alerte MSE et redemarrage, le retour... Résolu

Question

Bonjour, 

mon problème et le même que emmy12

https://forums.commentcamarche.net/forum/affich-25613055-alerte-mse-et-redemarrage-toutes-les-minutes

MSE m'a signalé des virus et trojan, après désinfection un petit redémarrage, et le problème est apparu: un bel encadré avec écris erreur critique redémarrage...

Que ce soit en mode sans échec ou en mode normal le pc s'éteint brusquement au bout d'une minute (c'est assez court!) puis redémarre et cela sans arrêt. c'est agaçant!

Après une recherche sur google je suis tombé sur CCM.net et j'ai  essayé de suivre les indications donné par g3n-h@ckm@n à emmy12

j'ai zappé la partie combofix pour passer directement a pre_scan par le biais d'un disque bootable.

je post le rapport de pre_scan 	

https://www.cjoint.com/?BGEagCWOIyu

Malheureusement je ne sais pas analysé se genre de rapport, je vous demande donc un peu d'aide afin de pouvoir continuer.

merci d'avance

Configuration: Windows 7 / Firefox 14.0.1

g3n-h@ckm@n · Answer

salut je regarde ca 

edit::

ton pc redemarre pas normalement là ?
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 
ne gardez pas les outils de desinfection dans le pc , ils sont mis à jour tous les jours

ktoony · Answer

non

il n'y a rien d'anormal sur pre_scan?

g3n-h@ckm@n · Answer

precise le "non"

ktoony · Answer

enfin si il démarre normalement, affichage du bureau, puis la fenêtre erreur critique, et une autre fenêtre de MSE qui me dit cliquer pour redémarrer...

puis au bout d'une minute extinction brutale puis redémarrage.

pour info il m'est impossible d'éteindre l'ordi.
sauf en restant appuyer sur power ou en fermant la session puis en cliquant sur arrêt.

g3n-h@ckm@n · Answer

tu t'es trompé tu as choisi le disque X: quand tu as lancé pre_scan au lieu du disque C:\ ou D puis windows

ktoony · Answer

merde j'étais pourtant sur d'avoir scanné le disque C:\windows

étrange...

je suis au taf je recommence demain et je te poste ça.

une petite question comment fait on pour analyser ce genre de rapport?
as tu un ou des site a me recommander? j'aimerai bien m'y essayer

g3n-h@ckm@n · Answer

https://www.google.fr/search?q=formation+en+desinfection+informatique&ie=utf-8&oe=utf-8&aq=t&rls=org.mozilla:fr:official&client=firefox-a

ktoony · Answer

je ne comprend pas j'ai regardé le rapport pre_scan et je ne vois que des C:\

qu'est ce qui te fais pensé que j'ai scanné le disque X:\ ?

(je ne met absolument pas tes compétences en doute elles sont tres largement supérieur aux miennes, je cherche juste a comprendre! :) )

ktoony · Answer

j'ai trouvé ceci sur google en fouinant si ça peux t'aider 

https://forums.cnetfrance.fr/desinfection-pc-virus-malwares-et-logiciels-indesirables/345595-reboot-windows-7-en-boucle-mode-sans-echec-impossible

la cause n'est pas tout a fait identique mais le résultat est le même. 

Bon j'ai refait un scan avec pre_scan 

Disque local C:\windows 
Do you wish to load remote user profile(s) for scanning ? => oui  
Cocher la case "Automatically Load All Remaining Users" 
Select user profile (j'ai 4 choix) 1-localservice, 2-networkservice, 3-systemprofile et 4-yannou   ****j'ai sélectionné le 4**** 
Puis cliquer sur OK 

rapport pre_scan (en espérant que se soit le bon cette fois!) 

https://www.cjoint.com/?BGEe2efwPxk

g3n-h@ckm@n · Answer

Clique sur ce lien : https://www.cjoint.com/?BGEhXoiwB05

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan ( rechoisis le dossier windows , etc , ...)  puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui sera dans C:\windows\Pre_script.txt

ktoony · Answer

bon, j'ai copié le script dans le dossier pre scan, sur le bureau, sur X:\, sur une clé usb... 

bref a chaque fois pre scan me fais la même chose "reading script" la barre de transfert s'arrête a la moitie puis pre scan s'arrête, aucune page n'apparait et plus rien ne bouge. 

ai je manqué quelque chose?! 

précision j'ai nommais le fichier txt, script.txt en toute logique et je passe par le cd de windows que tu as fais a Emmy12 lors de son pb et non par le windows malade.

ktoony · Answer

on commence a voir ce virus apparaitre un peu partout sur le net!!

