Virus !!! - Page 2
Résolu
Précédent
- 1
- 2
on va le tenter comme ca :
Télécharge SEAF.exe de C_XX
*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .
*Une fenêtre va s'ouvrir .
*Tape \Local" (un seul guillemet c'est exprès )
dans cette fenêtre
confirme la recherche "aussi" dans le registre et [Entrée].
*Patiente pendant la recherche.
*Une fenêtre avec un log.txt va s'afficher.
*Copie/colle ce rapport dans ta prochaine réponse.
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Télécharge SEAF.exe de C_XX
*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .
*Une fenêtre va s'ouvrir .
*Tape \Local" (un seul guillemet c'est exprès )
dans cette fenêtre
confirme la recherche "aussi" dans le registre et [Entrée].
*Patiente pendant la recherche.
*Une fenêtre avec un log.txt va s'afficher.
*Copie/colle ce rapport dans ta prochaine réponse.
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
ou cette version renommée winlogon.exe :
http://forums-fec.be/gen-hackman/winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
ou cette version renommée winlogon.exe :
http://forums-fec.be/gen-hackman/winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
re
desinstalle IMBooster
desinstalle Messenger_Plus_LiveToolbar
=================
relance pre_scan , choisis RegEdit
deplie :
HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Control
\Session Manager
clic gauche sur session manager
double clic à droite sur "Boot Execute"
supprime ces caractères : bddel.exe
il ne doit rester plus que ca :
autocheck autochk *
ferme , confirme
==========
c'est quoi LFS .?
==========
Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nFp28604cFcHp28604]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[HKU\S-1-5-21-839522115-1343024091-1177238915-1012\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\0f8a2488-566b-4e9c-b7fd-f725c83fe8cb]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\aad266fe-77a3-4463-8df5-60ab5971ea10]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\f01897d9-3e10-4e19-87df-8e5cdd369507]
[-HKLM\Software\BrowserChoice]
File::
C:\WINDOWS\jestertb.dll
C:\WINDOWS\SOUNDMAN(10).EXE
C:\WINDOWS\SOUNDMAN(11).EXE
C:\WINDOWS\SOUNDMAN(2).EXE
C:\WINDOWS\SOUNDMAN(3).EXE
C:\WINDOWS\SOUNDMAN(4).EXE
C:\WINDOWS\SOUNDMAN(5).EXE
C:\WINDOWS\SOUNDMAN(6).EXE
C:\WINDOWS\SOUNDMAN(7).EXE
C:\WINDOWS\SOUNDMAN(8).EXE
C:\WINDOWS\SOUNDMAN(9).EXE
C:\Documents and Settings\All Users\Application Data\.zreglib
C:\Documents and Settings\All Users\Application Data\18865972
Folder::
C:\Program Files\IMBooster4web-en
C:\WINDOWS\assembly\tmp\ZUKC2SI9
C:\4a5e58c65ba37ffa878b49
C:\ad3dda3da93270839b65e2b24ec7
C:\WINDOWS\1C4551A64743409391E41477CD655043.TMP
C:\WINDOWS\3F5C371F8EA24F259D3DD0B4526E3AEA.TMP
C:\WINDOWS\B9DB4C7601A446D58910F7AA6376DBAF.TMP
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\All Users\Application Data\Trymedia
C:\Program Files\9ddc7aeabe9f6163c98b6b9e9245
MBR::
clean::
Reboot::
___________________________________________________
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
desinstalle IMBooster
desinstalle Messenger_Plus_LiveToolbar
=================
relance pre_scan , choisis RegEdit
deplie :
HKEY_LOCAL_MACHINE
\System
\CurrentControlSet
\Control
\Session Manager
clic gauche sur session manager
double clic à droite sur "Boot Execute"
supprime ces caractères : bddel.exe
il ne doit rester plus que ca :
autocheck autochk *
ferme , confirme
==========
c'est quoi LFS .?
