Infection importante Résolu

Question

Bonjour, 
en bossant il y a 10 min j'ai voulu ouvrir le bloc note et il avait disparu , j'ai fais une restauration systeme et quand je rentre sur ma session l'ecran reste noir j'ai ouvert en mode sans echec avec prise en charge réseau , et le bureau apparait mais je peux rien ouvrir de plus Avast est déconnecté et impossible de le reconnecter donc je creer ce sujet en passant par mode sans echec avec prise en charge du reseau help !!!!


Configuration: Windows 7 / Internet Explorer 9.0

g3n-h@ckm@n · Answer

salut

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu

CASEYTOM · Answer

Salut g3n-h@ckm@n impossible ça se bloque sur "recherche fichier cachés " pendant l'installation ok je rends la version pif

g3n-h@ckm@n · Answer

laisse tourner

CASEYTOM · Answer

Ca m'empêche de l'installer sur le bureau il me demande de l'exécuter .

https://pjjoint.malekal.com/files.php?id=20120131_x11h7w7r8d14

g3n-h@ckm@n · Answer

afficher les telechargement , puis glisse-le sur le bureau

CASEYTOM · Answer

Ok je l'ai fait mais c'est resté bloqué sur "recherche fichier cachés " pendant 30 min
et ça bouge plus

g3n-h@ckm@n · Answer

bizarre ca fait un mois que j'ai pas touché à cette partie....

CASEYTOM · Answer

parcontre je suis entrain de passer spybot et il me trouve deja 5 T oolbar.facemood

PUPSC

g3n-h@ckm@n · Answer

arrete spybot et vire-le il sert à rien

CASEYTOM · Answer

ok je le fais.

Skyl5101 · Answer

bonjour a vous je pense avoir un virus dans mon disque dur externe car j'ai formater plusieurs fois mon pc e tune fois que j'ai brancher mon disque dur le pc est ralenti cela est arriver depuis que j'ai brancher mon disque dur chez une amie elle avait des virus qui foutais en l'air son pc :s j'ai fait l'analyse avec "Pre_Scan" sans probleme je peux le poster pour que tu y jette un oeil g3n-h@ckm@n ?

g3n-h@ckm@n · Answer

poste c:\pre_scan.txt voir comme demandé ?

Skyl5101 · Answer

ok

CASEYTOM · Answer

On fait quoi?

g3n-h@ckm@n · Answer

https://forums.commentcamarche.net/forum/affich-24335067-infection-importante#16

CASEYTOM · Answer

https://pjjoint.malekal.com/files.php?id=20120131_u9d7k7i14b13

g3n-h@ckm@n · Answer

desinstalle java update 24
desinstalle spybot si ce n est fait
desinstalle facemoods

======

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=-      
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}]

file::
C:\Windows\OEóD   
C:\Windows\~øq      

folder::
C:\ProgramDta\Spybot - Search & Destroy    
C:\Program Files (x86)\facemoods.com    
C:\Program Files (x86)\Spybot - Search & Destroy    

Mbr::    

clean::      

Reboot::        
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

===

&#9654 Télécharge Sur cette page : AdwCleaner (de Xplode) 

&#9654 clique sur Télécharger et enregistre le fichier sur ton Bureau

&#9654 Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation

==================================

&#9654&#9654&#9654  Sous Vista et Windows 7 /!\ :

il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

==================================

Sur le menu principal :
    
&#9654 clique sur Suppression et patiente le temps de l'analyse

&#9654 poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

CASEYTOM · Answer

Bon quand je veux désinstaller java udape 24 un message erreur apparait :

https://pjjoint.malekal.com/files.php?id=20120131_y10h6n5y11u5

Spybot n'est plus quand à facemoods il n'apparait pas dans mes programes

g3n-h@ckm@n · Answer

ben redemarre en mode normal , ca marche pas en mode sans echec pour installer/desinstaller

CASEYTOM · Answer

J'enrage , pas moyens de désinstaller est pas moyens de surfer donc je me suis remis en sans echecs et la je peut surfer avec internet explorer

g3n-h@ckm@n · Answer

ok fais la suite on y reviendra

CASEYTOM · Answer

Alors voila prescript :

https://pjjoint.malekal.com/files.php?id=20120131_z9s11v10y13k7


et voila adwCleaner

https://pjjoint.malekal.com/files.php?id=20120131_n14c9x10e10o14

g3n-h@ckm@n · Answer

regarde si tu peux supprimer manuellement ces deux fichiers :

C:\Windows\OEóD 
C:\Windows\~øq

CASEYTOM · Answer

le premier me dit que je l'ai pas supprimé completement car ils sont utilisé ou bien j'ai pas les autorisations pour le faire ,

quand au second il n'apparait pas .

