virus police

Question

Bonjour, 



J'ai été atteint par ce virus il y a 1 semaine. Aucune solution ne marche. Ni les anti-virus, ni la suppression d'explorer.exe. C'est une horreur!
Je suis sur XP. Quand j'ouvre mon ordi en mode normal tout est bloqué y compris les meilleurs anti-virus.

Jboune · Answer

Bonjour
avez vous tenter ces méthodes?
https://www.commentcamarche.net/faq/33857-ransomware-virus-gendarmerie-votre-ordinateur-est-bloque

https://www.commentcamarche.net/faq/33278-trojan-winlock-virus-gendarmerie-anssi-police-interpol

si celà correspond,
A+

g3n-h@ckm@n · Answer

salut calme-toi et donne des precisions

en mode sans echec tu as accès au pc ?

RODOLPHE · Answer

en mode sans échec j'ai accés au pc

g3n-h@ckm@n · Answer

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
https://toolslib.net

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

g3n-h@ckm@n · Answer

laisse tourner !

RODOLPHE · Answer

j'ai laissé tourner: voici le lien vers le rapport obtenu

http://pjjoint.malekal.com/files.php?id=20120419_t11o9h11v14n5

A la fin du scan, le P.C s'éteint puis redémarre en mode normal mais sans possibilité de contrôler quoi que ce soit. La page de démarrage d'internet s'ouvre automatiquement avec ce message:

"hpqthb08.exe
L'application a générée une exeption non gérée
ID processus=0x8e0(2272), ID thread=0x650(1616),
cliquer sur ok pour terminer, annuler pour déboguer"

Aucun des clics n'améliore quoi que ce soit, en cliquant sur déboguer j'obtiens un message me disant que je n'ai pas l'application pour déboguer...

Ensuite mes documents s'ouvre automatiquement avec le même message mais contenant:

"ID processus=0x11d8(4568), IDthread=0x11a0(4512)"

g3n-h@ckm@n · Answer

Relance Pre_scan puis choisis l'option "Script" 

une page vierge va s'ouvrir 

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) : 
___________________________________________________ 
Kill:: 

Registry:: 
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]  
"HP Software Update"=- 
"TkBellExe"=- 
"QuickTime Task"=- 
"iTunesHelper"=- 
[HKU\S-1-5-21-507921405-1303643608-725345543-500\Software\Microsoft\Windows\CurrentVersion\Run]  
"SpybotSD TeaTimer"=- 
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{30528230-99F7-4BB4-88D8-FA1D4F56A2AB}]    
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{347B0667-C7ED-429B-BDE3-CC8D3BACAA31}]   
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA}]  
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA}]  
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA}]  
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}] 
[-HKCU\Software\Microsoft\Byupuz]  
[-HKCU\Software\Microsoft\Ceuk]  
[-HKCU\Software\Microsoft\Emuvf]  
[-HKCU\Software\Microsoft\Erid]  
[-HKCU\Software\Microsoft\Esoka]  
[-HKCU\Software\Microsoft\Esuzci]  
[-HKCU\Software\Microsoft\Igro]  
[-HKCU\Software\Microsoft\Isgov]  
[-HKCU\Software\Microsoft\Liiw]  
[-HKCU\Software\Microsoft\Lokyve]  
[-HKCU\Software\Microsoft\Meafda]  
[-HKCU\Software\Microsoft\Myco]  
[-HKCU\Software\Microsoft\Ozke]  
[-HKCU\Software\Microsoft\Piudz]  
[-HKCU\Software\Microsoft\Ohpy]  
[-HKCU\Software\Microsoft\Qina]  
[-HKCU\Software\Microsoft\Qoto]  
[HKCU\Software\Microsoft\Wikut]  
[-HKCU\Software\Microsoft\Wuyvi]  
[-HKCU\Software\Microsoft\Zoaw]  
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]  
"C:\WINDOWS\system32\wuauclt.exe"=- 

file:: 
h:\Info.exe      
C:\Documents and Settings\Administrateur\hpdj01  
C:\Documents and settings\All Users\ms0003c19b.dat  
C:\Documents and settings\All Users\ms0004bb1e.dat 
C:\Documents and settings\All Users\ms00a2913f.dat  
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ms0003c19b.dat.lnk  
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ms0004bb1e.dat.lnk  
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ms00a2913f.dat.lnk  

