Fred9263 pour g3n Fermé

Question

Bonjour, 

explique exactement les accès que tu as que je t'ai demandé via MP

Configuration: win 7 , MBAM résident , comodo Firewall , Panda USBVaccine ,

fred9263 · Answer

Bonjour,

tout d'abord, merci pour votre aide.

Pour résumer, le problème se trouve sur un PC avec Vista. Lorsqu'on démarre le PC, on a accès pendant quelques instant au bureau normal, mais très vite la page ou il y a le message demandant de l'argent pour débloquer le PC arrive.
Ensuite, le PC est bloqué.
Il me semble que si on a eu le temps d'ouvrir une fenêtre avant que la page n'arrive en faisant un alt+tab, on arrive a basculer a ce qu'il y a derrière.
Voila, je suis donc bloqué dans cette situation

Merci de m'aider pour les prochaines manip.

g3n-h@ckm@n · Answer

hello qu'est-ce-que ca donne en demarrant en mode sans echec avec prise en charge reseau ?

fred92 · Answer

Excuse moi pour ce retard mais je m'etonnais aussi de ne pas avoir eu de reponse,... je n'avais pas vu la tienne.

Je t'informe de la situation des que je rentre ce soir !

g3n-h@ckm@n · Answer

ok :)

fred9263 · Answer

Bonsoir,
j'ai donc fait la manip, démarrage sans échec avec prise en charge réseau :
- sans le câble réseau branché : pas de virus
- avec le câble réseau branché : pas de virus non plus

Mais forcement je ne peux pas l'utiliser en l'etat ;-)

Quel serait l'étape suivante.
Merci

g3n-h@ckm@n · Answer

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

ou encore cette version renommée : Winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Si l'outil ouvre une fenetre "Lecteurs virtuels" , fais exactement ce qui est indiqué dans cettte fenetre

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu

fred9263 · Answer

Bonjour,

j'ai effectué un premier essaie de scan avec le .exe, cela bloque. J'ai donc essaye avec le.pif, meme probleme, cela reste bloque sur "Recherche orphelins WLM", la barre bleu est entiere, mais plus rien ne bouge. A chaque fois on a attendu plus de 20mn apres que la barre soit pleine, mais rien.
En  moyenne, il faut compter combien de temps pour le scan ?
Je re-essayerai ce soir avec la 3eme methode du Winlogon, tu penses qu'il y a plus de chance d'y arriver avec celui la ?

Bonne journee

g3n-h@ckm@n · Answer

relance-le en mode sans echec

fred9263 · Answer

Bonsoir,
avec mes excuses (c'est ma mère qui fait les manip), un fichier a bien été créer avant hier soir.
Veux-tu que je te le poste quand même sur l'hébergeur que tu m'as dit, car ma mère vient de redémarrer en mode normal et pour le moment toujours pas de virus qui réapparait.
Ma mère reste dessus pour voir si il réapparait mais pour le moment après 3 redémarrage, rien....

Par contre, un message au démarrage de Windows à chaque fois :
"Impossible de charger ou d'executer 'C:\Users\PCDEBU~1\LOCALS~1\Temp\msuuvgz.com' specifié dans le Registre. Verifiez que le fichier existe sur votre ordinateur ou supprimez la référence dans le Registre"

Comment fait-on pour le supprimer ?

Merci

g3n-h@ckm@n · Answer

oui heberge le fichier

je vais te faire un script pour faire sauter ce mesage :)

g3n-h@ckm@n · Answer

lien du rapport je regarde ca :

https://pjjoint.malekal.com/files.php?read=20120323_h12i1511o7o7

g3n-h@ckm@n · Answer

desinstalle searchSettings 
desinstalle Ask.com 
desinstalle pdfforge toolbar 
desinstalle Java update 30 => pas à jour => c'est pas là qu'est rentrée l'infection 
desinstalle Daemon Tools Toolbar 

===== 

relance pre_scan et choisis script , une page vierge va s'ouvrir. 