g3n-h@ckm@n · Answer

esssaie en affichant les fichiers cachés , et en mode sans echec

CASEYTOM · Answer

Non c'est pareil , désolé.

g3n-h@ckm@n · Answer

avec ceci en mode sans echec : 

https://www.clubic.com/telecharger-fiche20237-unlocker.html 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

CASEYTOM · Answer

Quand tu dis mode sans echecs c'est avec prise reseau ?

g3n-h@ckm@n · Answer

non sans c est mieux 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

CASEYTOM · Answer

Message D'erreur

g3n-h@ckm@n · Answer

toujours le meme ?

CASEYTOM · Answer

Non , quand j'ai installer unlocker cela m'a mis un raccourci quickstores et quand j'ouvre il y avait  un message d'erreur maintenant ça ouvre une pub: 

https://pjjoint.malekal.com/files.php?id=20120131_w98i8q13y14 

sinon unlocker m'a fait apparaitre une baguette magique en bas à gauche et une autre dans le menu demarrer , mais j ai beau cliquer dessus rien ne se passe , internet explorer à disparu je peux ouvrir dans moozilla , enfin il y avait dans mes programmes facemoods que j'ai pu désinstalleret en dessous un logiciel de jeu du nom de Fantappe player qui a était installer aujourd'hui mais personne chez moi ne l'a fait .

PS: j ai perdu plein de logiciel ex: le bloc note

g3n-h@ckm@n · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : heberge l'archive sur http://pjjoint.malekal.com et donne le lien ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

CASEYTOM · Answer

Salut , ça a été laborieux , mais j 'y suis arrivé

voila le rapport doc web 

https://pjjoint.malekal.com/files.php?id=20120201_q5l6c8j7e10

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

Ensuite :

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

CASEYTOM · Answer

Voila et merci


https://pjjoint.malekal.com/files.php?id=20120201_l15c5r12l8y5

CASEYTOM · Answer

Up

g3n-h@ckm@n · Answer

j'attends le deuxieme

CASEYTOM · Answer

Le deuxieme c'est "Extra" ?

Si c'est ça voici le lien

https://pjjoint.malekal.com/files.php?id=20120201_t6g10w14g9b11

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\ __________________________________________________________ >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.< >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<< ===================================================== ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur Telecharge ici : Combofix Avant d'utiliser ComboFix : Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système. La simple désactivation du résident n'est pas suffisante. Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover Choisis la version adéquate (32 ou 64 bits)/!\ Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement : ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau ▶ Lance le Une fenêtre apparait : clique sur "Disable" ▶ Fais redémarrer l'ordinateur si l'outil te le demande Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" _________________________________________________________ >> referme les fenêtres de tous les programmes en cours. >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, >>la protection en temps réel de ton Antivirus et de tes Antispywares, >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°° si tu as XP => double clique si tu as Vista ou windows 7 => clic droit "executer en tant que...." sur combofix renommé ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤ ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!! ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

CASEYTOM · Answer

Je suis désolé j'ai désactiver avast qui était déjà déactiver par le virus 

https://pjjoint.malekal.com/files.php?id=20120201_t12r7w11x6p9


et combofix me dit ceci dois je l'appliquer ?

https://pjjoint.malekal.com/files.php?id=20120201_x13p5g5i149

g3n-h@ckm@n · Answer

non passe combofix en mode sans echec et si le message revient tu l'ignores

CASEYTOM · Answer

Voilà le rapport combofix



https://pjjoint.malekal.com/files.php?id=20120202_x6o10c12o11i9

g3n-h@ckm@n · Answer

c'st quoi ce truc-là ?

blekkotb

CASEYTOM · Answer

Je sais pas désolé .

g3n-h@ckm@n · Answer

ca t'aide ca ? 

http://translate.google.fr/translate?sl=en&tl=fr&js=n&prev=_t&hl=fr&ie=UTF-8&layout=2&eotf=1&u=http%3A%2F%2Fen.wikipedia.org%2Fwiki%2FBlekko

CASEYTOM · Answer

Non désolé !!!!

g3n-h@ckm@n · Answer

bon ben desinstalle-le alors...

g3n-h@ckm@n · Answer

je t'avais demandé de virer spybot

CASEYTOM · Answer

Désolé mais je l'avais fait hier et la il veut pas le re désinstaller un message d'erreur  me demande de redemarrer , dois je le faire ?