folder:: 
C:\Documents and Settings\Administrateur\Application Data\Afap 
C:\Documents and Settings\Administrateur\Application Data\Agduyz  
C:\Documents and Settings\Administrateur\Application Data\Alcues  
C:\Documents and Settings\Administrateur\Application Data\Amoht 
C:\Documents and Settings\Administrateur\Application Data\Anlew 
C:\Documents and Settings\Administrateur\Application Data\Apomak  
C:\Documents and Settings\Administrateur\Application Data\Aqapu  
C:\Documents and Settings\Administrateur\Application Data\Asims 
C:\Documents and Settings\Administrateur\Application Data\Bagyil  
C:\Documents and Settings\Administrateur\Application Data\Dyih  
C:\Documents and Settings\Administrateur\Application Data\Ecaz  
C:\Documents and Settings\Administrateur\Application Data\Edot  
C:\Documents and Settings\Administrateur\Application Data\Efyrwa  
C:\Documents and Settings\Administrateur\Application Data\Ehmeha 
C:\Documents and Settings\Administrateur\Application Data\Ehraot  
C:\Documents and Settings\Administrateur\Application Data\Exlii  
C:\Documents and Settings\Administrateur\Application Data\Feuxz  
C:\Documents and Settings\Administrateur\Application Data\Fisy 
C:\Documents and Settings\Administrateur\Application Data\Fyik  
C:\Documents and Settings\Administrateur\Application Data\Hidyp  
C:\Documents and Settings\Administrateur\Application Data\Huciro  
C:\Documents and Settings\Administrateur\Application Data\Idid  
C:\Documents and Settings\Administrateur\Application Data\Idvi 
C:\Documents and Settings\Administrateur\Application Data\Igkyby  
C:\Documents and Settings\Administrateur\Application Data\Igmuef  
C:\Documents and Settings\Administrateur\Application Data\Ixudi  
C:\Documents and Settings\Administrateur\Application Data\Kugou 
C:\Documents and Settings\Administrateur\Application Data\Luutr  
C:\Documents and Settings\Administrateur\Application Data\Lyga  
C:\Documents and Settings\Administrateur\Application Data\Miekex  
C:\Documents and Settings\Administrateur\Application Data\Nobyy 
C:\Documents and Settings\Administrateur\Application Data\Nymyfu  
C:\Documents and Settings\Administrateur\Application Data\Obyrt 
C:\Documents and Settings\Administrateur\Application Data\Obzoz  
C:\Documents and Settings\Administrateur\Application Data\Ocuz  
C:\Documents and Settings\Administrateur\Application Data\Ogulv  
C:\Documents and Settings\Administrateur\Application Data\Ovpife  
C:\Documents and Settings\Administrateur\Application Data\Oxuty 
C:\Documents and Settings\Administrateur\Application Data\Ozcylu  
C:\Documents and Settings\Administrateur\Application Data\Peuliq 
C:\Documents and Settings\Administrateur\Application Data\Puried  
C:\Documents and Settings\Administrateur\Application Data\Qeqa  
C:\Documents and Settings\Administrateur\Application Data\Qybe  
C:\Documents and Settings\Administrateur\Application Data\Sukiur  
C:\Documents and Settings\Administrateur\Application Data\Ulmon  
C:\Documents and Settings\Administrateur\Application Data\Unfa  
C:\Documents and Settings\Administrateur\Application Data\Upiv  
C:\Documents and Settings\Administrateur\Application Data\Urixd  
C:\Documents and Settings\Administrateur\Application Data\Uvag  
C:\Documents and Settings\Administrateur\Application Data\Uxzu  
C:\Documents and Settings\Administrateur\Application Data\Vokiy  
C:\Documents and Settings\Administrateur\Application Data\Weupun  
C:\Documents and Settings\Administrateur\Application Data\Wovo  
C:\Documents and Settings\Administrateur\Application Data\Xuiwc  
C:\Documents and Settings\Administrateur\Application Data\Xuopu 
C:\Documents and Settings\Administrateur\Application Data\Ygce  
C:\Documents and Settings\Administrateur\Application Data\Ykux  
C:\Documents and Settings\Administrateur\Application Data\Yrylw 
C:\Documents and Settings\Administrateur\Application Data\Ytnu  
C:\Documents and Settings\Administrateur\Application Data\Yvca  
C:\Documents and Settings\Administrateur\Application Data\Yxtyo 
C:\Documents and Settings\Administrateur\Application Data\Yzar  
C:\Documents and Settings\Administrateur\Application Data\Zawyhy  
C:\Documents and Settings\Administrateur\Application Data\Zeyw 
C:\Documents and Settings\Administrateur\Application Data\Zilu  

MBR:: 

clean::       

Reboot::         
___________________________________________________ 

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge. 