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) : 
___________________________________________________ 
Kill:: 

Registry:: 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"HP Software Update"=- 
""=- 
"WinampAgent"=- 
"SearchSettings"=- 
"iTunesHelper"=- 
"QuickTime Task"=- 
"ApnUpdater"=- 
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}] 
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}] 
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}] 
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0030-ABCDEFFEDCBA}] 
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{A63B228F-6E59-4E7F-8CF1-C991FB7CC71E}] 
[-HKCU\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}] 
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}] 
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B922D405-6D13-4A2B-AE89-08A030DA4402}] 
[-HKCU\Software\APN]      
[-HKCU\Software\Ask.com]      
[-HKCU\Software\Search Settings]      
[-HKLM\Software\APN]      
[-HKLM\Software\AskToolbar]      
[-HKLM\Software\BrowserChoice]      
[-HKLM\Software\pdfforge]      
[-HKLM\Software\Search Settings]      
[-HKLM\Software\TENCENT] 
[HKLM\SOFTWARE\Microsoft\Security Center\Monitoring]  
"DisableMonitoring"=DWORD:00000000 

file:: 
C:\Users\PC de bureau\AppData\Roaming\603014875.log       
C:\Windows\_delis32.ini      

folder:: 
C:\Program Files\Ask.com    
C:\Program Files\pdfforge Toolbar 
C:\ProgramData\Ask      
C:\Program Files\DAEMON Tools Toolbar      

Mbr::     

clean::       

Reboot::         
___________________________________________________ 

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge. 

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille  

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail  

¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ben non faut que tu les vires toi sinon je t'aurais mis que le script sans rien dire lol ^^

fred9263 · Answer

OK, on le fera ce soir.

Ton script virera egalement le message qui s'affice au demarrage ?

Comment ca se fait que le virus n'apparait plus, c'est Pre_Scan l'a viré ?? je pensais que c'etait juste un outil d'analyse.
L'ordi est propre par rapport a ce virus ?

Merci

g3n-h@ckm@n · Answer

on a pas fini

oui c est pre_scan qui l'a viré

je pensais que c'etait juste un outil d'analyse. 

une peu de lecture :

https://gen-hackman.kanak.fr/

fred9263 · Answer

Impossible de désinstaller searchSettings, je ne le trouve pas !

J'ai ensuite effectué la copie du script et lancé Pre_Scan

Le PC a ensuite redémarré, mais le message que je te disais au démarrage est toujours présent

Je te mets dans le message suivant ce que le Pre_script dit.

fred9263 · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.306 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Windows Vista (TM) Home Premium (32 bits) Service Pack 2

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command:: 
txt:: | Host:: | NsLook:: | DLL:: | Unhide_Part::
list:: | IP:: | Kill:: | clean:: | Del_Part:: 
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
search:: | Tray::

Script : 19:13:14

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

Supprimé : C:\Users\PC de bureau\AppData\Roaming\603014875.log 
Supprimé : C:\Windows\_delis32.ini 

¤

Absent : C:\Program Files\Ask.com 
Absent : C:\Program Files\pdfforge Toolbar 
Supprimé : C:\ProgramData\Ask 
Supprimé : C:\Program Files\DAEMON Tools Toolbar 

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows Vista Home Premium Edition
Windows Information:		Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer:	ASUSTek Computer INC.
BIOS Manufacturer:		Phoenix Technologies, LTD
System Manufacturer:		HP-Pavilion
System Product Name:		RZ482AA-ABF m8090.fr
Logical Drives Mask:		0x0000079c

Analysis of file "C:\Pre_Scan\MBR.bin":
Hewlett-Packard MBR code detected

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 19:16:02

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

&#9654 Télécharge Sur cette page : AdwCleaner (de Xplode) 

&#9654 clique sur Télécharger et enregistre le fichier sur ton Bureau

&#9654 Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation

==================================

&#9654&#9654&#9654  Sous Vista et Windows 7 /!\ :

il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

==================================

Sur le menu principal :
    
&#9654 clique sur Suppression et patiente le temps de l'analyse

&#9654 poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

fred9263 · Answer

Voila le rapport :


# AdwCleaner v1.502 - Rapport créé le 24/03/2012 à 11:40:47
# Mis à jour le 17/03/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : PC de bureau - PC-DE-BUREAU
# Exécuté depuis : C:\Users\PC de bureau\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [H. Navipromo] *****


***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.DllInfo
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDF
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFEncryptor
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFLine
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.PDF.PDFText
Clé Supprimée : HKLM\SOFTWARE\Classes\pdfforge.Tools
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\PC de bureau\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1513 octets] - [24/03/2012 11:40:47]

########## EOF - C:\AdwCleaner[S1].txt - [1641 octets] ##########

g3n-h@ckm@n · Answer

&#9654 Télécharge Malwarebytes' Anti-Malware (MBAM).

