System check besoin d'aide
dudule
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
voilà le problème : nous avonsréussi à télécharger Roguekiller qui a fait un long rapport nous avons supprimé les élémens qui se sont affichés , même le proxy ... mais le bureau ne revient pas... avons nous suffisamment fait avec Rogue killer ?
Nous ne sommes pas des pros ! si vous nous donnez des conseils , merci d'être très explicites j'ai vu des posts sur le forum, je n'ai pas tout compris...
je joins le rapport.
RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: CIO [Droits d'admin]
Mode: Suppression -- Date : 29/01/2012 12:03:28
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 1 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (proxy.intranet.cg59.fr:8080) -> NOT REMOVED, USE PROXYFIX
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 4f638be20c05d4b25f432863c1b16bae
[BSP] 643ebdf7b0befd35a9419218d8fcec93 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 120031 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 2ae49a4fb89bde8d12a06bb6ebc7830a
[BSP] 4c8a6340c636ae6626573d40ac467541 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0x68) [VISIBLE] Offset (sectors): 1936028272 | Size: 948151 Mo
1 - [XXXXXX] UNKNOWN (0x79) [VISIBLE] Offset (sectors): 1330184192 | Size: 275955 Mo
2 - [XXXXXX] DISKMNG (0x53) [VISIBLE] Offset (sectors): 538989391 | Size: 715961 Mo
3 - [XXXXXX] UNKNOWN (0x49) [VISIBLE] Offset (sectors): 1394627663 | Size: 10 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[9].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt ; RKreport[9].txt
D'avance merci !
D'
voilà le problème : nous avonsréussi à télécharger Roguekiller qui a fait un long rapport nous avons supprimé les élémens qui se sont affichés , même le proxy ... mais le bureau ne revient pas... avons nous suffisamment fait avec Rogue killer ?
Nous ne sommes pas des pros ! si vous nous donnez des conseils , merci d'être très explicites j'ai vu des posts sur le forum, je n'ai pas tout compris...
je joins le rapport.
RogueKiller V7.0.1 [28/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: CIO [Droits d'admin]
Mode: Suppression -- Date : 29/01/2012 12:03:28
¤¤¤ Processus malicieux: 0 ¤¤¤
¤¤¤ Entrees de registre: 1 ¤¤¤
[PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (proxy.intranet.cg59.fr:8080) -> NOT REMOVED, USE PROXYFIX
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver: [CHARGE] ¤¤¤
¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!
¤¤¤ Fichier HOSTS: ¤¤¤
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 4f638be20c05d4b25f432863c1b16bae
[BSP] 643ebdf7b0befd35a9419218d8fcec93 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 120031 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 2ae49a4fb89bde8d12a06bb6ebc7830a
[BSP] 4c8a6340c636ae6626573d40ac467541 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0x68) [VISIBLE] Offset (sectors): 1936028272 | Size: 948151 Mo
1 - [XXXXXX] UNKNOWN (0x79) [VISIBLE] Offset (sectors): 1330184192 | Size: 275955 Mo
2 - [XXXXXX] DISKMNG (0x53) [VISIBLE] Offset (sectors): 538989391 | Size: 715961 Mo
3 - [XXXXXX] UNKNOWN (0x49) [VISIBLE] Offset (sectors): 1394627663 | Size: 10 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[9].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt ;
RKreport[6].txt ; RKreport[7].txt ; RKreport[8].txt ; RKreport[9].txt
D'avance merci !
D'
A voir également:
- System check besoin d'aide
- Reboot system now - Guide
- Check flash - Télécharger - Sécurité
- Media test failure check cable ✓ - Forum Matériel & Système
- Cd check - Télécharger - Récupération de données
- Check cable connection - Forum Matériel & Système
15 réponses
comment six options ? nous avons la version 7.0.1 à droite, en colonne scan, suppression, host RAZ, Proxy RAZ, Racc RAZ et rapport ; à gauche horizontalement : Process, Reg,Host, Proxy, DNS, Driver, Fichiers, MBR, Raccourcis ; nous avons simplement supprimé les éléments qui visiblement avaient été trouvés (found)j'ai regardé dans Proxy et j'ai supprimé aussi ça.c'est tout ! ??
oui j'avais encore l'ancienne version en tete pardon ^^
==========
et si tu tapes explorer dans le gestionnaire des taches ca revient pas ?
