A voir également:
- Virus gendarmerie
- Svchost.exe virus - Guide
- Youtu.be virus - Guide
- La gendarmerie peut elle appeler avec un portable - Forum Vos droits sur internet
- Operagxsetup virus ✓ - Forum Virus
- Faux message virus iphone ✓ - Forum iPhone
17 réponses
Utilisateur anonyme
20 janv. 2012 à 21:09
20 janv. 2012 à 21:09
Bonsoir
Le mode invite de commande ne fonctionne pas,
pour procéder à une restauration?
@+
Le mode invite de commande ne fonctionne pas,
pour procéder à une restauration?
@+
bonsoir
oui je voulait suivre la procedure pour desinfecter mon pc mais je reviens
automatiquement sur la page du virus
J ai une version vista sur ce pc
oui je voulait suivre la procedure pour desinfecter mon pc mais je reviens
automatiquement sur la page du virus
J ai une version vista sur ce pc
Utilisateur anonyme
20 janv. 2012 à 21:24
20 janv. 2012 à 21:24
Re
On reprend:
Tu procèdes comme pour accéder au mode sans échec mais tu choisis:
Invite de commande en mode sans échec :
Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).
@ pour espace
cd \
cd@windows
cd@system32
rstrui
Pour obtenir :
C : \windows \system32 > rstrui
Cela te permettra d'accéder à la restauration
@+
On reprend:
Tu procèdes comme pour accéder au mode sans échec mais tu choisis:
Invite de commande en mode sans échec :
Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).
@ pour espace
cd \
cd@windows
cd@system32
rstrui
Pour obtenir :
C : \windows \system32 > rstrui
Cela te permettra d'accéder à la restauration
@+
lorsque je tape sur invite de commande le pc se charge comme en mode normal mon bureau s ouvre et de suite c est a nouveau la page du virus
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
20 janv. 2012 à 21:57
20 janv. 2012 à 21:57
Re
Et bien lance OTLPE
* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune
* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK
* sous Custom Scan box
1) copie_colle le contenu du cadre ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
aec.sys
rasacd.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
explorer.exe
winlogon.exe
wininit.exe
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
* 2) Clic Run Scan pour démarrer le scan.
* Une fois terminé , le fichier se trouve là C:\OTL.txt
* Copie_colle le contenu dans ta prochaine réponse.
@+
Et bien lance OTLPE
* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune
* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK
* sous Custom Scan box
1) copie_colle le contenu du cadre ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
aec.sys
rasacd.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
explorer.exe
winlogon.exe
wininit.exe
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
* 2) Clic Run Scan pour démarrer le scan.
* Une fois terminé , le fichier se trouve là C:\OTL.txt
* Copie_colle le contenu dans ta prochaine réponse.
@+
voici le rapport de scan que j'ai effectué hier soir
http://pjjoint.malekal.com/files.php?id=OTL_20120121_d138j6i14q15
http://pjjoint.malekal.com/files.php?id=OTL_20120121_d138j6i14q15
Utilisateur anonyme
21 janv. 2012 à 21:14
21 janv. 2012 à 21:14
Re
* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", selectionne "Yes"
* quand demandé "Do you wish to load remote user profile(s) for scanning", selectionne "Yes"
* verifier que "Automatically Load All Remaining Users" est sélectionné et presse OK
http://imagesup.org/image
* sous Custom Scan box copie_colle le tout ci dessous et clic RUNFIX
:OTL
O2 - BHO: (no name) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - No CLSID value found.
O4 - HKU\TINS_ON_C..\Run: [jgywybxc.exe] C:\Users\TINS\AppData\Roaming\jgywybxc.exe (Don HO don.h@free.fr)
:Files
C:\Users\TINS\AppData\Roaming\jgywybxc.exe
tu conserves le rapport qui s'affiche ; et tu le copies et colles dans ta prochaine réponse
@+
* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", selectionne "Yes"
* quand demandé "Do you wish to load remote user profile(s) for scanning", selectionne "Yes"
* verifier que "Automatically Load All Remaining Users" est sélectionné et presse OK
http://imagesup.org/image
* sous Custom Scan box copie_colle le tout ci dessous et clic RUNFIX
:OTL
O2 - BHO: (no name) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - No CLSID value found.
O4 - HKU\TINS_ON_C..\Run: [jgywybxc.exe] C:\Users\TINS\AppData\Roaming\jgywybxc.exe (Don HO don.h@free.fr)
:Files
C:\Users\TINS\AppData\Roaming\jgywybxc.exe
tu conserves le rapport qui s'affiche ; et tu le copies et colles dans ta prochaine réponse
@+
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}\ not found.
Registry value HKEY_USERS\TINS_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\jgywybxc.exe not found.
File C:\Users\TINS\AppData\Roaming\jgywybxc.exe not found.
========== FILES ==========
File\Folder C:\Users\TINS\AppData\Roaming\jgywybxc.exe not found.
OTLPE by OldTimer - Version 3.1.48.0 log created on 01212012_222357
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}\ not found.
Registry value HKEY_USERS\TINS_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\jgywybxc.exe not found.
File C:\Users\TINS\AppData\Roaming\jgywybxc.exe not found.
========== FILES ==========
File\Folder C:\Users\TINS\AppData\Roaming\jgywybxc.exe not found.