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille  

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail  

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

RODOLPHE · Answer

Voici le lien: 

http://pjjoint.malekal.com/files.php?id=20120419_f13u7j10i9v14

De plus, à la suite du script, tout se passait bien dans la relance de l'ordi. jusqu'au démarrage internet où le virus est réapparu à la vitesse de l'éclair pour encore tout bloquer sans que j'ai le temps de cliquer sur l'alerte de mon antii-virus, impressionnant!

g3n-h@ckm@n · Answer

doit y avoir un zaccess qui le retelecharge

================

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

fguionie · Answer

Personnellement ça m'est arrivé j'ai fais beaucoup plus simple : 

- tu éteins ton pc
- tu rallumes en mode sans échec AVEC PRISE EN CHARGE DU RESEAU (F8)
- une fois ceci fait tu télécharges Malwayrebyte anti malwere
- tu fais une analyse et tu supprime le virus
- enjoy

g3n-h@ckm@n · Answer

essaie de faire ce que tu viens de dire avec la derniere variante voir ? ^^

RODOLPHE · Answer

voici le lien vers le rapport:

http://pjjoint.malekal.com/files.php?id=20120419_n14r10m11m11h7

g3n-h@ckm@n · Answer

ok j'ai mis pre_scan à jour

quoi qu'il en soit :


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

RODOLPHE · Answer

J'ai fini par récupérer malawarebytes. Malheureusement, lorsque j'essaie de lancer le scan sur mon P.C vérolé par le virus police cela m'affiche un message MALAWAREBYTES ANTI-MALAWARE:

"erreur d'exécution 13: type incompatible"

g3n-h@ckm@n · Answer

relance pre_scan choisis Tools puis TDSSKiller

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

RODOLPHE · Answer

Comme pour Malawarebytes, il m'est impossible de lancer pre-scan même en mode sans échec. Le message suivant s'affiche:

Windows ne trouve pas 'C:/Pre-Scan/tdsskiller.exe'.Vérifiez que vous avez entré le nom correctement et essayez à nouveau.

eT PENDANT CE TEMPS LA SITUATION S4AGGRAVE SUR MON p;c DE SECOURS AVEC LEQUEL JE CONTINUE DE ME CONNECTER içi.; Il est de plus en plus lent et le rapport que j'ai laissé içi n' pas été pris en compte

g3n-h@ckm@n · Answer

▶ Télécharge DelFix sur ton bureau.

▶ Lance le, tape suppression puis valide

Patiente pendant le scan jusqu'à l'ouverture du rapport.

▶ Copie/Colle le contenu du rapport dans ta prochaine réponse.

Note : Le rapport se trouve également sous C:\DelFix.txt

tu peux le desinstaller
_________________________________________________

▶ essaies de telecharger les logiciels d'un autre PC et de les graver (les cles usb s'infectant trop facilement)
___________________________________________________

▶ Télécharge Dr Web CureIt sur ton Bureau :

▶ redemarre en mode sans échec

▶- Double clique (clic droit "en tant qu'admin" sous Vista) <drweb-cureit.exe> et ensuite clique sur <Analyse>;

▶- Clique <Ok> à l'invite de l'analyse rapide. S'il trouve des processus infectés alors clique le bouton <Oui>.

Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" : Quitte en cliquant le "X".

▶- Lorsque le scan rapide est terminé, clique sur le menu <Options> puis <Changer la configuration> ; Choisis l'onglet <Scanner>, et décoche <Analyse heuristique>. Clique ensuite sur <Ok>.
▶- De retour à la fenêtre principale : clique pour activer <Analyse complète>

selectionne tous les disques

▶- Clique le bouton avec flèche verte sur la droite, et le scan débutera.
▶- Clique <Oui> pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique "Désinfecter".
▶- Lorsque le scan sera complété, regarde si tu peux cliquer sur l' icône, adjacente aux fichiers détectés (plusieurs feuilles l'une sur l'autre). Si oui, alors clique dessus et ensuite clique sur l'icône <Suivant>, au dessous, et choisis <Déplacer en quarantaine l'objet indésirable>.
▶- Du menu principal de l'outil, au haut à gauche, clique sur le menu <Fichier> et choisis <Enregistrer le rapport>. Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv

▶-pour le rapport tu l enregistres sur ton bureau , tu clic droit dessus /envoyer vers / dossiers compresses

ensuite :

héberge l'archive et donne le lien

▶- Ferme Dr.Web Cureit
▶- Redémarre ton ordi (important car certains fichiers peuvent être déplacés/réparés au redémarrage).

