XP: virus police nationale

drweb ne detecte pas tout non plus....

tu sais de quoi tu parles et tu proposes spybot ?

mouhahahhahahah !!!!!!!!!!!!!!!!!

à titre info :

https://www.malekal.com/superantispyware-et-spybot-vs-malwarebyte/

spybot et superantispyware !!! ^^

je vais te refiler un vieux dropper que j'ai on va voir ce que tu vas faire avec hiren's boot cd si le disque dur n est plus reconnu ni par windows , ni par linux

je joue environ 10 fois par jour avec cette infection , dès qu'elle sort une variante , j'infecte mes 5 VM avec sur tous les OS

tu sais de quoi tu parles !!

tu sais comment elle fonctionnne cette infection ? les fichiers infectieux qu elle depose dans le pc ? l'activeX qu'elle ouvre si elle en ouvre une ? comment la reperer ? dans quelle clé ?
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

ok fais ca avec OTLPE :

Lance OTLPE.exe qui se trouve sur ton bureau :

choisis dans la fenetre qui s'ouvre , le dossier d'installation correspondant au windows malade (c:\windows , ou d:\windows ou.....) : clique sur le dossier windows puis sur ok

à la question Do you wish to load remote user profile(s) for scanning ? => oui

cocher la case "Automatically Load All Remaining Users ?" puis cliquer sur OK

OTLPE s'ouvre... Met juste les 4 cases de gauche sur "All" et ne touche rien d'autre

dans la case en dessous "Custom Scans/Fixes" colle ce texte :

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT

Clic sur Analyse.

A la fin du scan, deux Bloc-Notes vont s'ouvrir avec les rapport OTL.txt et Extra.txt

héberge-les un par un sur http://pjjoint.malekal.com puis donne les deux liens obtenus sur le forum ou dans la discussion où tu te fais aider

ils sont aussi à la racine de la partition où est installé windows (C:\OTL.txt...ou D:\OTL.txt....ainsi que l'Extra qui l'accompagne)
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

la case "Automatically Load All Remaining Users ?" : ya pas ça à cocher.

je viens de le mettre à scanner, j'avais fait la même manip dans l'aprem mais avec un texte différent: sans succés.

On verra si ca marche, mais le scan prend combien de temps environ?

Merci de ton aide!

ca depend des pc ca varie de 1 à 10 mn voire plus

J'ai l'impression que l'ordi bloque...

c'est lequel d'otlpe que tu as gravé ?

Bonjour,
L'ordinateur a bien bloqué...

J'ai suivi la procédure sur
http://forum.malekal.com/otlpe-live-t23453.html

en gravant sur un cd.

teste avec celui-ci ?

https://gen-hackman.kanak.fr/

Ca y est ça a marché, voila les 2 rapports qui sortent:
http://pjjoint.malekal.com/files.php?read=20120514_z11q11t10n8f6
http://pjjoint.malekal.com/files.php?id=20120514_h10j12i5s6q14

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.

▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation"(custom scan/fixes) :

:OTL
O2 - BHO: (Complitly) - {0FB6A909-6086-458F-BD92-1F8EE10042A0} - C:\Documents and Settings\PIMS\Application Data\Complitly\Complitly.dll (SimplyGen)
O3 - HKLM\..\Toolbar: (no name) - 10 - No CLSID value found.
O4 - HKU\PIMS_ON_C..\Run: [] C:\Documents and Settings\PIMS\Local Settings\Temp\~!#6.tmp ()
O4 - HKU\PIMS_ON_C..\Run: [3C7C64A4] C:\Documents and Settings\PIMS\Application Data\Hizhlbr\E51A29EA3C7C64A4D466.exe ()
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Reg Error: Key error.)
O16 - DPF: {CAFEEFAC-0016-0000-0029-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_29-windows-i586.cab (Java Plug-in 1.6.0_29)
O20 - HKLM Winlogon: UserInit - (C:\WINDOWS\system32\117D564D3C7C64A4A1A9.exe) - C:\WINDOWS\system32\117D564D3C7C64A4A1A9.exe ()
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
[2012/05/12 12:49:24 | 000,000,000 | ---D | C] -- C:\Documents and Settings\PIMS\Application Data\Hizhlbr
[2012/05/12 12:44:44 | 000,072,192 | -H-- | M] () -- C:\WINDOWS\System32\117D564D3C7C64A4A1A9.exe
[2012/05/08 11:44:56 | 000,000,020 | -H-- | M] () -- C:\Documents and Settings\All Users\Application Data\PKP_DL*.DAT
[2 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
[1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[2012/05/12 12:49:48 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh324
[2012/05/12 12:49:48 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh323
[2012/05/12 12:49:48 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh322
[2012/05/12 12:49:48 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh321
[2012/05/12 12:49:48 | 000,960,056 | ---- | C] () -- C:\WINDOWS\System32\winsh320
[2011/06/13 18:17:46 | 000,000,268 | RH-- | C] () -- C:\Documents and Settings\PIMS\Application Data\vhosts
[2011/07/06 20:13:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\PIMS\Application Data\Babylon
[2012/01/26 18:39:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\PIMS\Application Data\Complitly
[2012/01/28 12:24:22 | 000,000,000 | ---D | M] -- C:\Documents and Settings\PIMS\Application Data\pdfforge
[2011/12/05 21:45:53 | 000,000,000 | ---D | M] -- C:\Documents and Settings\PIMS\Application Data\searchquband
[2011/07/10 21:13:37 | 000,000,000 | ---D | M] -- C:\Documents and Settings\PIMS\Application Data\Toolbar4
[2011/07/06 20:13:21 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Babylon


▶ Clique sur "Correction(RunFix)" pour lancer la suppression.

▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

ok, voila le rapport
http://pjjoint.malekal.com/files.php?id=20120514_x14y13i15y8d5

Franchement merci pour ton aide!

ton pc devrait redemarrer sans le cd maintenant

je ne sais pas ce que je fais de travers mais il ne demarre pas son le cd....
il propose mode sans echec et autres, rien ne marche....

precise rien ne marche

il reste sur les propositions de demarrage... que je mette "demarrage normal" ou mode sans echec" ou les autres il redemarre sans cesse...

ok redemarre avec le cd , puis refais un scan avec otlpe puis reposte rapports hébergés

http://pjjoint.malekal.com/files.php?id=20120514_e14k14m10q14u11
http://pjjoint.malekal.com/files.php?id=20120514_q15s8u9z11q10

peut être question bête.. pendant les suppressions, il fallait que je sois connectée sur internet?

à quel moment il redémarre ? après le chargement de windows ou des que tu selectionnes un choix ?

en fait entre les 2 ... il sallume, demande un choix de demarrage, je selectionne, passe une fentre avec la marque de mon ordi, apres celle de windows et apres retour a la liste de choix de demarrage noire...
ca tourne en rond quoi