A voir également:
- Virus : "Windows a été bloqué"
- Svchost.exe virus - Guide
- Youtu.be virus - Guide
- Faux message virus ordinateur - Guide
- Faux message virus iphone - Forum iPhone
- Tinyurl.com virus - Forum Virus
35 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
26 janv. 2012 à 13:41
26 janv. 2012 à 13:41
Salut,
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad
Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com
D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
Cliquer sur Suppression. Cliquer sur Rapport et copier coller le contenu du notepad
Si RogueKiller est bloqué - tente de le renommer en iexplore ou winlogon
Si tjrs pas - affiche les extensions de fichiers : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/
Renomme RogueKiller.exe en RogueKiller.com
D'autres méthodes sont données sur ce lien, si tu n'arrives pas à le télécharger : https://forum.malekal.com/viewtopic.php?t=5472&start=
Voici le lien, je te remercie d'avance pour ton aide
http://pjjoint.malekal.com/files.php?id=20120126_h8b11i7s12h8
Gui
http://pjjoint.malekal.com/files.php?id=20120126_h8b11i7s12h8
Gui
ah zut je m'étais retiré car je n'etais pas le premier à avoir posté mais puisque tu as suivi mes directives , on continue
je regarde ca
edit ::
desinstalle spybot si possible
================================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
Lance Pre_script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKEY_USERS\S-1-5-21-4280870278-2331621559-3049546071-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"window"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\Software\GYOZA]
file::
C:\Windows\Xú--
C:\Users\Guillaume\Downloads\vlc-1.1.11-win32.exe
C:\Users\Guillaume\Downloads\vlc.exe
C:\ProgramData\doexetemali.dat
C:\ProgramData\ilametexeod.dat
C:\ProgramData\export_fix_93.183.203.118.dll
folder::
C:\Users\Guillaume\AppData\Roaming\window
C:\Users\Guillaume\AppData\Roaming\Acupgi
C:\Users\Guillaume\AppData\Roaming\Cadu
C:\Users\Guillaume\AppData\Roaming\Cufie
C:\Users\Guillaume\AppData\Roaming\Diwail
C:\Users\Guillaume\AppData\Roaming\Dyni
C:\Users\Guillaume\AppData\Roaming\Edry
C:\Users\Guillaume\AppData\Roaming\Eghel
C:\Users\Guillaume\AppData\Roaming\Elfyo
C:\Users\Guillaume\AppData\Roaming\Emengy
C:\Users\Guillaume\AppData\Roaming\Enmau
C:\Users\Guillaume\AppData\Roaming\Erweb
C:\Users\Guillaume\AppData\Roaming\Faynma
C:\Users\Guillaume\AppData\Roaming\Gaho
C:\Users\Guillaume\AppData\Roaming\Gigoak
C:\Users\Guillaume\AppData\Roaming\Hauty
C:\Users\Guillaume\AppData\Roaming\Hiasry
C:\Users\Guillaume\AppData\Roaming\Isenug
C:\Users\Guillaume\AppData\Roaming\Kibig
C:\Users\Guillaume\AppData\Roaming\Kisiozt
C:\Users\Guillaume\AppData\Roaming\Liyn
C:\Users\Guillaume\AppData\Roaming\Meubud
C:\Users\Guillaume\AppData\Roaming\Mubaba
C:\Users\Guillaume\AppData\Roaming\Omuz
C:\Users\Guillaume\AppData\Roaming\Oszybo
C:\Users\Guillaume\AppData\Roaming\Oxisy
C:\Users\Guillaume\AppData\Roaming\Roe
C:\Users\Guillaume\AppData\Roaming\Ryonv
C:\Users\Guillaume\AppData\Roaming\Seyc
C:\Users\Guillaume\AppData\Roaming\Tuwak
C:\Users\Guillaume\AppData\Roaming\Ufbe
C:\Users\Guillaume\AppData\Roaming\Ultoq
C:\Users\Guillaume\AppData\Roaming\Voibs
C:\Users\Guillaume\AppData\Roaming\Waevux
C:\Users\Guillaume\AppData\Roaming\window
C:\Users\Guillaume\AppData\Roaming\Yxigu
C:\Users\Guillaume\AppData\Roaming\Zakoor
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files (x86)\Spybot - Search & Destroy
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
