Virus écran blanc bloqué

warvil Messages postés 42 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

un page de pub m'a donner un virus qui fait que mon écran devient tout blanc et est bloqué, je ne peux plus rien faire.
si je rallume mon ordi, peut après, un page internet essaye de s'ouvrir sans y arriver (l'adresse de la page internet est: www.police13.intelli-wrap.com) et directement après, la page blanche apparait et je ne peux plus rien faire.

aider moi svp :)

24 réponses

  • 1
  • 2
Résumé de la discussion

Problème rencontré : un logiciel malveillant affiche une page blanche et bloque l’ordinateur, et après redémarrage une page tente de s’ouvrir vers une adresse comme police13.intelli-wrap.com.
Plusieurs mesures préconisées incluent l’utilisation d’un outil de diagnostic comme ZHPDiag pour analyser le système et générer un rapport à transmettre via le site de partage Malekal.
Il est aussi recommandé de désinstaller les barres d’outils indésirables et d’éviter les installations qui installent des publicités ou des proxys, puis d’effectuer un scan avec Pre_Scan et suivre les consignes pour le rapport.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Raison de plus.
    Les infections ont évolué depuis.
    C'comme la grippe, chaque année elle évolue pour contrer les vaccins.

    ===================================================

    Pour ton PC :

    ▶ Télécharge ZHPDiag (de Nicolas Coolman)

    ou :ZHPDiag

    Enregistre le sur ton Bureau.

    Une fois le téléchargement achevé,

    ▶ Installe et lance ZHPDiag.exe

    ▶ Clique sur le tournevis puis sur Tous pour cocher toutes les cases des options.

    ▶ Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse,

    ▶ Pour me transmettre ton rapport utilise le site http://pjjoint.malekal.com

    ▶ Clique sur Parcourir et cherche le fichier C:\ZHP\ZHPDiag.txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Envoyer le fichier".

    Un lien de cette forme :

    https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120312_q15b11x7g11u5

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    3
    1. warvil Messages postés 42 Statut Membre
       
      peut etre, moi je voulais juste l'aider.
      je vais essayer ta demarche, merci
      0
    2. warvil Messages postés 42 Statut Membre
       
      j'ai lancer l'annalyse, mais apres un petit temps l'annalyse s'arrete et c'est marquer "violation d'acces a l'adresse 77108.... dnas le module 'ntdll.dll'. ecriture de l'adresse 004...."
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      t'as pas lancé zhpdiag en clic droit -> exécuter en tant qu'administrateur.
      0
    4. warvil Messages postés 42 Statut Membre
       
      si j'ai fait, apres j'ai cliquer sur le tourne vis, puisur "tout" puis sur la loupe. et apres 2% ca met le message. j'ai recommencer plusieur fois
      0
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Internet Explorer pas à jour

    =====================

    Désinstalle tout ce qui contient le mot "Toolbar"

    T'installe n'importe quoi sur ton PC, tu lis pas les CGU des logiciels, tu décoches pas les options quand tu installe un programme gratuit, du coup tu te chope des adwares et compagnie.

    =====================

    Télécharge et enregistre Pre_Scan sur ton bureau :

    http://www.forums-fec.be/gen-hackman/Pre_Scan.exe

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois téléchargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://www.forums-fec.be/gen-hackman/Pre_Scan.pif

    ou cette version renommée winlogon.exe :

    http://www.forums-fec.be/gen-hackman/winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

    =============

    pour faire evoluer l'outil , l'auteur a besoin du fichier reboot.txt qui se trouve dans le Dossier C:\Pre_scan

    relance pre_scan , clic sur "Explore" , puis "Internet" , puis "Upload"
    une page internet va s'ouvrir , clic sur Upload , puis "parcourir" , jusqu'au fichier Reboot.txt , puis envoie le fichier

    ce fichier texte (que tu peux ouvrir par curiosité) , contient uniquement ce qui concerne les fichiers infectieux ou des noms de repertoires qui serviront à créer une liste blanche.