==========
Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\nFp28604cFcHp28604]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[HKU\S-1-5-21-839522115-1343024091-1177238915-1012\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\0f8a2488-566b-4e9c-b7fd-f725c83fe8cb]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\aad266fe-77a3-4463-8df5-60ab5971ea10]
[-HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\f01897d9-3e10-4e19-87df-8e5cdd369507]
[-HKLM\Software\BrowserChoice]
File::
C:\WINDOWS\jestertb.dll
C:\WINDOWS\SOUNDMAN(10).EXE
C:\WINDOWS\SOUNDMAN(11).EXE
C:\WINDOWS\SOUNDMAN(2).EXE
C:\WINDOWS\SOUNDMAN(3).EXE
C:\WINDOWS\SOUNDMAN(4).EXE
C:\WINDOWS\SOUNDMAN(5).EXE
C:\WINDOWS\SOUNDMAN(6).EXE
C:\WINDOWS\SOUNDMAN(7).EXE
C:\WINDOWS\SOUNDMAN(8).EXE
C:\WINDOWS\SOUNDMAN(9).EXE
C:\Documents and Settings\All Users\Application Data\.zreglib
C:\Documents and Settings\All Users\Application Data\18865972
Folder::
C:\Program Files\IMBooster4web-en
C:\WINDOWS\assembly\tmp\ZUKC2SI9
C:\4a5e58c65ba37ffa878b49
C:\ad3dda3da93270839b65e2b24ec7
C:\WINDOWS\1C4551A64743409391E41477CD655043.TMP
C:\WINDOWS\3F5C371F8EA24F259D3DD0B4526E3AEA.TMP
C:\WINDOWS\B9DB4C7601A446D58910F7AA6376DBAF.TMP
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Documents and Settings\All Users\Application Data\Trymedia
C:\Program Files\9ddc7aeabe9f6163c98b6b9e9245
MBR::
clean::
Reboot::
___________________________________________________
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
vérifions un truc :
refais SEAF.exe de C_XX mais avec ca dedans :
bddel.exe
n'oublie pas de confirmer la recherche aussi dans le registre
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
refais SEAF.exe de C_XX mais avec ca dedans :
bddel.exe
n'oublie pas de confirmer la recherche aussi dans le registre
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 18:58:56 le 26/04/2012
4.
5. Valeur(s) recherchée(s):
6. bddel.exe
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19.
20. [HKLM\System\ControlSet001\Control\Session Manager]
21. "BootExecute"="autocheck autochk *bddel.exe" (REG_MULTI_SZ)
22.
23. =========================
24.
25. Fin à: 19:00:56 le 26/04/2012
26. 297598 Éléments analysés
27.
28. =========================
29. E.O.F
2.
3. Commencé à: 18:58:56 le 26/04/2012
4.
5. Valeur(s) recherchée(s):
6. bddel.exe
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19.
20. [HKLM\System\ControlSet001\Control\Session Manager]
21. "BootExecute"="autocheck autochk *bddel.exe" (REG_MULTI_SZ)
22.
23. =========================
24.
25. Fin à: 19:00:56 le 26/04/2012
26. 297598 Éléments analysés
27.
28. =========================
29. E.O.F
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 19:14:31 le 26/04/2012
4.
5. Valeur(s) recherchée(s):
6. bddel.exe
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19.
20. [HKLM\System\ControlSet001\Control\Session Manager]
21. "BootExecute"="autocheck autochk *bddel.exe" (REG_MULTI_SZ)
22.
23. =========================
24.
25. Fin à: 19:16:45 le 26/04/2012
26. 297692 Éléments analysés
27.
28. =========================
29. E.O.F
2.
3. Commencé à: 19:14:31 le 26/04/2012
4.
5. Valeur(s) recherchée(s):
6. bddel.exe
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19.
20. [HKLM\System\ControlSet001\Control\Session Manager]
21. "BootExecute"="autocheck autochk *bddel.exe" (REG_MULTI_SZ)
22.
23. =========================
24.
25. Fin à: 19:16:45 le 26/04/2012
26. 297692 Éléments analysés
27.