RODOLPHE · Answer

Le lien avec DELFIX ne fonctionne pas.
pOUR LE CHARGEMENT DES LOGICIELS TU ME CONSEILLES D'utiliser un CD-ROM c'est ça?

RODOLPHE · Answer

voici le lien vers le rapport:


http://pjjoint.malekal.com/files.php?read=20120422_e8t8t10u12u7

g3n-h@ckm@n · Answer

hello

regarde si tu as encore ce fichier , auquel cas , supprime-le

c:\documents and settings\all users\application Data\asocomsimrim.dat

RODOLPHE · Answer

Ce fichier a disparu. Puis-je me reconnecter à internet?

g3n-h@ckm@n · Answer

oui 

desinstalle malwarebytes avec ceci : 

https://data-cdn.mbamupdates.com/v1/tools/mbam-clean/data/mbam-clean-2.3.0.1001.exe 

puis retelecharge l'installeur version Free et reinstalle-le , ensuite , mise à jour , scan complet , supppression des objets trouvés , rapport 

https://fr.malwarebytes.com/
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

RODOLPHE · Answer

voici le lien vers le rapport:

http://pjjoint.malekal.com/files.php?id=20120423_11h10b11i7o14

Il semble que je puisse me connecter normalement à internet mais j'ai deux problèmes:

1) un dossier avec toutes mes photos a disparu au cours des opérations de désinfection. Comment puis-je le retrouver?

2) Mon P.C est ultra-lent

g3n-h@ckm@n · Answer

en afficahnt les fichies cachés reappparait-il ?

RODOLPHE · Answer

Comment fait-on pour afficher les fichiers cachés?

g3n-h@ckm@n · Answer

demarrer/panneau de configuration/option des dossiers/affichage

=> afficher les fichiers cachés

RODOLPHE · Answer

et où s'affichent-ils?

g3n-h@ckm@n · Answer

??????????premiere fois qu on me la pose celle-la mouahahah !!! 

ben va voir si tu vois tes photos ^^ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

RODOLPHE · Answer

Ca a le mérite de te faire marrer, c'est déjà ça...

Non mes photos sont toujours introuvables. Où puis-je les retrouver ailleurs?

g3n-h@ckm@n · Answer

tu as bien validé quand tu as mis l'option "afficher les fichiers cachés" ? 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

RODOLPHE · Answer

j'ai bien validé par "appliquer"

g3n-h@ckm@n · Answer

ok execute ca , à la fin il te sortira un rapport avec toutes les photos du pc à coté de l'executable

http://gen-hackman.servequake.com/Tools/recherche_photos.bat

RODOLPHE · Answer

je ne retrouve pas mes photos dans la liste du rapport

g3n-h@ckm@n · Answer

ok supprime le rapport

clique droit sur le fichier que je viens de t'envoyer puis selectionne Modifier

rajoute un H ici

('dir /AH/B/S "%Homedrive%\*.*"

referme et relance-le

RODOLPHE · Answer

tu m'as  en voyé le fichier où?

g3n-h@ckm@n · Answer

recherche_photos.bat

RODOLPHE · Answer

je ne comprends pas tes deux dernires messages

g3n-h@ckm@n · Answer

je te fais telecharger un petit programme

il ne met pas le nom des photos dans la liste

je te demande de le modifer 

tu me demandes modifier quoi..

???????????????????????????????

RODOLPHE · Answer

tu me parles de ce fichier?

http://gen-hackman.servequake.com/Tools/recherche_photos.bat 

je ne comprends pas tes messages

g3n-h@ckm@n · Answer

oui

RODOLPHE · Answer

ok.

mais je ne peux plus ouvrir le lien.

Sinon il m'a bien mis le nom de photos dans la liste mais pas celles que j'avais regrouppées dans un dossier qui étaient mes photos souvenir perso. Celles là ont disparu lors des opérations de désinfection.

g3n-h@ckm@n · Answer

tu l'as executé directement d'internet sans le telecharger.....on execute jamais un programme directement d'internet !