    A+
    1
    1. warvil Messages postés 42 Statut Membre
       
      merci beaucoup
      0
    2. warvil Messages postés 42 Statut Membre
       
      le sacn c'est arreter sur %TMP%\*.tmp et mon bureau n'est toujours pas revenu. normale?
      0
    3. g3n-h@ckm@n
       
      laisse tourner
      0
    4. warvil Messages postés 42 Statut Membre
       
      d'accord, mais ca fait bien 10 minutes qu'il bouge plu
      0
    5. g3n-h@ckm@n
       
      bah t'as jamais fait le menage dedans ca veut dire....
      0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    T'es infecté et tu donne des conseils aux autres sans savoir ? :/
    0
    1. warvil Messages postés 42 Statut Membre
       
      j'ai deja eu son virus, et j'ai su l'enlever comme je lui ai expliquer, donc je sais tres bien de quoi je parle
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      et moi aussi ;)
      c'est peut-être par coup de chance car si ce n'est pas la même version, ça ne fonctionne qu'à moitié (ou pas du tout).

      Et en plus tu laisse toutes les failles derrière du coup dans 3 jours tu vois le bonhomme revenir.
      0
    3. warvil Messages postés 42 Statut Membre
       
      je l'ai eu il y a 2 mois
      0
  4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Mouais ....

    J'ai le même bug sur ma station.

    As-tu Windows 7 x64 comme moi? J'ai demandé à Nicolas Coolman de passer voir.

    =============================

    En attendant on va utiliser OTL, un autre outil de diagnostic.

    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.ini
    %systemroot%\Tasks\*.*
    %systemroot%\system32\Tasks\*.*
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    %systemroot%\system32\config\*.exe /s
    %systemroot%\system32\*.sys
    HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
    CREATERESTOREPOINT


    ▶ Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge OTL.txt et extra.txt sur http://pjjoint.malekal.com et donne les liens
    0
    1. warvil Messages postés 42 Statut Membre
       
      ton lien dropbox ne marche pas
      0
    2. warvil Messages postés 42 Statut Membre
       
      et j'ai vista
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      pas grave pour le lien dropbox du moment que tu mets dans le cadre blanc ce qu'il faut ...
      0
    4. g3n-h@ckm@n
       
      hello

      http://forums-fec.be/gen-hackman/Pictures/OTL_config/OTL_Config.PNG
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      j'aime bien tes captures gros helpeur ^^ tes belles flèches toussa... mdr ^^
      merci je modifie le canned :-)
      T'es un chef !
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g3n-h@ckm@n
     
    je sais faut que je le rajoute ca porte à confusion
    0
    1. warvil Messages postés 42 Statut Membre
       
      c'est bon, ca c'est relance, mais j'ai eu un message d'erreur "windows - pas de disque", j'ai fait annuler et ca a recommencer a charger
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ça veut dire que ton windows n'est pas à jour :)
      0
    3. warvil Messages postés 42 Statut Membre
       
      j'ai l'impretion que j'ai rien d'a jour avec vous :)

      voila, mon ordi a redemarer suite a la fin du scan.
      par contre j'ai plu eu l'ecran blanc au demarage (tentot j'avais un peut forcer le bazard et sans faire expret j'ai reuci a planter le virus (je sais pas si c'est possible))
      mais mnt j'arrive plus a ouvrire fire fox, il me donne un rapport de plantage a chaque fois. je dois faire quoi mnt?
      0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Lance Pre_Scan, choisi script, une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    zip::
    C:\Users\quentin\AppData\Roaming\Qefea\syobw.exe

    clean::

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
    1. warvil Messages postés 42 Statut Membre
       
      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.416 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

      quentin : Windows Vista (TM) Home Premium (32 bits)