Malwarebytes : clique pour la version FREE

ou : lien mirroir

&#9654 enregistre l'exécutable sur le bureau. (attention! ne pas télécharger Registry booster ou autre chose que MBAM.)

&#9654 Installe-le puis configure-le comme ceci :

Configuration

si tu n'as rien modifié fais directement quitter sinon enregistrer 

&#9654 Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

&#9654&#9654&#9654 Ce logiciel gratuit est à garder.

===================================================

Uniquement en cas de problème de mise à jour:

Télécharger mises à jour manuelles MBAM

&#9654 Exécute le fichier après l'installation de MBAM

===================================================

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.
&#9654 Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
&#9654 Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
&#9654 Sélectionne "Exécuter un examen complet"
&#9654 Clique sur "Rechercher"
&#9654 L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

 Citation :

    L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

&#9654 Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
&#9654 Ferme tes navigateurs.
&#9654 Si des malwares ont été détectés, clique sur Afficher les résultats.
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. 

&#9654 Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc : &#9654  fais-le.

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage : &#9654 clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

fred9263 · Answer

Voila le rapport :

 Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.25.01

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
PC de bureau :: PC-DE-BUREAU [administrateur]

25/03/2012 12:04:39
mbam-log-2012-03-25 (12-04-39).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 448359
Temps écoulé: 2 heure(s), 27 minute(s), 12 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 9
C:\Pre_Scan\Quarantine\msuuvgz.com.P_S (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files\WinRAR\CORE10k.EXE (Dont.Steal.Our.Software) -> Mis en quarantaine et supprimé avec succès.
C:\Users\PC de bureau\Documents\Fred\Dossier de transfert\Mail\Flash player\Stress.exe (Joke.Stressreducer) -> Mis en quarantaine et supprimé avec succès.
C:\Users\PC de bureau\Documents\Marie\JEUX\Stress.exe (Joke.Stressreducer) -> Mis en quarantaine et supprimé avec succès.
G:\AppData\Local\Temp\msuuvgz.com (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
G:\Documents\Fred\Dossier de transfert\Mail\Flash player\Stress.exe (Joke.Stressreducer) -> Mis en quarantaine et supprimé avec succès.
G:\Documents\Marie\JEUX\Stress.exe (Joke.Stressreducer) -> Mis en quarantaine et supprimé avec succès.
G:\SAUVEGARDE dossier mes Documents DU 04-03-12\Fred\Dossier de transfert\Mail\Flash player\Stress.exe (Joke.Stressreducer) -> Mis en quarantaine et supprimé avec succès.
G:\SAUVEGARDE dossier mes Documents DU 04-03-12\Marie\JEUX\Stress.exe (Joke.Stressreducer) -> Mis en quarantaine et supprimé avec succès.

(fin)



Le message apparait toujours au demarrage :
"Impossible de charger ou d'executer 'C:\Users\PCDEBU~1\LOCALS~1\Temp\msuuvgz.com' specifié dans le Registre. Verifiez que le fichier existe sur votre ordinateur ou supprimez la référence dans le Registre"

g3n-h@ckm@n · Answer

▶ Télécharge Dr Web CureIt sur ton Bureau : ▶ redemarre en mode sans échec ▶- Double clique (clic droit "en tant qu'admin" sous Vista) et ensuite clique sur ; ▶- Clique à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton . Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X". ▶- Lorsque le scan rapide est terminé, clique sur le menu puis ; Choisis l'onglet , et décoche . Clique ensuite sur . ▶- De retour à la fenêtre principale : clique pour activer selectionne tous les disques ▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera. ▶- Clique pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter". ▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône , au dessous, et choisis . ▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu et choisis . Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv ▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses ensuite : heberge l'archive et donne le lien ▶- Ferme Dr.Web Cureit ▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

fred9263 · Answer

Apres le scan, 19 virus detectés...