RODOLPHE · Answer

???????????

Le lien ne marche plus.

g3n-h@ckm@n · Answer

hello 

ben forcement je l'ai retiré :) 

tiens je t'en ai refait un 

http://gen-hackman.servequake.com/Tools/recup'_photos.bat 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

RODOLPHE · Answer

ton lien est toujours inutilisable, il ne fonctionne pas

RODOLPHE · Answer

Merci. Malheureusement les photos n'y sont pas.

Je pense qu'elles ont disparu à l'occasion d'une opération de désinfection car le dossier dans lequel elles étaient avait été touché. Qu'en penses-tu?

g3n-h@ckm@n · Answer

mmmmmm...elles se trouvaient dans quel dossier ?

RODOLPHE · Answer

un dossier que j'avais nommé "mes documents"

g3n-h@ckm@n · Answer

et il se trouvait où ?essaie de donner le maximum de precisions dans chaque réponse parce là je suis obligé de te tirer les vers du nez pour avoir quelque chose et c est pas logique....

RODOLPHE · Answer

Ben c'est un dossier que j'ai créé avec tous mes docs persos et qui se trouvait sur le bureau, facile d'accès.

g3n-h@ckm@n · Answer

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
net1.exe
Rundll32.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
%Userprofile%\Bureau\*
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens

RODOLPHE · Answer

Voici les liens:

http://pjjoint.malekal.com/files.php?id=20120427_b105x8x6n5

http://pjjoint.malekal.com/files.php?id=20120427_f6h11r6b6k8

g3n-h@ckm@n · Answer

indicatioons non suivies recommence

RODOLPHE · Answer

OK j'ai rectifié:

http://pjjoint.malekal.com/files.php?id=20120428_h7f5e15w8o12

http://pjjoint.malekal.com/files.php?id=20120428_z11b9p13e9s8

g3n-h@ckm@n · Answer

desinstalle spybot
desinstalle tout Java

=========

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\system32\OdiAPI.dll

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

===========

RODOLPHE · Answer

j e n'arrive pas à ouvrir virus total

g3n-h@ckm@n · Answer

avec aucun navigateur ?

RODOLPHE · Answer

J'ai repris java. Voici le lien:

466f16bb87d0829320de0e7515282c31bd454d4aaedff2c04068dda500f33a0b

g3n-h@ckm@n · Answer

c'est le lien de la barre d'adresse qui'il me faut celui qui commence par http://....etc

RODOLPHE · Answer

ok voilà le lien:

https://www.virustotal.com/file/466f16bb87d0829320de0e7515282c31bd454d4aaedff2c04068dda500f33a0b/analysis/1335786567/

g3n-h@ckm@n · Answer

ok t'as viré spybot ?

RODOLPHE · Answer

De retour de l'hosto, ce qui explique mon absence durant la semaine de cette file qui m'est très utile.

Non, je n'ai effectivement pas réussi à virer SPYBOT, si tu as un petit truc...

g3n-h@ckm@n · Answer

demarrer=> panneau de configuration => ajout/suppression de programmes=> spybot => desinstaller

RODOLPHE · Answer

Oui j'ai fait cela mais il me reste ce fichier que je n'arrive pas à désinstaller

SDHelper.dll

g3n-h@ckm@n · Answer

redemarre le pc et supprime-le

RODOLPHE · Answer

je n'arrive pas à le supprimer car l'accés m'est refusé

g3n-h@ckm@n · Answer

essaie en mode sans echec

RODOLPHE · Answer

ok SPYBOT viré

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

RODOLPHE · Answer

Mais le nettoyage a déjà été fait.
Là je cherche a récupérer mes photos et documents qui ont disparu pendant ce nettoyage. Je ne comprend pas ton dernier message

g3n-h@ckm@n · Answer

re 

desole c etait pas pour toi je me suis melangé les pages.... 

faudrait essayer de les recuperer avec Recuva 

https://www.ccleaner.com/recuva

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

RODOLPHE · Answer

J'ai réussi à récupérer à peu près 10% de mes photosavec RECUVA. Y a t'il un autre moyen pour en récupérer plus?

g3n-h@ckm@n · Answer

je ne pense pas non à moins qu il existe un logiciel qui les recrée ^^

Virus police

73 réponses

Discussions similaires

Newsletters