g3n-h@ckm@n · Answer

je ne comprends pas

CASEYTOM · Answer

Désolé de t'embêter mais quand j essaie d'enlever spybot , ce message apparait : 

https://pjjoint.malekal.com/files.php?id=20120202_i6k7f13j10w10


Mais j'ai quelques programmes qui me parraissent suspect vue qu'ils ont était installer le même jour ,

https://pjjoint.malekal.com/files.php?id=20120202_f11k12m10p12w8

g3n-h@ckm@n · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

ClearJavaCache::

Folder::
c:\programdata\Spybot - Search & Destroy
c:\program files (x86)\Spybot - Search & Destroy

Folder::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SpybotSD TeaTimer"=-

Driver::
SBSDWSCService

DDs::
uStart Page = hxxp://start.facemoods.com/?a=fmtgl

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

CASEYTOM · Answer

Tout d'abord ne pouvant pas ouvrir mon bloc note vu qu'il est inexistant , j'avais quelques feuilles bloc note sur mon bureau je l'ai renommer CFScript.txt , puis effacer son contenu et coller le texte demander , puis je l'ai enregistré sur mon bureau et fait glisser sur combofix renommer en mon prenom , à la fin du scan combofix redemarre mon programme seul et m'ouvre sur ma session normale et vu que je n'ai qu'un ecran noir j'arrête mon pc manuellement et me mets en mode sans echec




voici le rapport

https://pjjoint.malekal.com/files.php?id=20120202_i15y6i8s9i15

g3n-h@ckm@n · Answer

mouais....

&#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
&#9654 Double cliquez sur UsbFix.exe.  

&#9654 Cliquez sur Suppression.
&#9654 Laissez travailler l'outil. 

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
&#9654 Tutoriel vidéo

CASEYTOM · Answer

Je l'ai choppé en téléchargent KVIrc . Voila le rapport usbfix  ,. 

https://pjjoint.malekal.com/files.php?id=20120202_z12x5m6w12k6

g3n-h@ckm@n · Answer

refais otl

CASEYTOM · Answer

Voila OTL

https://pjjoint.malekal.com/files.php?id=20120202_r6f11k9b15m15

Voila EXTRA

https://pjjoint.malekal.com/files.php?id=20120202_l12w15i10v7i6

g3n-h@ckm@n · Answer

hello as-tu un rapport avec la chine ?

certains dns de ton pc tombent ici ca te dit quelque chose ?

https://www.ip-adress.com/ip-address/ipv4/123.85.17.96

==================================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
O2 - BHO: (QuickStores-Toolbar) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} 
O2 - BHO: (Updater For Spam Free Search Bar) - {20a0be68-8fd9-4539-8712-ce3d1c1fdfc6} - C:\Program Files (x86)\blekkotb\auxi\blekkoAu.dll    
O2 - BHO: (Spam Free Search Bar) - {26c9e18c-3717-4be1-a225-04e4471f5b6e} - C:\Program Files (x86)\blekkotb\blekkoDx.dll ()      
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll File not found 
O3 - HKLM\..\Toolbar: (QuickStores-Toolbar) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} 
O3 - HKLM\..\Toolbar: (Spam Free Search Bar) - {26c9e18c-3717-4be1-a225-04e4471f5b6e} - C:\Program Files (x86)\blekkotb\blekkoDx.dll ()      
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present  
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll File not found
O16 - DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Java Plug-in 1.6.0_26)   
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab (Reg Error: Key error.) 
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) 
O16 - DPF: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24)  
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_24-windows-i586.cab (Java Plug-in 1.6.0_24) 


:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
""=-

:Files
C:\Program Files (x86)\blekkotb    
C:\Users\Barrot\AppData\Roaming\QuickStoresToolbar
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy    

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

CASEYTOM · Answer

Salut g3n-h@ckm@n .
Oui je suis en contact pour un bisness avec la chine je n'ai echanger que par mail sur ma boite laposte.net . 

Par contre le rapport n'est pas apparu !!!

g3n-h@ckm@n · Answer

C:\_OTL\MocadFiles\LA_date_et_l'heure.log

CASEYTOM · Answer

Merci et désolé 

https://pjjoint.malekal.com/files.php?id=20120202_y1579y15m7

g3n-h@ckm@n · Answer

quels soucis restent ?

CASEYTOM · Answer

Salut , tout est pareil , c'est à dire quand je demarre une session normale (pas en mode sans echec) mon ecran reste tout noir ,en mode sans echec   je ne peux pas désinstaller le programme "Fantapper Player"il me marque ce message d'erreur :    

https://pjjoint.malekal.com/files.php?id=20120202_14g5z13g13d10     

Ensuite Avast est toujours déconnecté , impossible de le remettre en route alors je l'ai désinstallé etc...   
Pense tu que je dois le désinstaller proprement et installer un autre gratuit style AVG ? 