Par contre, nous ne sommes pas arrivé a les choisir pour les mettre en quarantaine, selon ma mere, ils y etaient deja, bref, ensuite au moment d'enregistrer le rapport, un message d'erreur est apparu et ca a degagé l'appli.
Donc pas de rapport, tu penses qu'il faut relancer le scan ? toujours en sans echec ?

g3n-h@ckm@n · Answer

le rapport est copié ici :

c:\users	a session\DrWeb\CureIt.log

fred9263 · Answer

Le fichier fait 89Mo, ca mouline et je n'arrive pas a l'envoyer via http://pjjoint.malekal.com/

as tu un autre site ?

g3n-h@ckm@n · Answer

normal je t'ai demandé de le compresser....

fred9263 · Answer

:-(((((

"Le fichier choisi est invalide".... j'ai meme changé les extensions, de.zip, je suis passé à .txt, .log, j'ai meme supprimé l'extension mais il ne veut rien savoir.

Le fichier en compressé ne fait plus que 5.9Mo, c'est mieux  ;-)

g3n-h@ckm@n · Answer

relance pre_scan , choisis "tools" puis TDSSKiller

l'outil va telecharger la derniere version directement chez Kaspersky

L'écran de TDSSKiller s'affiche:

Illustration

- Laisser cochées les 2 options par défaut -Visible via l'onglet "change parameter".

Illustration

&#9654 Et coche les 2 options supplémentaires:

Illustration

&#9654 Clique sur Start scan pour lancer l'analyse.

- Si une menace est détectée (Threats detected) vérifie que, suivant le cas:

En général, laisse les options proposées par défaut par l'outil

l'option "delete" (effacer) est bien cochée pour la famille TDL2
l'option "delete" (effacer) est bien cochée pour tout objet de la forme chiffre_aléatoire:chiffre_aléatoire.exe
l'option "delete" (effacer) est bien cochée pour tout service de la forme chiffre et/ou lettre aléatoire (hidden file)
l'option "cure" (réparer ) pour la famille TDL3.
l'option "cure" (réparer ) pour la famille tdl4(\HardDisk0\MBR).
l'option "cure" (réparer) pour la famille Rootkit.Win32.ZAccess

&#9654 puis clique sur Continue.

- laisse l'action par défaut "skip" (sauter) pour les "suspicious objects. low risks", avant de savoir ce que c'est, puis clique sur Continue.

Illustration

En fin d'analyse il peut être demandé de relancer la machine:

&#9654 clique sur Reboot Now.

&#9654 Si aucun reboot n'est demandé, clique sur le bouton Report et poste le contenu du fichier qui s'affiche.
&#9654 Si un reboot est demandé, aprés redémarrage tu trouveras le contenu du rapport de TDSSKiller ici:
SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)

[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

fred9263 · Answer

Que des suspicious objects, medium risk, donc ils etaient tous en skip

Voila le rapport :
http://pjjoint.malekal.com/files.php?id=20120327_e13p10l14g6z5

g3n-h@ckm@n · Answer

essaie de m'envoyer le CureIt.zip ici : 

http://gen-hackman.servequake.com/Uploads/ 

clic sur upload , selectionne le fichier puis envoie-le
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

fred9263 · Answer

Fichier envoyé !!

g3n-h@ckm@n · Answer

voici le resumé :

(c'est sûr que si tu joues avec des  cracks....)