      Switchs : https://gen-hackman.kanak.fr/

      Script : 21:39:03

      ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


      ¤¤¤¤¤¤¤¤¤ |'Archive zip

      Impossible de constituer l'archive

      ¤


      ¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

      Nettoyage du disque effectué

      ¤


      Fin : 21:39:44

      ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      suis cette procédure pour afficher les fichiers et dossier cachés, ainsi que les fichiers systèmes : https://www.commentcamarche.net/informatique/windows/185-afficher-les-extensions-et-les-fichiers-caches-sous-windows/#pour-afficher-les-fichiers-et-les-dossiers-caches

      puis fais un clic droit -> envoyer vers -> dossier compressé sur C:\Users\quentin\AppData\Roaming\Qefea\syobw.exe

      et envoie le zip sur https://www.cjoint.com/ , puis donne moi le lien

      A+
      0
    3. warvil Messages postés 42 Statut Membre
       
      excuse moi mais je fais un clic droit où?
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      sur le fichier que j'ai mis en gras.
      0
    5. warvil Messages postés 42 Statut Membre
       
      dans Qefea j'ai rien
      0
  8. g3n-h@ckm@n
     
    non t'as rien à jour !!

    installe le service pack 2 de vista
    installe internet explorer 9
    mozilla firefox à mettre à jour

    si presents :

    desinstalle Eazel-FR Toolbar
    desinstalle Complitly
    desinstalle Java update 24
    desinstalle babylon
    desinstalle Ask.com
    desinstalle clickpotatoe
    desinstalle Shopper/ShoppingReports
    desinstalle ResultBar
    desinstalle RelevantKnowledge

    =====================

    Relance Pre_scan puis choisis l'option "Script"

    une page vierge va s'ouvrir

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"=-
    "iTunesHelper"=-
    [HKU\S-1-5-21-1020868702-565258714-1288232725-1000\Software\Microsoft\Windows\CurrentVersion\Run]
    "{99ABC800-DCC1-253C-2B47-A7AD647D76BD}"=-
    "ISUSPM Startup"=-
    [HKLM\Software\Microsoft\Internet Explorer\Toolbar]
    "{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}"=-
    [HKU\S-1-5-21-1020868702-565258714-1288232725-1000\Software\Microsoft\Internet Explorer\Toolbar]
    "Locked"=-
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0FB6A909-6086-458F-BD92-1F8EE10042A0}]
    [-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}]
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}]
    [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}]
    [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
    [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{B320F28C-6347-46e4-98FF-5261CA66FEDA}]
    [-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{CF739809-1C6C-47C0-85B9-569DBB141420}]
    [-HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
    [-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7}]
    [-HKCU\Software\clickpotatolitesa]
    [-HKCU\Software\Complitly]
    [-HKCU\Software\ShopperReports3]
    [-HKCU\Software\Microsoft\Adxuaf]
    [-HKCU\Software\Microsoft\Hoyk]
    [-HKCU\Software\Microsoft\Hyuzli]
    [-HKLM\Software\ClickPotatoLite]
    [-HKLM\Software\ResultBar]
    [-HKLM\Software\ShopperReports3]

    FF::
    user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
    user_pref("browser.search.selectedEngine", "Search the web (Babylon)");
    user_pref("extensions.BabylonToolbar.aflt", "babclient");
    user_pref("extensions.BabylonToolbar.babTrack", "affID=18173");
    user_pref("extensions.BabylonToolbar.bbDpng", 9);
    user_pref("extensions.BabylonToolbar.dfltLng", "en");
    user_pref("extensions.BabylonToolbar.dfltSrch", true);
    user_pref("extensions.BabylonToolbar.hmpg", true);
    user_pref("extensions.BabylonToolbar.id", "90230d7e0000000000000021851de37c");
    user_pref("extensions.BabylonToolbar.instlDay", "15303");
    user_pref("extensions.BabylonToolbar.instlRef", "std");
    user_pref("extensions.BabylonToolbar.keyWordUrl", "http://search.babylon.com/?AF=18173&babsrc=adbartrp&mntrId=90230d7e0000000000000021851de37c&q=");
    user_pref("extensions.BabylonToolbar.lastDP", 9);
    user_pref("extensions.BabylonToolbar.lastVrsnTs", "1.4.35.1018:23:54");
    user_pref("extensions.BabylonToolbar.mntrFFxVrsn", "3.5");
    user_pref("extensions.BabylonToolbar.newTab", true);
    user_pref("extensions.BabylonToolbar.newTabUrl", "http://search.babylon.com/?babsrc=NT_bb");
    user_pref("extensions.BabylonToolbar.prdct", "BabylonToolbar");
    user_pref("extensions.BabylonToolbar.propectorlck", 67382407);
    user_pref("extensions.BabylonToolbar.prtkDS", 1);
    user_pref("extensions.BabylonToolbar.prtkHmpg", 1);
    user_pref("extensions.BabylonToolbar.prtnrId", "babylon");
    user_pref("extensions.BabylonToolbar.ptch_0717", true);
    user_pref("extensions.BabylonToolbar.smplGrp", "none");
    user_pref("extensions.BabylonToolbar.srcExt", "def");
    user_pref("extensions.BabylonToolbar.srchPrvdr", "Search the web (Babylon)");
    user_pref("extensions.BabylonToolbar.tlbrId", "base");
    user_pref("extensions.BabylonToolbar.vrsn", "1.4.35.10");
    user_pref("extensions.BabylonToolbar.vrsnTs", "1.4.35.1018:23:54");
    user_pref("extensions.foxlingo.addit.defaultAddons", "{ \"software\": {\"20\": {\"id\": \"20\",\"title\": \"Babylon\",\"type\": \"EXE\",\"url\": \"https://www.addonfox.com/downloads/babylon.exe\",\"homepage\": \"http://www.babylon.com/\",\"icon url\": \"h
    user_pref("network.proxy.no_proxies_on", "*.local");
    user_pref("browser.startup.homepage", "http://search.babylon.com/?babsrc=HP_Prot");