OTLPE by OldTimer - Version 3.1.48.0 log created on 01212012_222357
Utilisateur anonyme
22 janv. 2012 à 09:28
22 janv. 2012 à 09:28
Bonjour
As tu lancé deux fois cette manipulation?
Bizarre qu'il ne trouve rien.
Essaye de démarrer normalement
@+
As tu lancé deux fois cette manipulation?
Bizarre qu'il ne trouve rien.
Essaye de démarrer normalement
@+
bonjour,
je viens d'allumer l'ordi infecté en demarrage normal et la page du virus ne s'affiche plus. Je ne suis pas rassurée pour autant.
je viens d'allumer l'ordi infecté en demarrage normal et la page du virus ne s'affiche plus. Je ne suis pas rassurée pour autant.
Utilisateur anonyme
22 janv. 2012 à 16:12
22 janv. 2012 à 16:12
Re
1)* Télécharger sur le bureau RogueKiller(par Tigzy)
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 2 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
* Si le programme a été bloqué, ne pas hésiter a essayé plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
2)Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php
Bouton »Download free version »
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)
*Procèdes à une mise à jour
*Fais un examen dit "Complet"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
Poste les rapports au fur et à mesure;merci
@+
1)* Télécharger sur le bureau RogueKiller(par Tigzy)
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 2 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
* Si le programme a été bloqué, ne pas hésiter a essayé plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe
2)Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php
Bouton »Download free version »
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)
*Procèdes à une mise à jour
*Fais un examen dit "Complet"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
Poste les rapports au fur et à mesure;merci
@+
voici le rapport de roguekiller
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: TINS [Droits d'admin]
Mode: Suppression -- Date : 22/01/2012 16:22:03
¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] MediaServerTray.exe -- C:\ProgramData\media center Bouygues Telecom\media center\external\MediaServerTray.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] media center Bouygues Telecom.lnk : C:\ProgramData\media center Bouygues Telecom\media center\external\MediaServerTray.exe -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
127.0.0.1 .supercocklol.com
127.0.0.1 www..webloyalty.com
127.0.0.1 007guard.com
127.0.0.1 www.007guard.com
127.0.0.1 008i.com
127.0.0.1 008k.com
127.0.0.1 www.008k.com
127.0.0.1 00hq.com
127.0.0.1 www.00hq.com
127.0.0.1 010402.com
127.0.0.1 032439.com
127.0.0.1 www.032439.com
127.0.0.1 1001-search.info
127.0.0.1 www.1001-search.info
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
127.0.0.1 100sexlinks.com
127.0.0.1 www.100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 4e728343effa764a402cf084f09b35b4
[BSP] 12363dafc8b1110c9583683a9ba0f769 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 112640 | Size: 16106 Mo
2 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 31569920 | Size: 984045 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: TINS [Droits d'admin]
Mode: Suppression -- Date : 22/01/2012 16:22:03
¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] MediaServerTray.exe -- C:\ProgramData\media center Bouygues Telecom\media center\external\MediaServerTray.exe -> KILLED [TermProc]
¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] media center Bouygues Telecom.lnk : C:\ProgramData\media center Bouygues Telecom\media center\external\MediaServerTray.exe -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
127.0.0.1 .supercocklol.com
127.0.0.1 www..webloyalty.com
127.0.0.1 007guard.com
127.0.0.1 www.007guard.com
127.0.0.1 008i.com
127.0.0.1 008k.com
127.0.0.1 www.008k.com
127.0.0.1 00hq.com
127.0.0.1 www.00hq.com
127.0.0.1 010402.com
127.0.0.1 032439.com
127.0.0.1 www.032439.com
127.0.0.1 1001-search.info
127.0.0.1 www.1001-search.info
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
127.0.0.1 100sexlinks.com
127.0.0.1 www.100sexlinks.com
[...]
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 4e728343effa764a402cf084f09b35b4
[BSP] 12363dafc8b1110c9583683a9ba0f769 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 112640 | Size: 16106 Mo
2 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 31569920 | Size: 984045 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt
Voilà enfin le rapport de malwarebytes
http://pjjoint.malekal.com/files.php?id=20120122_u13e11c14p8o8
http://pjjoint.malekal.com/files.php?id=20120122_u13e11c14p8o8
bonjour,
que dois-je faire maintenant, j'ai posté hier les deux rapports demandé,. est-ce que l'infection y est toujours, est-ce que je doit retirer les deux logiciels que vous m'avez fait installer.
Merci
que dois-je faire maintenant, j'ai posté hier les deux rapports demandé,. est-ce que l'infection y est toujours, est-ce que je doit retirer les deux logiciels que vous m'avez fait installer.
Merci
Utilisateur anonyme
23 janv. 2012 à 18:18
23 janv. 2012 à 18:18
Bonsoir
Procède aux diverses mises à jour;car sinon cela se reproduira.
Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.
Tiens moi au courant ;et si tu rencontres un problème n'hésites pas .
@+
Procède aux diverses mises à jour;car sinon cela se reproduira.
Pour vérifier les mises à jour logiciels à appliquer sur ton PC
https://www.flexera.com/products/operations/software-vulnerability-management.html
Divers liens te seront proposés pour les logiciels non à jour.
Tiens moi au courant ;et si tu rencontres un problème n'hésites pas .
@+