g3n-h@ckm@n · Answer

pourtant j'ai ecrit ca :

poste Pre_Script.txt qui sera dans C:\windows\Pre_script.txt 

si tu prenais la peine de lire jusqu'au bout...

ktoony · Answer

j'ai lu et relu, et jusqu'au malgré ce que tu peux penser...
ma question n'est pas où ce trouve le fichier que je dois te posté???

 il semblerait que pre scan ne lise pas le script que TU m'as posté

je cite:
"Relance Pre_scan ( rechoisis le dossier windows , etc , ...) puis choisis l'option "Script"

une page va s'ouvrir" 

malheureusement elle ne s'ouvre jamais...

d'où ma question.

g3n-h@ckm@n · Answer

dans C:\windows\Pre_script.txt

ktoony · Answer

bon définitivement...

regarde et dis moi ou je fait une erreur

https://www.youtube.com/watch?v=gmF4FQ85aLg&feature=youtu.be

g3n-h@ckm@n · Answer

?????????????????????? 

non faut que tu selectionnes le texte du script en memoire dans la souris avant de lancer l option script de pre_scan je comprends pas pourquoi tu le copies sur ton bureau 

et pourquoi tu vas dans le disque H: ?
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 
ne gardez pas les outils de desinfection dans le pc , ils sont mis à jour tous les jours

ktoony · Answer

ok, bon j'avais pas compris....sorry

maintenant pre scan s'arret avec le messsage 

windows ne trouve pas C:\windowssystem32\cleanmgr.exe. verifiez que vous avez entré le nom correct

je fais ok et il s'arret sans creer de fichier txt dans C:\windows

g3n-h@ckm@n · Answer

sisi le fdichier texte est deja créé quand il arrrive là

ktoony · Answer

je pouvais toujours chercher dans C:\ le rapport a ete copier dans X:\

voila donc:

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script_PE | 2.729 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

switches : https://gen-hackman.kanak.fr/

Script : 04:36:23

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Files|Folders deleted

C:\Windows\Installer\{ff24043d-55f8-5ce9-a20a-8337d9b4b888} : absent !
Impossible to move dossier : |D| - C:\Users\Yannou\AppData\Local\{*} 
C:\zpagefile.sys : absent !
C:\Windows\AutoKMS : absent !
C:\Windows\system32\pcwor*.dat : absent !
C:\Windows\system32\pc_*.dat : absent !
C:\Windows\system32\phar_*.dat : absent !
C:\Windows\system32\ph_*.dat  : absent !
C:\Users\Yannou\AppData\Local\Ilivid Player      : absent !
C:\Windows\System32\Tasks\{A2610F81-B1A3-4256-BC81-FCAE1CA720EB}  : absent !
C:\Windows\System32\Tasks\{FF665D5D-AC30-4B38-B5F6-A11150F8CE65}  : absent !

¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

Disk not cleaned

¤


Fin : 04:36:48

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ok le pc doit redemarrer nomalement là je pense

ktoony · Answer

non toujours pas!!

c'est MSE qui fout la merde je crois.

g3n-h@ckm@n · Answer

oué vas-y

g3n-h@ckm@n · Answer

en mode sans echec ca donne quoi ?

g3n-h@ckm@n · Answer

ou ca ?

ktoony · Answer

win32 je crois

g3n-h@ckm@n · Answer

re 

desinstalle MSE

ktoony · Answer

je ne peux pas le désinstaller en mode normal l'accès au panneau de config fait planter windows (figer) et en mode sans echec MSE ne m'autorise pas a le désinstallé par se mode, il m'invite a le désinstaller en mode normal.

bref je tourne en rond. y aurait il un moyen de contourner se pb?

g3n-h@ckm@n · Answer

oui avec revo uninstaller en mode avancé

https://www.commentcamarche.net/telecharger/utilitaires/19405-revo-uninstaller/

tu ignores les messages d'erreur et tu vires tout ce qu il trouve dans les scans suivants

ktoony · Answer

ok après plusieurs essais (il a lutté le coco! pour info il a fallu que je désactive la création de point de resto) j'ai réussi a virer MSE.

le pc ne redémarre plus mais je suppose que je suis toujours infecté?

ktoony · Answer

pour gagner du temps j'ai fais un scan RogueKiller V7.6.4 [17/07/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur: Yannou [Droits d'admin] Mode: Recherche -- Date: 01/08/2012 15:29:38 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 2 ¤¤¤ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac\desktop.ini --> FOUND [Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> CANNOT FIX [ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> CANNOT FIX ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD5000BEVT-60ZAT1 ATA Device +++++ --- User --- [MBR] 167efe8b185094206769ec562b7a38ae [BSP] 35b7dad4ee4bc805416f4dc551dc7401 : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 294856 Mo 1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 603869184 | Size: 26925 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 659011584 | Size: 144480 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 954908672 | Size: 10673 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt

g3n-h@ckm@n · Answer

ben fais suppression !