    command::
    del /f /q "C:\Users\quentin\AppData\Local\Temp\Low\*.emf"
    del /f /q "C:\Users\quentin\AppData\Local\Temp\Low\mp*.*"
    del /f /q "C:\Users\quentin\AppData\Local\Temp\Low\tmp*.FOT"

    txt::
    C:\Windows\System32\Tasks\{38571202-D95E-48A4-BB1E-031A1FE5EACC}
    C:\Windows\System32\Tasks\{388B19B8-F125-45F5-9D72-A9798645E2C9}
    C:\Windows\System32\Tasks\{BF4A8EAD-CAA5-43C9-B7A5-23A1DDD7DBDE}

    file::
    C:\Users\quentin\Downloads\player-plus.exe
    C:\Users\quentin\Downloads\vlc_setup1.1.5-win32.exe
    C:\Users\quentin\Downloads\xvid_setup1.2.2-win32.exe
    C:\Users\quentin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\seti0.exe.lnk

    folder::
    C:\Users\quentin\AppData\Roaming\Qefea
    C:\Users\quentin\AppData\Roaming\Complitly
    C:\Program Files\Eazel-FR
    C:\Program Files\ClickPotatoLite
    C:\Users\quentin\AppData\Roaming\Mozilla\Firefox\Profiles\lson665i.default\extensions\{a8f9752d-e2b8-4e7a-86b5-499f4330e2fe}
    C:\Users\quentin\AppData\Roaming\Mozilla\Firefox\Profiles\lson665i.default\extensions\{EB9394A3-4AD6-4918-9537-31A1FD8E8EDF}
    C:\Users\quentin\AppData\Roaming\Dosa
    C:\Users\quentin\AppData\Roaming\Koge
    C:\ProgramData\36B6A76C0010F3440A8DB10EEEC1FB6E
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ClickPotato
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\RelevantKnowledge
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ShopperReports
    C:\Users\quentin\AppData\Roaming\ClickPotatoLite
    C:\Users\quentin\AppData\Roaming\Ekmio
    C:\Users\quentin\AppData\Roaming\Ifi
    C:\Users\quentin\AppData\Roaming\Ryni
    C:\Users\quentin\AppData\Roaming\ShopperReports3
    C:\ProgramData\ClickPotatoLiteSA
    C:\ProgramData\ResultBar
    C:\Program Files\Complitly
    C:\Program Files\Conduit
    C:\Program Files\RelevantKnowledge
    C:\Program Files\ShopperReports3

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

    =====================

    Télécharge et enregistre ADWcleaner sur ton bureau :

    ADWCleaner (Merci à Xplode)

    Lance le,

    clique sur suppression et poste son rapport.

