VIRUS please wait ... Résolu

Question

Bonjour, 

depuis hiers page blanche  avec la phrase please wait connection .....

j ai suivi le tuto si vous pouvez m aider merci d avance

https://pjjoint.malekal.com/files.php?id=20120526_h9i7p8b10g15
https://pjjoint.malekal.com/files.php?id=20120526_q15m15s5n8i15

Configuration: Windows XP / Firefox 3.6

Utilisateur anonyme · Accepted Answer

Salut 


loumax91 àécrit: 
Tu as fais le diagnostic sous OTLPE ?  



OTL logfile created on: 5/26/2012 6:23:59 PM - Run  
OTLPE by OldTimer - Version 3.1.48.0     Folder = X:\Programs\OTLPE 


t' as juste à lui faire un script !!

loumax91 · Answer

Bonjour 

Quelques questions : 
Tu as fais le diagnostic sous OTLPE ? 
Si oui, as-tu accès à internet ? 
  
"Celui qui aime à apprendre est bien près du savoir" (Confucius)

cygor · Answer

oui et oui je poste depuis le pc infecter

cygor · Answer

re salut 

comment sa , je procede comment , je suis pas yper douer  ;erci d avance

loumax91 · Answer

OK, fais ceci :

* Relance OTL

* Copies et colles le contenue de cette citation (toutes les lignes en gras) dans la partie inférieure d'OTL, sous "Personnalisation" (bien prendre :OTL en début).
__________________________________________________________________

:OTL
O4 - HKLM..\Run: [frkUeoymDhvXXox] C:\Documents and Settings	ayeb\Application Data\VboxServs.exe ()  
O4 - HKU\Administrateur_ON_C..\Run: [frkUeoymDhvXXox] C:\Documents and Settings\Administrateur\Application Data\VboxServs.exe ()  
O4 - HKU	ayeb_ON_C..\Run: [frkUeoymDhvXXox] C:\Documents and Settings	ayeb\Application Data\VboxServs.exe ()    
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings	ayeb\Application Data\VboxServs.exe) - C:\Documents and Settings	ayeb\Application Data\VboxServs.exe ()   
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings	ayeb\Application Data\VboxServs.exe) - C:\Documents and Settings	ayeb\Application Data\VboxServs.exe ()    
O20 - HKU\Administrateur_ON_C Winlogon: Shell - (C:\Documents and Settings\Administrateur\Application Data\VboxServs.exe) - C:\Documents and Settings\Administrateur\Application Data\VboxServs.exe ()      
O20 - HKU\Administrateur_ON_C Winlogon: UserInit - (C:\Documents and Settings\Administrateur\Application Data\VboxServs.exe) - C:\Documents and Settings\Administrateur\Application Data\VboxServs.exe ()      
O20 - HKU	ayeb_ON_C Winlogon: Shell - (C:\Documents and Settings	ayeb\Application Data\VboxServs.exe) - C:\Documents and Settings	ayeb\Application Data\VboxServs.exe ()     
O20 - HKU	ayeb_ON_C Winlogon: UserInit - (C:\Documents and Settings	ayeb\Application Data\VboxServs.exe) - C:\Documents and Settings	ayeb\Application Data\VboxServs.exe ()    

:reg 
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,"
"Shell"="explorer.exe"   
__________________________________________________________________


* Cliques sur l'icône "Correction" ou "Run fix" (en haut à gauche) .
* Laisse le scan aller à son terme 
* A la fin du scan un rapport va s'ouvrir "OTL.Txt"
* Redémarre le pc sous Windows et poste le rapport dans ta prochaine réponse

cygor · Answer

voici le rapport

https://pjjoint.malekal.com/files.php?id=20120526_h7s13v15l6s14

je re-demarre le pc

cygor · Answer

je vient de re demarrer j ai plus l ecran blanc avec le message mais j ai plus rien juste  ma photo du bureau sans aucun icone et en mode sans echec idem...

loumax91 · Answer

Télécharger sur le bureau RogueKiller (par tigzy)
    Quitter tous les programmes en cours
    Lancer RogueKiller.exe
    Attendre la fin du Prescan ...
    Cliquer sur Racc. RAZ. 
    Cliquer sur Rapport et copier coller le contenu du notepad dans ta réponse

cygor · Answer

voila RogueKiller V7.4.5 [05/18/2012] by Tigzy mail: tigzyRKgmailcom Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/ Blog: http://tigzyrk.blogspot.com Operating System: Windows XP (5.1.2600 ) 32 bits version Started in : Normal mode User: SYSTEM [Admin rights] Mode: Scan -- Date: 05/27/2012 00:03:07 ¤¤¤ Bad processes: 0 ¤¤¤ ¤¤¤ Registry Entries: 1 ¤¤¤ [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND ¤¤¤ Particular Files / Folders: ¤¤¤ ¤¤¤ Driver: [NOT LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ HOSTS File: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Check: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 2f1ad4cddcf9c58cd70e182be0c940d9 [BSP] 6c96a713c4ef00d22ca2115bb0ccfdb8 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 12 | Size: 65999 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 135167868 | Size: 124780 Mo User = LL1 ... OK! User = LL2 ... OK! Finished : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

loumax91 · Answer

As-tu fait Racc. RAZ ?


