peux juste cliquer sur "OK".

    Ca donne ça : Line 8529 (des données de mon ordi) et Error: subscript used with non array variable.

    Voilà c'est tout ce que j'ai.. et pas le choix de cliquer sur OK :S
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. g3n-h@ckm@n
     
    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    CREATERESTOREPOINT


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens
    0
  6. Dji
     
    ça y'est j'ai lancé l'analyse, merci beaucoup !! Sinon.. ça risque de durer longtemps (pour ne pas que je reste des heures devant l'ordi quand même !)
    0
  7. Dji
     
    Bon voilà c'est déjà fini. Voici le lien qu'ils m'ont donné : http://pjjoint.malekal.com/files.php?id=OTL_20111214_u8e11y8x8e8
    0
    1. Dji
       
      extra: http://pjjoint.malekal.com/files.php?id=OTL_Extras_20111214_g11q5w8k11g8
      0
  8. g3n-h@ckm@n
     
    ok poste c:\pre_scan.txt en attendant
    0
    1. Dji
       
      ici ?
      0
    2. Dji
       
      Un virus vient d'être détecté, et avg n'a pas réussi à le trouver.. ça peut être grave??
      0
    3. g3n-h@ckm@n
       
      non via pjjoint
      0
    4. Dji
       
      Je ne trouve pas.. est ce que c'est le truc " code " ?
      0
  9. g3n-h@ckm@n
     
    comprends pas....
    0
    1. Dji
       
      C'est juste que je ne sais pas comment insérer une pièce jointe.. shame on me.
      0
    2. g3n-h@ckm@n
       
      bah tu l'as fait avec les rapports OTL plus tôt !!?
      0
  10. Dji
     
    Le voici : http://pjjoint.malekal.com/files.php?id=20111214_g8f9m5m15c9

    désolée..
    0
  11. g3n-h@ckm@n
     
    ok supprime le rapport et les autres versions que tu as et passe cette version renomée de pres_can

    http://dl.dropbox.com/u/21363431/Winlogon.exe

    0
  12. Dji
     
    C'est fait ! ça a fait pareil qu'au départ... sauff, que ça a mis un petit bloc note sur mon bureau, c'est écrit ça :

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
    IconResource=%SystemRoot%\system32\imageres.dll,-183

    et le deuxième:

    [.ShellClassInfo]
    LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21799
    0
  13. g3n-h@ckm@n
     
    alors y a un truc qui bloque violent

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>[u]Ne pas utiliser en dehors de ce cas de figure : dangereux<<<<<<<<
    =====================================================


    Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    Combofix

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >>Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage
    de l'outil.
    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."

    sur combofix renommé

    !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!


    n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
  14. Dji
     
    Soucis ! J'ai téléchargé le truc pour désinstallé AVG. C'est écrit qu'il n'y a plus rien d'actif.. pourtant quand j'ai mis le dossier renommé à mon nom en route, ils me disent que l'anti virus et l'antispyware AVG sont actifs..
    0
  15. g3n-h@ckm@n
     
    refais OTL ? doit y avoir des services qui tournent encore en fond
    0
  16. Dji
     
    http://pjjoint.malekal.com/files.php?id=OTL_20111214_y15q14j10t15p5
    0
    1. Dji
       
      http://pjjoint.malekal.com/files.php?id=OTL_Extras_20111214_v9k7x11l11u12
      0
  17. g3n-h@ckm@n
     
    mouais ca sent le rootkit maquillé ca....

    Fais analyser le(s) fichier(s) suivants sur Virustotal :

    Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

    C:\Windows\SysNative\drivers\eczeovbo.sys

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

    =================================

    ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous "Personnalisation" :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :OTL
    @Alternate Data Stream - 121 bytes -> C:\ProgramData\Temp:AB689DEA
    O34 - HKLM BootExecute: (C:\PROGRA~2\AVG\AVG2012\avgrsa.exe /sync /restart)
    O33 - MountPoints2\{c69e6983-4ae0-11e0-957f-20cf300973df}\Shell - "" = AutoRun
    O33 - MountPoints2\{c69e6983-4ae0-11e0-957f-20cf300973df}\Shell\AutoRun\command - "" = F:\iStudio.exe
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
    O16 - DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab (Java Plug-in 1.6.0_18)
    O9 - Extra 'Tools' menuitem : Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe (Safer Networking Limited)
    O4 - HKCU\..\Run: [Privacy Protection] C:\ProgramData\privacy.exe File not found
    O4 - HKLM\..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd File not found
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)
    [2011/05/06 18:48:29 | 000,002,226 | ---- | M] () -- C:\Program Files (x86)\mozilla firefox\searchplugins\babylon.xml
    [2011/11/12 03:02:08 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\Jully\AppData\Roaming\mozilla\Firefox\Profiles\f9ou8avv.default\extensions\ffxtlbr@babylon.com
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}:6.0.18
    FF - prefs.js..browser.search.defaultengine: "Ask.com"
    FF - prefs.js..browser.search.defaultenginename: "Ask.com"
    FF - prefs.js..browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=16876"
    FF - prefs.js..browser.search.order.1: "Ask.com"
    IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.babylon.com/home?AF=16876

    :Reg
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    "Adobe Reader Speed Launcher"=-

    :Files
    C:\Users\Jully\AppData\Roaming\OfferBox
    C:\Users\Jully\AppData\Roaming\AVG2012
    C:\ProgramData\FullRemove.exe
    C:\Windows\SysNative\drivers\AVG
    C:\Users\Jully\Desktop\Spybot - Search & Destroy.lnk
    C:\Users\Jully\Desktop\avg_free_stb_eu_2012_1809_free.exe

    :commands
    [emptytemp]
    [start explorer]
    [reboot]


    ▶ Clique sur "Correction" pour lancer la suppression.

    ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

    0
    1. Dji
       
      Je laisse tomber combofix alors ?
      0
  18. Dji
     
    Bon ça commence mal.. je ne trouve pas Sysnative dans windows ..
    0
    1. Dji
       
      J'ai trouvé C:\Windows\system64\drivers\eczeovbo.sys par contre..
      0
    2. Dji
       
      Il y a system32 aussi qui comporte les mêmes dossiers
      0
  19. g3n-h@ckm@n
     
    oui syswow64 pardon , sysnative est un dossier miroir
    0
  20. Dji
     
    http://www.virustotal.com/file-scan/reanalysis.html?id=f8e26da55e210d61e0adb349734ca59624238b1cb520514ecd598b79ab459a9f-1323900640
    0
  • 1
  • 2