    ======================

    relance Pre_scan , choisis tools puis TDSSKiller

    l'outil va automatiquement télécharger la derniere version chez Kaspersky

    TDSSKiller va s'ouvrir , clique sur "Start Scan"

    Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
    Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
    Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
    Si Suspicious file est indiqué, laisse l''option cochée sur Skip
    Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

    une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

    sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

    ▶ Copie/Colle son contenu dans ta prochaine réponse.
    0
  9. g3n-h@ckm@n
     
    ben mon script a été bouffé par le robot....
    0
    1. warvil Messages postés 42 Statut Membre
       
      j'ai pas fait cette partie là:
      pour faire evoluer l'outil , l'auteur a besoin du fichier reboot.txt qui se trouve dans le Dossier C:\Pre_scan

      relance pre_scan , clic sur "Explore" , puis "Internet" , puis "Upload"
      une page internet va s'ouvrir , clic sur Upload , puis "parcourir" , jusqu'au fichier Reboot.txt , puis envoie le fichier

      ce fichier texte (que tu peux ouvrir par curiosité) , contient uniquement ce qui concerne les fichiers infectieux ou des noms de repertoires qui serviront à créer une liste blanche.
      c'est peut etre pour ca?
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      non pas grave ça
      0
    3. warvil Messages postés 42 Statut Membre
       
      que dois je faire alors?
      0
    4. warvil Messages postés 42 Statut Membre
       
      * si il y a qq chose a faire
      0
  10. g3n-h@ckm@n
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
    1. warvil Messages postés 42 Statut Membre
       
      Malwarebytes Anti-Malware (Essai) 1.61.0.1400
      www.malwarebytes.org

      Version de la base de données: v2012.04.19.03

      Windows Vista Service Pack 2 x86 NTFS
      Internet Explorer 9.0.8112.16421
      quentin :: PC-DE-QUENTIN [administrateur]

      Protection: Activé

      20/04/2012 8:08:02
      mbam-log-2012-04-20 (08-08-02).txt

      Type d'examen: Examen complet
      Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
      Options d'examen désactivées: P2P
      Elément(s) analysé(s): 453269
      Temps écoulé: 2 heure(s), 46 minute(s), 23 seconde(s)

      Processus mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Module(s) mémoire détecté(s): 0
      (Aucun élément nuisible détecté)

      Clé(s) du Registre détectée(s): 1
      HKLM\SOFTWARE\ResultBar (Adware.ResultBar) -> Mis en quarantaine et supprimé avec succès.

      Valeur(s) du Registre détectée(s): 4
      HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|{99ABC800-DCC1-253C-2B47-A7AD647D76BD} (Trojan.ZbotR.Gen) -> Données: C:\Users\quentin\AppData\Roaming\Qefea\syobw.exe -> Mis en quarantaine et supprimé avec succès.
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|ShopperReports 3.0.497.0 (Adware.HotBar) -> Données: -> Mis en quarantaine et supprimé avec succès.
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|SRS_IT_E8790570BD765A5637AF93 (Malware.Trace) -> Données: -> Mis en quarantaine et supprimé avec succès.
      HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\User Agent\Post Platform|SRS_IT_E8790474B576545334AD90 (Malware.Trace) -> Données: -> Mis en quarantaine et supprimé avec succès.

      Elément(s) de données du Registre détecté(s): 0
      (Aucun élément nuisible détecté)

      Dossier(s) détecté(s): 0
      (Aucun élément nuisible détecté)

      Fichier(s) détecté(s): 3
      C:\Pre_Scan\Quarantine\CSMC11E.tmp.P_S (PUP.Adware.RelevantKnowledge) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\quentin\Downloads\VLC.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
      C:\Users\quentin\Downloads\vlcplayer.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.