*Relance Roguekiller et clique sur "suppression"
*Poste le rapport

cygor · Answer

eu non j'ai pas trouver sur rogeukiller le bouton racc.RAZ

loumax91 · Answer

L'avant-dernier bouton sur la droite :
https://www.luanagames.com/index.fr.html

cygor · Answer

en fait sa doit etre shortcutsfix  je pense car j'ai pas racc.RAZ  je lance je te poste les rapports dans 2 s

ps:

merci beacoup  pour le  coup de main

cygor · Answer

RogueKiller V7.4.5 [05/18/2012] by Tigzy mail: tigzyRKgmailcom Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/ Blog: http://tigzyrk.blogspot.com Operating System: Windows XP (5.1.2600 ) 32 bits version Started in : Normal mode User: SYSTEM [Admin rights] Mode: Shortcuts HJfix -- Date: 05/27/2012 01:30:59 ¤¤¤ Bad processes: 0 ¤¤¤ ¤¤¤ Driver: [NOT LOADED] ¤¤¤ ¤¤¤ File attributes restored: ¤¤¤ Desktop: Success 0 / Fail 0 Quick launch: Success 0 / Fail 0 Programs: Success 0 / Fail 0 Start menu: Success 0 / Fail 0 User folder: Success 0 / Fail 0 My documents: Success 0 / Fail 0 My favorites: Success 0 / Fail 0 My pictures: Success 0 / Fail 0 My music: Success 0 / Fail 0 My videos: Success 0 / Fail 0 Local drives: Success 841 / Fail 0 Backup: [NOT FOUND] Drives: [B:] \Device\RAMDriv -- 0x3 --> Restored [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored [D:] \Device\Harddisk1\DP(1)0-0+5 -- 0x2 --> Restored [E:] \Device\Harddisk2\DP(1)0-0+6 -- 0x2 --> Restored [F:] \Device\Harddisk3\DP(1)0-0+7 -- 0x2 --> Restored [G:] \Device\Harddisk4\DP(1)0-0+8 -- 0x2 --> Restored [H:] \Device\HarddiskVolume2 -- 0x3 --> Restored [I:] \Device\CdRom0 -- 0x5 --> Skipped [J:] \Device\Harddisk5\DP(1)0-0+c -- 0x2 --> Restored [X:] \Device\CdRom1 -- 0x5 --> Skipped ¤¤¤ Infection : ¤¤¤ Finished : << RKreport[1].txt >> RKreport[1].txt

cygor · Answer

rapport apres avoir re lancer rogue et fait delete ogueKiller V7.4.5 [05/18/2012] by Tigzy mail: tigzyRKgmailcom Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/ Blog: http://tigzyrk.blogspot.com Operating System: Windows XP (5.1.2600 ) 32 bits version Started in : Normal mode User: SYSTEM [Admin rights] Mode: Remove -- Date: 05/27/2012 01:35:04 ¤¤¤ Bad processes: 1 ¤¤¤ [SUSP PATH] FirefoxPortable.exe -- B:\Programs\FirefoxPortable\FirefoxPortable.exe -> KILLED [TermProc] ¤¤¤ Registry Entries: 1 ¤¤¤ [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Particular Files / Folders: ¤¤¤ ¤¤¤ Driver: [NOT LOADED] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ HOSTS File: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Check: ¤¤¤ +++++ PhysicalDrive0: +++++ --- User --- [MBR] 2f1ad4cddcf9c58cd70e182be0c940d9 [BSP] 6c96a713c4ef00d22ca2115bb0ccfdb8 : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 12 | Size: 65999 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 135167868 | Size: 124780 Mo User = LL1 ... OK! User = LL2 ... OK! Finished : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

loumax91 · Answer

Ok, on va faire un diagnostic pour vérifier s'il y a des restes.


* Télécharge ZHPDiag (de Nicolas Coolman)
* Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)
* Laisse toi guider lors de l'installation (pense à cocher la case pour créer un raccourci sur le Bureau)
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de ZHPDiag et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

cygor · Answer

ok merci encore pour t'on aide ,je vais faire sa demain car  histoire de pas perdre aussi ma femme :D 

je te post sa demain merci encore

cygor · Answer

juste une petite précision je fait toute les manip sous Reatogo car windows ne ce lance toujours pas

loumax91 · Answer

Il ne ce lance pas ou c'est juste que le bureau est vide ?

Pour les icônes du bureau (sous Windows), clic droit > Réorganiser les icônes par > Afficher les icônes du bureau 

Si cela ne donne rien :
Ctrl + Alt + Suppr pour lancer le gestionnaire des tâches. Dans Fichier, Nouvelle tâche, tu tapes explorer.exe.