==========
et si tu tapes explorer dans le gestionnaire des taches ca revient pas ?
Hélas non : j'ai tapé Explorer dans nouvelle tache , au bout d'un moment dans processus c'était noté :à la fin processus inactif mais je vois quand même que il y a des choses qui bougent, des chiffres qui changent ??
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
ok dans ton gestionnaire , tape cmd
ensuite dans la fenetre noir tape :
cd\
puis entrée puis
cd windows
ensuite tape :
dir *.exe
il y a explorer.exe ou pas dans la liste ?
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
ensuite dans la fenetre noir tape :
cd\
puis entrée puis
cd windows
ensuite tape :
dir *.exe
il y a explorer.exe ou pas dans la liste ?
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
dir*.exe n'est pas reconnu en tant que commande interne et externe,un programme executable ou un fichier de commande que faire?
ok ! voilà la réponse :
le volume dans le lecteur C s'appelle disklocal le numero de série du volume est ..... répertoire de C:\windows fichier inrouvable
??
le volume dans le lecteur C s'appelle disklocal le numero de série du volume est ..... répertoire de C:\windows fichier inrouvable
??
telecharge et enregistre ceci sur ton bureau :
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
--
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Pre_Scan
Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.
si 'outil est bloqué par l'infection utilise cette version : Version .pif
ou encore cette version renommée : Winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
--
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
j'ai suivi la procédure.Le rapport est sur le bureau mais impossible de l'envoyer par internet .J'ai répété plusieurs fois le scan avec toujours ce même problème
Peut-on copier le rapport sur une clé sans danger pour l'autre ordi et l'envoyer par cet autre ordi Merci
Peut-on copier le rapport sur une clé sans danger pour l'autre ordi et l'envoyer par cet autre ordi Merci
Avons réussi tout à l'heure à aller sur le net grâce à Roguekiller, c'est bizarre, la connexion s'est faite sans que l'on sache pourquoi mais on n'a pas réussi à envoyer le rapport sur malekal , on a échec de l'envoi, diagnostiquer les pb de connexion.. là on essaie Malwarebytes... c'est désespérant.. il commence à détecter des éléments infectieux...
on va bientôt stopper pour ce soir...
on va bientôt stopper pour ce soir...
▶ Télécharge Reload_TDSSKiller
l'outil va telecharger la derniere version
L'écran de TDSSKiller s'affiche:
Illustration
- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".
Illustration
▶ Et coche les 2 options supplémentaires:
Illustration
▶ Clique sur Start scan pour lancer l'analyse.
- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:
En général, laisse les options proposées par défaut par l'outil
l'option "delete" (effacer) est bien cochée pour la famille TDL2
l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)
l'option "cure" (réparer ) pour la famille TDL3.
l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess
▶ puis clique sur Continue.
- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.
Illustration
En fin d'analyse il peut être demandé de relancer la machine:
▶ clique sur Reboot Now.
▶ Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.
▶ Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:
SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
l'outil va telecharger la derniere version
L'écran de TDSSKiller s'affiche:
Illustration
- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".
Illustration
▶ Et coche les 2 options supplémentaires:
Illustration
▶ Clique sur Start scan pour lancer l'analyse.
- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:
En général, laisse les options proposées par défaut par l'outil
l'option "delete" (effacer) est bien cochée pour la famille TDL2
l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)
l'option "cure" (réparer ) pour la famille TDL3.
l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess
▶ puis clique sur Continue.
- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.
Illustration
En fin d'analyse il peut être demandé de relancer la machine:
▶ clique sur Reboot Now.
▶ Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.
▶ Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:
SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