je regarde ca
edit ::
desinstalle spybot si possible
================================
fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre
Lance Pre_script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[HKEY_USERS\S-1-5-21-4280870278-2331621559-3049546071-1001\Software\Microsoft\Windows\CurrentVersion\Run]
"window"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\Software\GYOZA]
file::
C:\Windows\Xú--
C:\Users\Guillaume\Downloads\vlc-1.1.11-win32.exe
C:\Users\Guillaume\Downloads\vlc.exe
C:\ProgramData\doexetemali.dat
C:\ProgramData\ilametexeod.dat
C:\ProgramData\export_fix_93.183.203.118.dll
folder::
C:\Users\Guillaume\AppData\Roaming\window
C:\Users\Guillaume\AppData\Roaming\Acupgi
C:\Users\Guillaume\AppData\Roaming\Cadu
C:\Users\Guillaume\AppData\Roaming\Cufie
C:\Users\Guillaume\AppData\Roaming\Diwail
C:\Users\Guillaume\AppData\Roaming\Dyni
C:\Users\Guillaume\AppData\Roaming\Edry
C:\Users\Guillaume\AppData\Roaming\Eghel
C:\Users\Guillaume\AppData\Roaming\Elfyo
C:\Users\Guillaume\AppData\Roaming\Emengy
C:\Users\Guillaume\AppData\Roaming\Enmau
C:\Users\Guillaume\AppData\Roaming\Erweb
C:\Users\Guillaume\AppData\Roaming\Faynma
C:\Users\Guillaume\AppData\Roaming\Gaho
C:\Users\Guillaume\AppData\Roaming\Gigoak
C:\Users\Guillaume\AppData\Roaming\Hauty
C:\Users\Guillaume\AppData\Roaming\Hiasry
C:\Users\Guillaume\AppData\Roaming\Isenug
C:\Users\Guillaume\AppData\Roaming\Kibig
C:\Users\Guillaume\AppData\Roaming\Kisiozt
C:\Users\Guillaume\AppData\Roaming\Liyn
C:\Users\Guillaume\AppData\Roaming\Meubud
C:\Users\Guillaume\AppData\Roaming\Mubaba
C:\Users\Guillaume\AppData\Roaming\Omuz
C:\Users\Guillaume\AppData\Roaming\Oszybo
C:\Users\Guillaume\AppData\Roaming\Oxisy
C:\Users\Guillaume\AppData\Roaming\Roe
C:\Users\Guillaume\AppData\Roaming\Ryonv
C:\Users\Guillaume\AppData\Roaming\Seyc
C:\Users\Guillaume\AppData\Roaming\Tuwak
C:\Users\Guillaume\AppData\Roaming\Ufbe
C:\Users\Guillaume\AppData\Roaming\Ultoq
C:\Users\Guillaume\AppData\Roaming\Voibs
C:\Users\Guillaume\AppData\Roaming\Waevux
C:\Users\Guillaume\AppData\Roaming\window
C:\Users\Guillaume\AppData\Roaming\Yxigu
C:\Users\Guillaume\AppData\Roaming\Zakoor
C:\ProgramData\Spybot - Search & Destroy
C:\Program Files (x86)\Spybot - Search & Destroy
Mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Voici le lien vers le Pre_script
http://pjjoint.malekal.com/files.php?id=20120126_w14v9q14t13w8
J'ai pu redémarrer mon ordinateur normalement et je n'ai plus la fenêtre intempestive qui me bloquait windows. Néanmoins, au démarrage de windows une fenêtre apparaît me signalant il me semble qu'un fichier dll est manquant.
Merci beaucoup pour ton aide !
http://pjjoint.malekal.com/files.php?id=20120126_w14v9q14t13w8
J'ai pu redémarrer mon ordinateur normalement et je n'ai plus la fenêtre intempestive qui me bloquait windows. Néanmoins, au démarrage de windows une fenêtre apparaît me signalant il me semble qu'un fichier dll est manquant.
Merci beaucoup pour ton aide !
Utilisateur anonyme
26 janv. 2012 à 14:55
26 janv. 2012 à 14:55
je peux avoir le nom de cette dll manquante ?
Utilisateur anonyme
26 janv. 2012 à 15:35
26 janv. 2012 à 15:35
Télécharge SEAF.exe de C_XX
*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .
*Une fenêtre va s'ouvrir .
*Tape EFCD.tmp.tmp
dans cette fenêtre
confirme la recherche dans le registre et [Entrée].
*Patiente pendant la recherche.
*Une fenêtre avec un log.txt va s'afficher.
*Copie/colle ce rapport dans ta prochaine réponse.
*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .
*Une fenêtre va s'ouvrir .