Je viens de m'apercevoir qu'il y a encore dans ma liste de programme java udapte 24 alors que tu me l'avait fait désinstaller , et j'ai trouvé deux programmes qui ce sont installés le jour de l'infection tout seul  qui s'appellent : -"Yontoo Layers Runtime 1.10.01 . 
Et le deuxieme :
-Microsoft Visual C++2008 Redistribuable-x64 9.0.30

J'ai désinstaller le 1er mais j'ai pas osé désinstaller le 2eme bien qu'il ait été installé le jour fatidique !!!

g3n-h@ckm@n · Answer

et si tu choisis derniere bonne configuration connue à la place de mode sans echec ?

CASEYTOM · Answer

Comment je choisis cette option au démarrage ?

Merci pour ta patiente.

g3n-h@ckm@n · Answer

comme mode sans echec mais c est un peu plus bas ^^

si ca apparait pas dans le menu tu refais F8 et le menu s'etendra

CASEYTOM · Answer

bonsoir , quand j'ouvre la session "dernière bonne configuration connue" le bureau apparait sans fond d'écran mais je peux me servir d'aucunes application , de plus tous les programmes que j'ai désinstallé y sont encore même Avast ayant était enlevé avec le logiciel de désinstallation Avast et surtout "KVIrc avec lequel j'ai choppé la gastapianne , je suis dégoutté et te remerci pour ton aide . 
 Par contre  tous les logiciel que je n'ai pas enlever disparaisse explorer internet , bloc-notes etc .... 
:-(

g3n-h@ckm@n · Answer

formate ton pc à bas niveau et reinstalle windows à partir du cd d installation

CASEYTOM · Answer

Je vais perdre toute mes photos de famille ?

En plus j'ai pas de CD d'installation , je sais que c'est une erreur de ma part mais j'ai déménagé et je l'ai perdu !!!

g3n-h@ckm@n · Answer

bah sauvegarde tes photos et pour le systeme ben.....il aurait fallu faire les dvd de restauration ou ....

CASEYTOM · Answer

Je peux faire une remise aux paramètres d'usines ? 

Mon PC est un Acer et je possède 2 disques durs dans la tour un pour le système et l'autre comme un disque dur externe un RAC , me faut il reformater les 2 ? 
La seule chose que j'aimerai sauver c'est mes photos le reste je m'en fiche .

Si je mets mes photos sur une clé usb le virus n'y sera pas dessus ?

g3n-h@ckm@n · Answer

essaie avec la resto d usine mais bon je garantis rien....

CASEYTOM · Answer

Si je mets mes photos sur une clé usb le virus n'y sera pas dessus ?

g3n-h@ckm@n · Answer

non grave-les c est le mieux

CASEYTOM · Answer

Merci , ouf , je les ai gravé sur des CD , si je les rerentre sur un PC je ne mettrai pas le virus sur le PC ??

g3n-h@ckm@n · Answer

non si tu n'as pas mis d executables aucun risque

CASEYTOM · Answer

excuse mon ignorance c'est quoi des executable ? merci.

g3n-h@ckm@n · Answer

un petit cours ^^ :

https://fr.wikipedia.org/wiki/Fichier_ex%C3%A9cutable

CASEYTOM · Answer

Je m'y colle je remets les parametres d'usines en esperant que ça fonctionne , et apres je te tiens au courant , merci pour tout .

CASEYTOM · Answer

Salut g3n-h@ckm@n , la remise des paramètres d'usine à super bien fonctionné , bon j'ai perdu pas mal de donné , et tout mes logiciels , mais bon j'ai récupéré mes photos de famille et là est l'essentiel , je te souhaite une bonne nuit et te remercie énormément , je te dirai bien à bientôt mais si on peut éviter ça m'arrangerait , encore merci et bonne continuation .

g3n-h@ckm@n · Answer

hello

le gestionnaire de fenetres a cessé de fonctionner ca marque ?

CASEYTOM · Answer

Non le peripherique de l'ecran a cessé de fonctionner  età été récuperé ça marque cela

g3n-h@ckm@n · Answer

"$RECYCLE.BIN" il est vide

c'est ta corbeille :)

CASEYTOM · Answer

Mdr , bizarre qu'il soit dans mon disque dur esclave non , ben voilà si j'ai un soucis je te rappellerai à la rescousse , encore merci à toi et bonne continuation , bye.

g3n-h@ckm@n · Answer

elle est dans tous les disques 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

CASEYTOM · Answer

Ok merci bye

Infection importante

87 réponses

Votre réponse

Discussions similaires

Newsletters