>C:\Documents and Settings\PC de bureau\AppData\Local\Application Data\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\6GV46U1Q\main[1].htm/JSTAG_1[eb][36ae] - infecté par Exploit.JavaScript.179

>>C:\Documents and Settings\PC de bureau\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\1441824d-1180bc6b infecté par Trojan.DownLoader5.51841 - supprimé

>C:\Documents and Settings\PC de bureau\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\7af32dc9-56466f6f/a/Test.class - infecté par Java.Downloader.548
>C:\Documents and Settings\PC de bureau\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\7af32dc9-56466f6f/a/Help.class - infecté par Java.Downloader.548
C:\Documents and Settings\PC de bureau\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\7af32dc9-56466f6f - l'archive contient des éléments infectés - déplacé en quarantaine

>>C:\Documents and Settings\PC de bureau\Desktop\Nouveau dossier (2)\Daemon Tools 4.0 + crack\crack.exe infecté par Trojan.Click2.9345 - supprimé

>C:\Documents and Settings\PC de bureau\DoctorWeb\Quarantine\main[1].htm/JSTAG_1[eb][36ae] - infecté par Exploit.JavaScript.179

>>C:\Program Files\WinRAR\crack.exe infecté par Trojan.Click2.9345 - supprimé

>>F:\ordinateur sauvegarde du 18-02-12\Desktop\Nouveau dossier (2)\Daemon Tools 4.0 + crack\crack.exe infecté par Trojan.Click2.9345 - supprimé

>G:\AppData\Local\Microsoft\Windows\Temporary Internet Files\Low\Content.IE5\6GV46U1Q\main[1].htm/JSTAG_1[eb][36ae] - infecté par Exploit.JavaScript.179

>>G:\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\13\1441824d-1180bc6b infecté par Trojan.DownLoader5.51841 - supprimé

>G:\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\7af32dc9-56466f6f/a/Test.class - infecté par Java.Downloader.548
>G:\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\7af32dc9-56466f6f/a/Help.class - infecté par Java.Downloader.548
G:\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\9\7af32dc9-56466f6f - l'archive contient des éléments infectés - déplacé en quarantaine

>>G:\Desktop\Nouveau dossier (2)\Daemon Tools 4.0 + crack\crack.exe infecté par Trojan.Click2.9345 - supprimé

fred9263 · Answer

.... c'etait a l'epoque !!!

OK, donc quelle est la prochaine etape ? L'ordi est maintenant sain ???

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

fred9263 · Answer

Nouveau rapport :

http://pjjoint.malekal.com/files.php?id=OTL_20120328_q10e13s7g8l12

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\System32\eztw32.dll 


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

========================

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
IE - HKU\S-1-5-21-2844725148-3428211992-1897770695-1001\..\SearchScopes\{A63B228F-6E59-4E7F-8CF1-C991FB7CC71E}: "URL" = http://www.search.ask.com/?l=dis{searchTerms}&locale=fr_FR&apn_ptnrs=U3&apn_dtid=OSJ000YYFR&apn 
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=:  File not found
FF - HKLM\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=:  File not found
O4 - HKLM\..\Run: [CCUTRAYICON] FactoryMode File not found
O4 - HKU\S-1-5-21-2844725148-3428211992-1897770695-1001\..\Run: [ISUSPM Startup] C:\PROGRA~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup File not found     
F3 - HKU\S-1-5-21-2844725148-3428211992-1897770695-1001 WinNT: Load - (C:\Users\PCDEBU~1\LOCALS~1\Temp\msuuvgz.com) -  File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)     

:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"HP Software Update"=-
"iTunesHelper"=-
"QuickTime Task"=-
"WinampAgent"=-

:Files
C:\Users\PC de bureau\AppData\Local\{*}     

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

fred9263 · Answer

https://www.virustotal.com/file/3542231eefc333555ed92afef3dcdd8b9a2e7ac05485f51e5165f3da2350c286/analysis/

Voila le lien du rapport effectué avec Virus total

g3n-h@ckm@n · Answer

la suite ?