ktoony · Answer

ok, mais il m'a creer un dossier quarantaine dont voici le rapport: Time : 01/08/2012 15:29:38 -------------------------- [PARTICULAR] Time : 01/08/2012 15:34:38 -------------------------- ERROR [Desktop.ini.vir] -> c:\windows\assembly\gac\desktop.ini Time : 01/08/2012 15:35:08 -------------------------- Time : 01/08/2012 15:35:54 -------------------------- et voici le rapport final apres rescan: RogueKiller V7.6.4 [17/07/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 32 bits version Demarrage : Mode normal Utilisateur: Yannou [Droits d'admin] Mode: Recherche -- Date: 01/08/2012 15:35:54 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ [ZeroAccess][FILE] Desktop.ini : c:\windows\assembly\gac\desktop.ini --> FOUND [Susp.ASLR][ASLR WIPED-OFF] services.exe : c:\windows\system32\services.exe --> CANNOT FIX [ZeroAccess][Sig found] services.exe : c:\windows\system32\services.exe --> CANNOT FIX ¤¤¤ Driver: [CHARGE] ¤¤¤ ¤¤¤ Infection : ZeroAccess ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD5000BEVT-60ZAT1 ATA Device +++++ --- User --- [MBR] 167efe8b185094206769ec562b7a38ae [BSP] 35b7dad4ee4bc805416f4dc551dc7401 : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 294856 Mo 1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 603869184 | Size: 26925 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 659011584 | Size: 144480 Mo 3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 954908672 | Size: 10673 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt c'est quoi les 3 fichier/dossier particulier? est ce inquietant?

g3n-h@ckm@n · Answer

desinstalle ton antivirus 

== 

supprime pre_scan , retelecharge-le puis refais un passage avec et heberge le rapport (au lancement tu choisiras l'option Kill )
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 
ne gardez pas les outils de desinfection dans le pc , ils sont mis à jour tous les jours

ktoony · Answer

voici

https://www.cjoint.com/?BHbqmvkrIyr

apparement toujours des pb avec C:\windows\assenbly\gac\desktop.ini

g3n-h@ckm@n · Answer

rhâââ^^aââaâââ !!!!!!   relance-le en mode sans echec

ktoony · Answer

le résultat est le même d'après le rapport pas de suppression ni de mise en quarantaine après reboot.


https://www.cjoint.com/?BHbre6r3Vtg

g3n-h@ckm@n · Answer

et ouais c'est une vraie salo$erie à virer ce truc-là

===

peux-tu faire une copie de ce fichier à la racine de C:\ ?

C:\Windows\winsxs\x86_microsoft-windows-s..s-servicecontroller_31bf3856ad364e35_6.1.7600.16385_none_cf36168b2e9c967b\services.exe

g3n-h@ckm@n · Answer

re 

non 
  
Clique sur ce lien : http://cjoint.com/12au/BHbwV3BjIER.htm 

Selectionne tout ce texte 

Replace:: 
"c:\services.exe" "C:\windows\system32\services.exe" 

Relance Pre_scan puis choisis l'option "Script" 

une page va s'ouvrir 

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler. 

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge. 

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille  

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ 
ne gardez pas les outils de desinfection dans le pc , ils sont mis à jour tous les jours

g3n-h@ckm@n · Answer

ouaip me suis mal exprimé

Selectionne tout ce texte

Replace::
"c:\services.exe" "C:\windows\system32\services.exe"

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

ktoony · Answer

https://www.cjoint.com/?BHcnJOzjFbt

pas beaucoup d'info dans ce rapport??

g3n-h@ckm@n · Answer

non lol cette fonction ne marque rien dans le rapport

ok repasse pre_scan voir s'il arrive a detruire ces desktop.ini sinon on tapera plus gros

choisis l option kill

ktoony · Answer

bon je crois que tu lui as fais la peau cette fois ^^

rapport pre_scan

https://www.cjoint.com/?BHcoiQyBorc

j'ai également passé un coup de rogue. c'est quoi toutes ces interdictions dans le fichier host??

https://www.cjoint.com/?3HcolTYOC5u

ktoony · Answer

le voila

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.731 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Yannou : Windows 7 Home Premium (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 14:43:14