28. =========================
29. E.O.F
ok modifie dans ces deux clés :
[HKLM\System\ControlSet001\Control\Session Manager]
[HKLM\System\CurrentControlSet\Control\Session Manager]
[HKLM\System\ControlSet001\Control\Session Manager]
[HKLM\System\CurrentControlSet\Control\Session Manager]
telecharge ici : CLRAV
lance-le , clic sur lancer le nettoyage
A la fin du scan, CLRAV.txt sera sur ton bureau
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
tu clic droit dessus /envoyer vers / dossiers compresses
ensuite :
heberge l'archive et donne le lien
lance-le , clic sur lancer le nettoyage
A la fin du scan, CLRAV.txt sera sur ton bureau
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
tu clic droit dessus /envoyer vers / dossiers compresses
ensuite :
heberge l'archive et donne le lien
Par contre je sais pas si j'est bien fait mais j'ai comme même fait le reste de la démarche :
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.426 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
CHEVALIER1 : Microsoft Windows XP (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Script : 18:38:06
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuée
¤
Supprimé : C:\WINDOWS\jestertb.dll
Supprimé : C:\WINDOWS\SOUNDMAN(10).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(11).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(2).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(3).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(4).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(5).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(6).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(7).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(8).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(9).EXE
Supprimé : C:\Documents and Settings\All Users\Application Data\.zreglib
Supprimé : C:\Documents and Settings\All Users\Application Data\18865972
¤
Absent : C:\Program Files\IMBooster4web-en
Supprimé : C:\WINDOWS\assembly\tmp\ZUKC2SI9
Supprimé : C:\4a5e58c65ba37ffa878b49
non Supprimé : C:\ad3dda3da93270839b65e2b24ec7
Supprimé : C:\WINDOWS\1C4551A64743409391E41477CD655043.TMP
Supprimé : C:\WINDOWS\3F5C371F8EA24F259D3DD0B4526E3AEA.TMP
Supprimé : C:\WINDOWS\B9DB4C7601A446D58910F7AA6376DBAF.TMP
Supprimé : C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
Supprimé : C:\Documents and Settings\All Users\Application Data\Trymedia
Supprimé : C:\Program Files\9ddc7aeabe9f6163c98b6b9e9245
¤
¤¤¤¤¤¤¤¤¤¤ | MBR
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000001fd
Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected
¤
¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque
Nettoyage du disque effectué
¤
Fin : 18:39:07
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.426 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
CHEVALIER1 : Microsoft Windows XP (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Script : 18:38:06
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Modification du registre effectuée
¤
Supprimé : C:\WINDOWS\jestertb.dll
Supprimé : C:\WINDOWS\SOUNDMAN(10).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(11).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(2).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(3).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(4).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(5).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(6).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(7).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(8).EXE
Supprimé : C:\WINDOWS\SOUNDMAN(9).EXE
Supprimé : C:\Documents and Settings\All Users\Application Data\.zreglib
Supprimé : C:\Documents and Settings\All Users\Application Data\18865972
¤
Absent : C:\Program Files\IMBooster4web-en
Supprimé : C:\WINDOWS\assembly\tmp\ZUKC2SI9
Supprimé : C:\4a5e58c65ba37ffa878b49
non Supprimé : C:\ad3dda3da93270839b65e2b24ec7
Supprimé : C:\WINDOWS\1C4551A64743409391E41477CD655043.TMP
Supprimé : C:\WINDOWS\3F5C371F8EA24F259D3DD0B4526E3AEA.TMP
Supprimé : C:\WINDOWS\B9DB4C7601A446D58910F7AA6376DBAF.TMP
Supprimé : C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
Supprimé : C:\Documents and Settings\All Users\Application Data\Trymedia
Supprimé : C:\Program Files\9ddc7aeabe9f6163c98b6b9e9245
¤
¤¤¤¤¤¤¤¤¤¤ | MBR
Windows Version: Windows XP Home Edition
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000001fd
Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected
¤
¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque
Nettoyage du disque effectué
¤
Fin : 18:39:07
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
ok t'as redemarré le pc ? refais Seaf
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 10:49:05 le 27/04/2012
4.
5. Valeur(s) recherchée(s):
6. bddel.exe
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19. Aucun élément dans le registre trouvé
20.
21. =========================
22.
23. Fin à: 10:51:16 le 27/04/2012
24. 300707 Éléments analysés
25.
26. =========================
27. E.O.F
2.
3. Commencé à: 10:49:05 le 27/04/2012
4.
5. Valeur(s) recherchée(s):
6. bddel.exe
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19. Aucun élément dans le registre trouvé
20.
21. =========================
22.
23. Fin à: 10:51:16 le 27/04/2012
24. 300707 Éléments analysés
25.
26. =========================
27. E.O.F
Précédent
- 1
- 2
2.
3. Commencé à: 22:36:40 le 25/04/2012
4.
5. Valeur(s) recherchée(s):
6. \Local
7.
8. Légende: TC => Date de création, TM => Date de modification, DA => Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14. Aucun fichier trouvé
15.
16.
17. ====== Entrée(s) du registre ======
18.
19. Aucun élément dans le registre trouvé
20.
21. =========================
22.
23. Fin à: 22:37:58 le 25/04/2012
24. 299635 Éléments analysés
25.
26. =========================
27. E.O.F