*Tape EFCD.tmp.tmp
dans cette fenêtre
confirme la recherche dans le registre et [Entrée].
*Patiente pendant la recherche.
*Une fenêtre avec un log.txt va s'afficher.
*Copie/colle ce rapport dans ta prochaine réponse.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Je suis désolé, j'ai du m'absenter. J'ai essayé de télécharger SF.exe mais le lien ne fonctionne pas ... apparemment le programme a été retiré par son auteur.
Et voici le lien vers le log.txt
http://pjjoint.malekal.com/files.php?id=20120126_y6q513s15m9
Merci de ton aide précieuse
http://pjjoint.malekal.com/files.php?id=20120126_y6q513s15m9
Merci de ton aide précieuse
ha désolé, c'est la fatigue. Voici :
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 22:08:07 le 26/01/2012
4.
5. Valeur(s) recherchée(s):
6. EFCD.tmp.tmp
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10.
11. ====== Fichier(s) ======
12.
13. Aucun fichier trouvé
14.
15. =========================
16.
17. Fin à: 22:13:33 le 26/01/2012
18. 387566 Éléments analysés
19.
20. =========================
21. E.O.F
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 22:08:07 le 26/01/2012
4.
5. Valeur(s) recherchée(s):
6. EFCD.tmp.tmp
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10.
11. ====== Fichier(s) ======
12.
13. Aucun fichier trouvé
14.
15. =========================
16.
17. Fin à: 22:13:33 le 26/01/2012
18. 387566 Éléments analysés
19.
20. =========================
21. E.O.F
Voici, j'avais peut être oublié de préciser la recherche dans le registre :
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 22:47:51 le 26/01/2012
4.
5. Valeur(s) recherchée(s):
6. EFCD.tmp.tmp
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19. Aucun élément dans le registre trouvé
20.
21. =========================
22.
23. Fin à: 22:55:23 le 26/01/2012
24. 650960 Éléments analysés
25.
26. =========================
27. E.O.F
Si ce n'est pas toujours ce que tu attends, je suis vraiment désolé mais pourrais tu m'indiquer ce qu'il ne va pas. Merci
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 22:47:51 le 26/01/2012
4.
5. Valeur(s) recherchée(s):
6. EFCD.tmp.tmp
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19. Aucun élément dans le registre trouvé
20.
21. =========================
22.
23. Fin à: 22:55:23 le 26/01/2012
24. 650960 Éléments analysés
25.
26. =========================
27. E.O.F
Si ce n'est pas toujours ce que tu attends, je suis vraiment désolé mais pourrais tu m'indiquer ce qu'il ne va pas. Merci
Utilisateur anonyme
26 janv. 2012 à 23:34
26 janv. 2012 à 23:34
y a rien
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens
Voici les 2 liens :
http://pjjoint.malekal.com/files.php?id=20120127_n12n9q13k13t8
http://pjjoint.malekal.com/files.php?id=20120127_i9c6c15d8g9
Merci
http://pjjoint.malekal.com/files.php?id=20120127_n12n9q13k13t8
http://pjjoint.malekal.com/files.php?id=20120127_i9c6c15d8g9
Merci
Utilisateur anonyme
27 janv. 2012 à 12:57
27 janv. 2012 à 12:57
ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - Startup: C:\Users\Guillaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Setwallpaper"=-
"IntelTBRunOnce"=-
:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:OTL
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - Startup: C:\Users\Guillaume\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Setwallpaper"=-
"IntelTBRunOnce"=-
:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
Le rapport ne s'est pas affiché au démarrage, ou puis-je le trouver ? J'ai remarqué des fichiers text qui sont apparus sur le bureau nommés desktop.ini au démarrage..
Utilisateur anonyme
27 janv. 2012 à 17:45
27 janv. 2012 à 17:45
oui laisse-les on les remettra en caché ce sont des fichiers systeme
=====================
le rapport :
C:\_OTL\MovedFiles\la_date_et_l'heure.log
=====================
le rapport :
C:\_OTL\MovedFiles\la_date_et_l'heure.log
D'accord merci. J'ai trouvé, voici le lien :
http://pjjoint.malekal.com/files.php?id=20120127_x7j7e8d14f12
http://pjjoint.malekal.com/files.php?id=20120127_x7j7e8d14f12
Utilisateur anonyme
28 janv. 2012 à 01:19
28 janv. 2012 à 01:19
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
10 févr. 2012 à 21:45
10 févr. 2012 à 22:23