Xp antispyware 2012...

matmatmat -  
 g3n-h@ckm@n -
Bonjour,

et un de plus...mon portable est infecte depuis hier....

j ai essaye plusieurs logiciels, le seul qui ait pu s ouvrir et me donner un resultat c est OTL, j ai effectivement un rapport, http://cjoint.com/?0AmpHvAbYYc, mais là je coince, qu est ce je fais avec ca maintenant?

merci pour votre aide...

3 réponses

  1. g3n-h@ckm@n
     
    salut

    OTL montre les fichiers infectieux et ils ne partiront pas en desinstallant le programme (ce qui n'est pas possible d'ailleurs)

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    ou encore cette version renommée : Winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
    3
    1. matmatmat
       
      salut hackman...j ai utilisé la version.pif..

      voila le lien : http://pjjoint.malekal.com/files.php?read=20120112_k10b12s14l10c6

      a tt de suite...
      0
  2. g3n-h@ckm@n
     
    touche windows+R puis tape regedit

    deplie à l'aide des peitits "+" l'arborescence suivante :

    HKCU
    Software
    fAfvfSfP [fVf#f" fEfBfU [fh'Å ¶ ¬'³'ê'½f [fJf<fAfvfSfP [fVf#f"]

    clic droit sur les caractères bizarres => exporter => sur le bureau du nom que tu veux

    ensuite reclic droit dessus puis => supprimer

    =====================================

    clic droit sur la clé créée sur ton bureau => modifier

    puis colle son contenu qui s'ouvre dans ta reponse

    ensuite , ferme et supprime

    =====================================

    desinstalle adobe reader 9
    desinstalle babylon toolbar
    desinstalle clickpotatoeSA
    desinstalle Shopper/shoppingReport
    desinstalle QuestScan

    =================================

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    Lance Pre_script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "nwiz"=-
    "HP Software Update"=-
    "QuickTime Task"=-
    [-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\BrowserChoice]
    [-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\NeroFilterCheck]
    [-HKEY_CLASSES_ROOT\CLSID\{98889811-442D-49dd-99D7-DC866BE87DBC}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{98889811-442D-49dd-99D7-DC866BE87DBC}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{98889811-442D-49dd-99D7-DC866BE87DBC}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{98889811-442D-49dd-99D7-DC866BE87DBC}]
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
    "{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
    "{98889811-442D-49dd-99D7-DC866BE87DBC}"=-
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\BabylonToolbar]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ClickPotatoLiteSA]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ShopperReportsSA]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ShoppingReport2]
    [-HKEY_CLASSES_ROOT\CLSID\{2EECD738-5844-4a99-B4B6-146BF802613B}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2EECD738-5844-4a99-B4B6-146BF802613B}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\settings\{2EECD738-5844-4a99-B4B6-146BF802613B}]
    [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\ext\stats\{2EECD738-5844-4a99-B4B6-146BF802613B}]
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\URLSearchHooks]
    "{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
    "{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
    [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
    "{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    "{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
    "{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]
    "{2EECD738-5844-4a99-B4B6-146BF802613B}"=-
    [-HKCR\Applications\mediaget.exe]
    [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
    [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{4B8C28A7-A9BC-45F8-990D-21499EED643C}]
    [-HKCU\Software\BabylonToolbar]
    [-HKCU\Software\Freeze.com]
    [-HKCU\Software\Mediaget]
    [-HKCU\Software\TBSB06155]
    [-HKLM\Software\Babylon]
    [-HKLM\Software\BabylonToolbar]
    [-HKLM\Software\BrowserChoice]
    [-HKLM\Software\Freeze.com]
    [-HKLM\Software\QuestScan]
    [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
    "C:\Documents and Settings\Usuario\Configuración local\Datos de programa\MediaGet2\mediaget.exe"=-

    file::
    C:\Documents and Settings\Usuario\Escritorio\explorer1.exe
    C:\Documents and Settings\All Users\Datos de programa\580g3r5s2317
    C:\Documents and Settings\All Users\Datos de programa\667qlt8d2t7io111bougy5342
    C:\Documents and Settings\All Users\Datos de programa\eaef42d14800d95a4f63da2968a901b6_c

    folder::
    C:\Documents and Settings\Usuario\Configuración local\Datos de programa\MediaGet2
    C:\WINDOWS\$NtUninstallKB38221$
    C:\Documents and Settings\All Users\Menú Inicio\Programas\ClickPotato
    C:\Documents and Settings\Usuario\Datos de programa\Babylon
    C:\Documents and Settings\Usuario\Datos de programa\BabylonToolbar
    C:\Documents and Settings\Usuario\Datos de programa\Media Get LLC
    C:\Documents and Settings\Usuario\Datos de programa\Toolbar4
    C:\Documents and Settings\All Users\Datos de programa\Babylon
    C:\Documents and Settings\All Users\Datos de programa\Media Get LLC
    C:\Archivos de programa\BabylonToolbar

    clean::

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    ======================================

    Télécharge et enregistre ADWcleaner sur ton bureau :

    ADWCleaner (Merci à Xplode)

    Lance le,

    clique sur suppression et poste son rapport.

    =====================================

    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    ===================================

    ▶ Télécharge Reload_TDSSKiller

    ▶ Lance le

    choisis : lancer le nettoyage

    l'outil va automatiquement télécharger la derniere version puis

    TDSSKiller va s'ouvrir , clique sur "Start Scan"

    Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
    Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
    Si Suspicious file est indiqué, laisse l''option cochée sur Skip
    Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

    une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

    sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

    ▶ Copie/Colle son contenu dans ta prochaine réponse.
    0
  3. amd64 Messages postés 5459 Statut Membre 550
     
    regarde dans ajou sup de prog si il y est
    si oui tu desinstal

    sa c'est pour commencer

    si non tu me tien au courent
    -1