Virus sacem police

salut

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation"(custom scan/fixes) :


:OTL
O4 - HKLM..\Run: [dlxVLNiTSbbfN8U] C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe (tfytfyffytf)
O4 - HKU\Administrateur_ON_C..\Run: [431622B8] C:\Documents and Settings\Administrateur\Application Data\Lsqmgxf\BF19737B431622B880FE.exe ()
O4 - HKU\Administrateur_ON_C..\Run: [dlxVLNiTSbbfN8U] C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe (tfytfyffytf)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O7 - HKU\Administrateur_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegedit = 1
O27 - HKLM IFEO\msconfig.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\regedit.exe: Debugger - P9KDMF.EXE File not found
O27 - HKLM IFEO\taskmgr.exe: Debugger - P9KDMF.EXE File not found
O33 - MountPoints2\{041132a0-fa70-11dd-81a3-001f29dc6f52}\Shell\AutoRun\command - "" = J:\yb12j.cmd
O33 - MountPoints2\{041132a0-fa70-11dd-81a3-001f29dc6f52}\Shell\open\Command - "" = J:\yb12j.cmd
O33 - MountPoints2\{3dddc604-626e-11de-8209-001f29dc6f52}\Shell\AutoRun\command - "" = F:\lcw.exe
O33 - MountPoints2\{3dddc604-626e-11de-8209-001f29dc6f52}\Shell\open\Command - "" = F:\lcw.exe
O33 - MountPoints2\{759c1eb4-ba31-11dd-8154-001f29dc6f52}\Shell - "" = AutoRun
O33 - MountPoints2\{759c1eb4-ba31-11dd-8154-001f29dc6f52}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL copy.exe
O33 - MountPoints2\{920c838c-7d02-11de-8220-001f29dc6f52}\Shell\AutoRun\command - "" = mb9x.exe
O33 - MountPoints2\{920c838c-7d02-11de-8220-001f29dc6f52}\Shell\open\Command - "" = mb9x.exe
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe) - C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe (tfytfyffytf)
O20 - HKLM Winlogon: UserInit - (C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe) - C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe (tfytfyffytf)
O20 - HKU\Administrateur_ON_C Winlogon: Shell - (C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe) - C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe (tfytfyffytf)
O20 - HKU\Administrateur_ON_C Winlogon: UserInit - (C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe) - C:\Documents and Settings\Administrateur\Application Data\Apple_Store.exe (tfytfyffytf)


:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Shell"="explorer.exe"
"userinit"="C:\Windows\System32\userinit.exe,"

▶ Clique sur "Correction"(RunFix) pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Merci!!! je vais essayer

voici le lien pour le rapport:
http://dl.free.fr/getfile.pl?file=/00lbW186

que dois je faire maintenant?

Merci

ton ordi redemarre-til normalement ?

oui, il ne me manque plus que le bureau, dois utiliser Malwarebytes?

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

le scan s'est fait, l'ordi a redemarré tout seul mais le bureau n'apparait toujours pas, j'utilise la version avec l'extension .pif?

non clic droit sur le bureau => affichage => afficher les elements du bureau

puis heberge le rapport comme indiqué

aucun rapport n'est apparu, le pc a redemarré seul. puis je retrouver ce rapport pour vous le communiquer?

je n'ai toujours pas de bureau, et 80 % des favoris internet explorer sont bloqués... je seche lamentablement!

bon, un café apres... voila:

https://pjjoint.malekal.com/files.php?id=20120602_p7y8f11g10u15

j'ai toujours du mal en fin de semaine!!

Merci beaucoup pour ta patience et ton aide précieuse!

en fait j'ai plein de fichiers locked... faut il faire une autre manip?

ok pour commencer chaque chose en son temps

clic droit sur ton bureau => affichage => afficher les icones du bureau ca donne quoi ?

le bureau s'affiche correctement, mais tous mes fichiers sont bloqués

d'abord on desinfecte ensuite on voit pour tes fichiers

=====

installe internet explorer 8

=

desinstalle searchSettings
desinstalle adobe reader 9
desinstalle pdfforge Toolbar
desinstalle tout java
desinstalle application updater
desinstalle spybot il sert à rien et bouffe des ressources