Utilisateur anonyme · Answer

Salut 



Petite intruse 

Dans le script initiale en fait il manquait  


:OTL
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1    
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1     
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1  
O7 - HKU	ayeb_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1      
O7 - HKU	ayeb_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1    
O7 - HKU	ayeb_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1 



et même ceci > 
[4 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
[3 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]


Le mieux serai de refaire une analyse OTLPE


Bonne continuation à vous deux !!

cygor · Answer

alors le bureau est vide , le clic droit ne fonctionne pas  et quand je fait ctrl alt supp j'ai un message d'erreur " le Gestionnaire des taches a été désactivé par votre administrateur"

loumax91 · Answer

Bonjour

Donc là c'est clair, nous allons faire ce que préconise S-C  :)

Relance le CD Reatogo (OTLPE) 

*Refais une analyse OTL (héberge le rapport sur pjjoint)

cygor · Answer

ok tu peux juste me donner la marche a suivre sous OTL histoire de pas merder ...

Utilisateur anonyme · Answer

Salut 



pour faire avancé le sujet  ,un coup de pouce à loumax91 



* Redémarre le PC infecté avec le CD 'ISO d'OTLPENet 
* Refait une analyse OTLPE avec ça : 



* sous Custom Scan box  
* copie_colle le contenu ci dessous: 




    netsvcs 
    msconfig 
    safebootminimal 
    safebootnetwork 
    activex 
    drivers32 
    %ALLUSERSPROFILE%\Application Data\*. 
    %ALLUSERSPROFILE%\Application Data\*.exe /s 
    %APPDATA%\*. 
    %APPDATA%\*.exe /s 
    %SYSTEMDRIVE%\*.exe 
    /md5start 
    csrsrv.dll 
    eventlog.dll 
    scecli.dll 
    netlogon.dll 
    cngaudit.dll 
    sceclt.dll 
    ntelogon.dll 
    logevent.dll 
    iaStor.sys 
    nvstor.sys 
    atapi.sys 
    cdrom.sys 
    disk.sys 
    ndis.sys 
    mountmgr.sys 
    aec.sys 
    rasacd.sys 
    kbdclass.sys 
    mrxsmb10.sys 
    mrxsmb20.sys 
    termdd.sys 
    mrxsmb.sys 
    win32k.sys 
    storport.sys 
    IdeChnDr.sys 
    viasraid.sys 
    AGP440.sys 
    vaxscsi.sys 
    nvatabus.sys 
    viamraid.sys 
    nvata.sys 
    nvgts.sys 
    iastorv.sys 
    ViPrt.sys 
    eNetHook.dll 
    ahcix86.sys 
    KR10N.sys 
    nvstor32.sys 
    ahcix86s.sys 
    nvrd32.sys 
    /md5stop 
    %systemroot%\*. /mp /s 
    %systemroot%\system32\*.dll /lockedfiles 
    %systemroot%\Tasks\*.job /lockedfiles 
    %systemroot%\system32\drivers\*.sys /lockedfiles 
    %systemroot%\System32\config\*.sav 


 

  


*  Clique  Run Scan pour démarrer le scan. 
* Une fois terminé , le fichier se trouve là C:\OTL.txt 
* Copie_colle le contenu .

cygor · Answer

voici le rapport  

https://pjjoint.malekal.com/files.php?id=20120527_u15w15w6l15s10 

sinon sur les 4 encarts de gauche j ai cocher sur tous

Utilisateur anonyme · Answer

Re


le temps que Loumax91 revienne avec un nouveau Script


tente ceci:


Démarre en mode sans échec :
Pour cela, tu tapotes la touche F8 dès le début de l'allumage du pc sans t'arrêter
Une fenêtre va s'ouvrir tu te déplaces avec les flèches du clavier sur >> sur Invite de commandes en mode sans échec 

Puis tape >>  entrée

Ensuite choisis ta session.
tu arrives ensuite  sur une invite de commandes


Choisis ton compte usuel pas ton compte Administrateur.

tapes en respectant bien :



%SystemRoot%\System32\restore\rstrui.exe


* Cliques sur >> Ok 


la fenêtre >   Restauration Système apparaît
*cliques sur  suivant 
*un calendrier apparaît
* Coche la case Afficher d'autres points de restauration.

*choisis une date proposée en gras d un point de restauration 

* et surtout une date proposée avant tes soucis .
Sélectionne le et clique  sur  suivant .

cygor · Answer

sa marche ! j'ai accès a wind   , merci beaucoup

loumax91 · Answer

Yop !

La désinfection n'est pas terminée, fais signe quand tu sera prêt à reprendre

cygor · Answer

Hello Loumax j'ai suivie le tuto pour la suite avec malwarbytes j'éspere que sa ira !!  merci encore pour ton aide , j'ai pu reprendre la main sur wind et faire toute les sauvegardes !

loumax91 · Answer

Comme tu veux, c'est toi qui décide :)

Passe ton sujet en résolu dans ce cas là ;)

A++

VIRUS please wait ...

30 réponses

Votre réponse

Discussions similaires

Newsletters