      (fin)
      0
  11. g3n-h@ckm@n
     
    je peux savoir à quoi tu joues avec ton pc ?
    0
    1. warvil Messages postés 42 Statut Membre
       
      joue dans quel sens?
      0
  12. g3n-h@ckm@n
     
    on dirait que tu essaies des cracks pendant la desinfection ....;;
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
    1. warvil Messages postés 42 Statut Membre
       
      des cracks?
      0
    2. warvil Messages postés 42 Statut Membre
       
      et sinon, c'est fini?
      0
  13. warvil Messages postés 42 Statut Membre
     
    dois je metre a jours les adobe?
    0
  14. warvil Messages postés 42 Statut Membre
     
    voila deja les 2 scan de WIGI:

    WhyIGotInfected v1.5.2(by Tigzy)
    ********************************

    Run : 20/04/2012 19:27:00 [Normal Mode]
    Machine : PC-DE-QUENTIN (3 CPUs) [quentin : NOT ADMIN]
    OS: Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (x86)

    ~~ Plugins check: ~~

    UPTODATE [Microsoft® Windows Vista(TM) Édition Familiale Premium ] Current : Service Pack 2 -- Latest : Service Pack 2
    OUTDATED [Firefox] Current : 1.9.1.19 -- Latest : 11.0
    UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
    OUTDATED [Java] Current : 1.6.0_24 -- Latest : 1.6.0_31
    OUTDATED [Adobe Reader] Current : 9 -- Latest : 10
    OUTDATED [Adobe Flash] Current : 10.0.32.18 -- Latest : 11.2.202.233
    OUTDATED [Adobe Flash FF Plugin] Current : 10.3.183.11 -- Latest : 11.2.202.233

    Finished
    <C:\Users\quentin\Desktop\WIGIReport[0].txt>
    WIGIReport[0].txt
    0
    1. warvil Messages postés 42 Statut Membre
       
      WhyIGotInfected v1.5.2(by Tigzy)
      ********************************

      Run : 20/04/2012 20:01:52 [Normal Mode]
      Machine : PC-DE-QUENTIN (3 CPUs) [quentin : NOT ADMIN]
      OS: Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (x86)

      ~~ Plugins check: ~~

      UPTODATE [Microsoft® Windows Vista(TM) Édition Familiale Premium ] Current : Service Pack 2 -- Latest : Service Pack 2
      UPTODATE [Firefox] Current : 11.0 -- Latest : 11.0
      UPTODATE [Internet Explorer] Current : 9.0.8112.16421 -- Latest : 9.0.8112.16421
      UPTODATE [Java] Current : 1.6.0_31 -- Latest : 1.6.0_31
      UPTODATE [Adobe Reader] Current : 10 -- Latest : 10
      UPTODATE [Adobe Flash] Current : 11.2.202.233 -- Latest : 11.2.202.233
      UPTODATE [Adobe Flash ActiveX] Current : 11.2.202.233 -- Latest : 11.2.202.233
      UPTODATE [Adobe Flash FF Plugin] Current : 11.2.202.233 -- Latest : 11.2.202.233


      Finished
      <C:\Users\quentin\Desktop\WIGIReport[1].txt>
      WIGIReport[0].txt ; WIGIReport[1].txt
      0
  15. warvil Messages postés 42 Statut Membre
     
    le rapport de delfix:

    # DelFix v8.8 - Rapport créé le 20/04/2012 à 20:06:58
    # Mis à jour le 12/02/12 par Xplode
    # Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
    # Nom d'utilisateur : quentin - PC-DE-QUENTIN (Administrateur)
    # Exécuté depuis : C:\Users\quentin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\9C5LFEUB\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossiers(s) ~~~~~~

    Supprimé : C:\ZHP
    Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
    Supprimé : C:\Program Files\ZHPDiag

    ~~~~~~ Fichier(s) ~~~~~~

    Supprimé : C:\AdwCleaner[S1].txt
    Supprimé : C:\Users\quentin\Desktop\Pre_Scan.exe
    Supprimé : C:\Users\quentin\Downloads\Extras.Txt
    Supprimé : C:\Users\quentin\Downloads\OTL.exe
    Supprimé : C:\Users\quentin\Downloads\OTL.Txt
    Supprimé : C:\Users\quentin\Downloads\Pre_Scan.exe
    Supprimé : C:\Users\quentin\Downloads\ZHPDiag2.exe
    Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
    Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
    Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKCU\Software\g3n-h@ckm@n
    Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
    Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [1375 octets] - [20/04/2012 20:06:58]

    ########## EOF - C:\DelFix[S1].txt - [1499 octets] ##########
    0
  • 1
  • 2