=================

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
""=-
"SearchSettings"=-
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\dso32]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings]
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]
"{B922D405-6D13-4A2B-AE89-08A030DA4402}"=-
[HKU\S-1-5-21-198104268-2889704140-774533561-500\Software\Microsoft\Internet Explorer\Toolbar]
"Locked"=-
[-HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B922D405-6D13-4A2B-AE89-08A030DA4402}]
[-HKLM\SOFTWARE\Microsoft\Active Setup\Installed Components\{lXTP0Cq8-0o3i-jGt0-DZTH-UrYlWXzEbjCE}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}]
[-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[-HKU\S-1-5-21-198104268-2889704140-774533561-500\Software\pdfforge]
[-HKU\S-1-5-21-198104268-2889704140-774533561-500\Software\Search Settings]
[-HKLM\Software\Application Updater]
[-HKLM\Software\BrowserChoice]
[-HKLM\Software\pdfforge]
[-HKLM\Software\Search Settings]

txt::
c:\sauveusb.BAT

File::
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq.exe
C:\WINDOWS\system32\D1CDA098431622B847D2.exe
C:\WINDOWS\system32\winsh320
C:\WINDOWS\system32\winsh321
C:\WINDOWS\system32\winsh323
C:\WINDOWS\system32\winsh324
C:\WINDOWS\system32\winsh325
C:\Documents and Settings\Administrateur\Local Settings\Application Data\woxpgqa_nav.dat

Folder::
C:\Program Files\Fichiers communs\Spigot
C:\Program Files\pdfforge Toolbar
C:\aa6fe4cf453997089d25be
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
C:\Documents and Settings\Administrateur\Application Data\Lsqmgxf
C:\Documents and Settings\Administrateur\Application Data\pdfforge
C:\Documents and Settings\Administrateur\Application Data\Search Settings
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
C:\Program Files\Application Updater
C:\Program Files\pdfforge Toolbar
C:\Program Files\Spybot - Search & Destroy

Driver::
Application Updater

Info::
C:\WINDOWS\system32\Drivers\acscn.sys
C:\WINDOWS\eraser.exe

MBR::

clean::

Reboot::
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

c'est lancé... je fais au plus vite... il me reste encore 15 bonnes minutes de manip..

voila le nouveau rapport:
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.601 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Administrateur : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 16:33:08

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Information(s) Fichier(s)


C:\WINDOWS\system32\Drivers\acscn.sys : Non trouvé !!

¤

0xDAFB4BE55ACA725A5205674042AB172A - C:\WINDOWS\eraser.exe

ProductName =
Version = 0.0.0.0
CompanyName =
LegalCopyright =
LegalTrademarks =
ProductVersion =
FileDescription =
PrivateBuild =
FileVersion =
OriginalFilename =
SpecialBuild =
DefaultLangCodepage =
Size = 18.5 Ko
Date de création = 16/03/2012 11:04:21
Date de modification = 08/07/1998 18:30:36
Dernier accés = 02/06/2012 16:11:10


¤
¤¤¤¤¤¤¤¤¤¤ | Suppression Drivers | Services

Service : Application Updater non actif



¤

Modification du registre effectuée

¤

Absent : C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\dsoqq.exe
Supprimé : C:\WINDOWS\system32\D1CDA098431622B847D2.exe
Supprimé : C:\WINDOWS\system32\winsh320
Supprimé : C:\WINDOWS\system32\winsh321
Supprimé : C:\WINDOWS\system32\winsh323
Supprimé : C:\WINDOWS\system32\winsh324
Supprimé : C:\WINDOWS\system32\winsh325
Absent : C:\Documents and Settings\Administrateur\Local Settings\Application Data\woxpgqa_nav.dat

¤

¤¤¤¤¤¤¤¤¤¤ | Edition de : c:\sauveusb.BAT

Pause mettre clef USB
DEL f:\pilote.zip
del c:\pilote\disque\pilote.zip
c:
cd pilote\disque
pkzip pilote
c:
copy c:\pilote\disque\pilote.zip f:
Pause v'rifiez puis enlever clef USB

¤

Absent : C:\Program Files\Fichiers communs\Spigot
Absent : C:\Program Files\pdfforge Toolbar
non Supprimé : C:\aa6fe4cf453997089d25be
Absent : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Spybot - Search & Destroy
Supprimé : C:\Documents and Settings\Administrateur\Application Data\Lsqmgxf
Absent : C:\Documents and Settings\Administrateur\Application Data\pdfforge
Absent : C:\Documents and Settings\Administrateur\Application Data\Search Settings
Supprimé : C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
Absent : C:\Program Files\Application Updater
Absent : C:\Program Files\pdfforge Toolbar
Supprimé : C:\Program Files\Spybot - Search & Destroy

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version: Windows XP Professional
Windows Information: Service Pack 3 (build 2600)
Logical Drives Mask: 0x000003fc

Analysis of file "C:\Pre_Scan\MBR.bin":
Hewlett-Packard MBR code detected




¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 16:33:43

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

qu'en penses tu?

regarde que ce fichier soit bien absent

C:\Documents and Settings\Administrateur\Local Settings\Application Data\woxpgqa_nav.dat

oui, je confirme il est absent