gendarmerie netbook xp Résolu/Fermé

Question

Bonjour, 
Je suis le Xeme a avoir ce probleme mais j ai vraiment besoin d aide.
Voila comme vous l' aurez compris j ai attrapé le fameux virus des cent euros.
je n arrive pas a trouver la solution pour mon cas:j ai un netbook(nc10) sous windows xp et ma seule facon de pouvoir acceder a mon bureau sans que ça beug c est de demarrer en mode restauration aidez moi SVP

Malekal_morte- · Answer

Salut, 

En mode sans échec avec prise en charge du réseau ou à transférer par clef USB :

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)  
[*] Quitter tous les programmes  
[*] Lancer RogueKiller.exe.  
[*] Attendre que le Prescan ait fini ...  
[*] Lance un scan afin de débloquer le bouton Suppression à droite. 
[*] Clic sur Suppression. 
Poste le rapport ici. 


Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

SYLTAFF 18 · Answer

RogueKiller V7.6.3 [08/07/2012] par Tigzy mail: tigzyRKgmailcom Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Utilisateur: Adeline [Droits d'admin] Mode: Suppression -- Date: 11/07/2012 14:12:55 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 3 ¤¤¤ [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (105.50.60.1:800) -> NOT REMOVED, USE PROXYFIX [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD1600BEVT-22ZCT0 +++++ --- User --- [MBR] 7c7836933e356f989ea3930e410e61c1 [BSP] b0a60ea2b978a5565952a457e941462f : KIWI Image system MBR Code Partition table: 0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 63 | Size: 6149 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 12594960 | Size: 72749 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 161585152 | Size: 73727 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: Kingston DataTraveler G2 USB Device +++++ --- User --- [MBR] 656a70d41b9670ffa6fc7c9d7550df16 [BSP] 81f2776482301138921fedcd4e1789df : MBR Code unknown Partition table: 0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 15287 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2].txt >> RKreport[1].txt ; RKreport[2].txt

SYLTAFF 18 · Answer

par contre j ai lance en passant par le mode restauration

Malekal_morte- · Answer

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge https://www.malekal.com/download/OTL.exe sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    
netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    
* Clique sur le bouton Analyse.    
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.

SYLTAFF 18 · Answer

http://pjjoint.malekal.com/files.php?id=20120711_p6m15t1213e12
http://pjjoint.malekal.com/files.php?id=20120711_r7m12r14f8v9
et encore merci d essayer de m aider.

Malekal_morte- · Answer

Relance OTL. 
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:  

:OTL
O4 - HKLM..\Run: [Update] C:\WINDOWS\system32\glom0_og.exe ()
[2012/07/11 11:03:45 | 000,134,144 | ---- | M] () -- C:\WINDOWS\System32\glom0_og.exe 

* redemarre le pc sous windows et poste le rapport ici 


Vois si le virus se lance encore.

SYLTAFF 18 · Answer

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Update deleted successfully.
C:\WINDOWS\system32\glom0_og.exe moved successfully.
File C:\WINDOWS\System32\glom0_og.exe not found.
 
OTL by OldTimer - Version 3.2.53.1 log created on 07112012_154731

SYLTAFF 18 · Answer

nickel t trop un boss

Malekal_morte- · Answer

;) 

y a plus qu'à sécuriser ton PC pour ne pas le rechopper. 


Important - ton infection est venue par un exploit sur site web :    

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.   
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.   
Exemple avec : Exploit Java   

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système. 
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement. 

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :  
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite      
https://forum.malekal.com/viewtopic.php?t=15960&start=   

Passe le mot à tes amis !  


Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html 

Like the angel you are, you laugh creating a lightness in my chest, 
Your eyes they penetrate me, 
(Your answer's always 'maybe') 
That's when I got up and left

SYLTAFF 18 · Answer

Si tu ne vois rien a ajouter je marque en resolu??

Gendarmerie netbook xp

10 réponses

Discussions similaires