fred9263 · Answer

All processes killed
========== PROCESSES ==========
No active process named explorer.exe was found!
Process iexplore.exe killed successfully!
No active process named firefox.exe was found!
Process msnmsgr.exe killed successfully!
No active process named Teatimer.exe was found!
========== OTL ==========
Registry key HKEY_USERS\S-1-5-21-2844725148-3428211992-1897770695-1001\Software\Microsoft\Internet Explorer\SearchScopes\{A63B228F-6E59-4E7F-8CF1-C991FB7CC71E}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A63B228F-6E59-4E7F-8CF1-C991FB7CC71E}\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@Apple.com/iTunes,version=\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@real.com/nsJSRealPlayerPlugin;version=\ not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run not found.
Registry value HKEY_USERS\S-1-5-21-2844725148-3428211992-1897770695-1001\Software\Microsoft\Windows\CurrentVersion\Run\ISUSPM Startup not found.
Registry value HKEY_USERS\S-1-5-21-2844725148-3428211992-1897770695-1001\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load:C:\Users\PCDEBU~1\LOCALS~1\Temp\msuuvgz.com deleted successfully.
Starting removal of ActiveX control {E2883E8F-472F-4FB0-9522-AC9BF37916A7}
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{E2883E8F-472F-4FB0-9522-AC9BF37916A7}\ not found.
========== REGISTRY ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\HP Software Update not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\iTunesHelper not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\QuickTime Task not found.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\WinampAgent not found.
========== FILES ==========
File\Folder C:\Users\PC de bureau\AppData\Local\{*} not found.
========== COMMANDS ==========

 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: IUSR_NMPR
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: PC de bureau
->Temp folder emptied: 673027455 bytes
->Temporary Internet Files folder emptied: 216293702 bytes
->Java cache emptied: 18510143 bytes
->Google Chrome cache emptied: 6245639 bytes
->Flash cache emptied: 1963816 bytes
 
User: Public
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 1462006495 bytes
RecycleBin emptied: 892 bytes
 
Total Files Cleaned = 2 268.00 mb
 
 
OTL by OldTimer - Version 3.2.39.2 log created on 03292012_210042

Files\Folders moved on Reboot...
File\Folder C:\Windows	emp\logishrd\LVPrcInj08.dll not found!
File move failed. C:\Windows	emp
msmc_DQLWinService.log scheduled to be moved on reboot.

Registry entries deleted on Reboot...

g3n-h@ckm@n · Answer

encore des soucis ?

fred9263 · Answer

Nikelllllll !!!
Merci, il demarre parfaitement et on trouve qu'il est plus rapide qu'avant l'infection.

Par contre questions subsidiaire :
Quel anti-virus conseilles tu afin de le proteger correctement ?
Peut-on utiliser PreScan en analyse sur d'autres PC afin de les nettoyer ? ou cela est deconseillé sans avis d'un specialiste ?

PS : sur mon autre soucis (autre PC) de fenetres de pub qui arrivent de temps en temps, doit on ouvrir un autre forum ? PreScan peut-il faire le menage tout simplement ?

En tout cas, un tres grand MERCI !!

g3n-h@ckm@n · Answer

faut qu on ouvre un nouveau sujet pour l autre pc

pre_scan n'est pas fait pour les adwares 

on finit deja celui-ci ...fais ce grand menage pour finir :)

https://gen-hackman.kanak.fr/

fred9263 · Answer

Je parlais pas d'utiliser Pre_scan pour le PC qui a les fenetres de pub qui s'ouvre mais pour d'autres PC en general que j'ai.

Pour le grand menage final :
- j'ai lancé WhyIGotInfected.exe mais la barre reste bloquée au quart de l'avancement...
- j'ai vidé la quarantaine de Malwarebyte
- j'ai telechargé CCleaner, mais question, les appli de cochées, il va faire quoi, les supprimer ou juste un menage des fichiers qui servent a rien.

et on continue de suivre les procedures decrites dessus...

OK pour ouvrir un autre forum pour le probleme des fenetres de pub, je te laisse l'ouvrir (je sais pas comment faire  :-(  )

g3n-h@ckm@n · Answer

re

juste un menage des fichiers qui servent a rien.

 pour l'autre pc ca se passe là :

https://forums.commentcamarche.net/forum/affich-24844659-fred9263-2-pour-g3n-pc2#p24844659

fred9263 · Answer

OK

et donc Pre_scan pour tout autres PC, s'utilise ?

Sinon, je pense que l'on peux fermer ce forum

Merci pour toute ton aide sur ce sujet

g3n-h@ckm@n · Answer

bah ca devrait pas faire de mal mais comme tu ne sais pas interpreter le rapport.....