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services

Service : F00511FC  Not actif



¤

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

Value Deleted : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{99079a25-328f-4bd4-be04-00955acaa0a7}
Key Deleted : HKU\S-1-5-21-2380624430-4247737875-4152406480-1001\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Key Deleted : HKU\S-1-5-21-2380624430-4247737875-4152406480-1001\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}
Key Deleted : HKU\S-1-5-21-2380624430-4247737875-4152406480-1001\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{51F9E8EF-59D7-475B-A106-C7EA6F30C119}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4becf16c-74f0-429b-8d3e-4fba507ac661}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9da1d2cb-796d-4bec-bbaa-0aa9ccd80e15}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{99079a25-328f-4bd4-be04-00955acaa0a7}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0031-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Key Deleted : HKU\S-1-5-21-2380624430-4247737875-4152406480-1001\Software\Datamngr    
Key Deleted : HKU\S-1-5-21-2380624430-4247737875-4152406480-1001\Software\ilivid    
Key Deleted : HKU\S-1-5-21-2380624430-4247737875-4152406480-1001\Software\SweetIM    
Key Deleted : HKLM\Software\BrowserChoice    
Key Deleted : HKLM\Software\SweetIM    

¤

File Deleted :  |A| - C:\Windows\system32\drivers.txt 
Folder Deleted : |D| - C:\Program Files\iLivid     

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows 7 Home Premium Edition
Windows Information:		Service Pack 1 (build 7601), 32-bit
Base Board Manufacturer:	Quanta
BIOS Manufacturer:		Hewlett-Packard
System Manufacturer:		Hewlett-Packard
System Product Name:		Compaq Presario CQ71 Notebook PC
Logical Drives Mask:		0x000000fc

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 7 MBR code detected

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 14:44:49

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ok pour ton fichier host j'ai pas bien répondu

ce sont des lignes insérées par les logiciels de protection du style spybot

mais là c'est pre_scan qui les as intégrées , le fichier doit contenir environ 15 000 lignes

ktoony · Answer

cool. 

donc menace anéantie?

pour les thèmes aero de windows je peux faire une réparation de mon windows ou il y a un autre moyen?

g3n-h@ckm@n · Answer

essaie ceci :

touche windows + R

tape cmd

dans la fenetre noire tape :

chkdsk /f /r c:

accepte de faire l analyse au redemarrage et redemarre

ktoony · Answer

huuum, ça n'a pas fonctionné

g3n-h@ckm@n · Answer

suis ce tuto :

https://forums.cnetfrance.fr/tutoriels-securite-informatique/179557-dr-web-cureit-le-tutoriel

ktoony · Answer

toujours pas drweb-cureit n'a pas trouvé d'anomalie.

ça commence a me .......

g3n-h@ckm@n · Answer

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , à l'enregistrement change le nom de Combofix en "cequetuveux" avant qu'il soit enregistré sur ton disque dur

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

ktoony · Answer

voici le rapport de combofix

https://www.cjoint.com/?BHdem36Pej4

g3n-h@ckm@n · Answer

attends c'est fini ca sent le rootkit à plein nez verifions

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

c:\windows\system32\drivers\wdfbprcp.sys 
c:\windows\system32\drivers\lsydztls.sys 
c:\windows\system32\drivers\veuwgkmv.sys 


    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.

g3n-h@ckm@n · Answer

ca pue l'arnaque ces fichiers......

tu peux les deplacer dans un dossier sur le bureau ?

ktoony · Answer

je le fais

j'ai lancé un scan avec antivir je te post un screen de ce qu'il a trouvé

https://www.cjoint.com/?BHdqLSIQJCK

g3n-h@ckm@n · Answer

oui pas grave c'est la quarantaine de pre_scan

ktoony · Answer

ok donc je fais un copier coller ou un couper coller des fichiers sur le bureau?

g3n-h@ckm@n · Answer

copier/coller 

je pense pas que couper/coller fonctionne

ktoony · Answer

ok est apres?

g3n-h@ckm@n · Answer

zippe les trois fichiers dans une archive et heberge-la j'aimerais les analyser de près ces trois fichiers identiques au nom different

g3n-h@ckm@n · Answer

tu peux les supprimer ?

g3n-h@ckm@n · Answer

c'est bien ce qui me semblait garde un peu les copies au cas quand meme

=======


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

g3n-h@ckm@n · Answer

ok je pense qu on peut faire le menage final

https://gen-hackman.kanak.fr/#1037

ktoony · Answer

ok j'ai tout nettoyé.

tout est rentré dans l'ordre.

je te remercie mille fois et encore je suis sur que c'est pas assez, et je te dis peut être a une prochaine fois.

g3n-h@ckm@n · Answer

j'espère pas :D

ktoony · Answer

peut etre pas pour un pb cette fois; m'enfin j'en doute...

en tout cas j'ai appris pas mal de chose. merci

g3n-h@ckm@n · Answer

:)

Alerte MSE et redemarrage, le retour...

67 réponses

Votre réponse

Discussions similaires

Newsletters