Virus sacem 09/2012

carll -  
 Utilisateur anonyme -
Bonjour,

Je viens d'être victime du fameux virus SACEM.
Je suis bloqué à partir du rapport que livre OTLPE. Je voulais savoir ce qu'il fallait faire avec le rapport et si on était obligé de publier ce rapport.
Quelqu'un à-t-il une démarche à m'indiquer s'il vous plaît car je suis un néophyte et je commence à galèrer.

26 réponses

  • 1
  • 2
Résumé de la discussion

Une infection par le virus SACEM est décrite et la discussion tourne autour des actions à mener avec le rapport OTLPE et s’il faut publier ce rapport.
Plusieurs réponses recommandent des outils de nettoyage, notamment RogueKiller pour supprimer les entrées système et les modifications du registre, et Malwarebytes pour un balayage complet après installation et mise à jour.
D'autres messages décrivent l'utilisation d'OTLPE avec des listes de services à scanner et des instructions précises, y compris l'exportation des résultats et le démarrage en mode déconnecté.
Enfin, des conseils additionnels insistent sur la vérification des protections restantes, les mises à jour et les précautions lors de l’utilisation d’une clé USB, compte tenu des transferts potentiels.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    bonsoir,

    le pc est sous envoronnement OTLPE ?

    si oui :

    avec un autre pc, télécharge ceci et transfère le via une clé usb sur le pc infecté :

    * [*] Télécharger et enregistre RogueKiller sur le bureau
    https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Supprimer Cliquer sur Rapport et copier coller le contenu du notepad

    Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.

    après cette opération, tu peux redémarre ton pc en mode normal, connecte toi à internet et reviens ici pour qu'on le nettoie :D

    0
  2. carll
     
    Je te remercie de ta réponse.
    Pour le moment, je suis sous environnement OTLPE avec les données du disque dur.
    je vais télécharger Roguekiller et je reviens vers toi après.
    0
  3. carll
     
    J'ai utilisé Roguekiller et j'ai fait ce que tu m'as dit mais lors du démarage en mode normal, j'arrive sur une fenetre qui me dit que Explorer ne marche pas.
    Que dois-je faire??
    0
  4. Utilisateur anonyme
     
    Bonsoir

    Pour avancer.

    Poste ce rapport Roguekiller;merci

    @+
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. carll
     
    voilà le rapport pour roguekiller.

    RogueKiller V8.0.2 [08/31/2012] by Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
    Blog: http://tigzyrk.blogspot.com

    Operating System: Windows XP (5.1.2600 ) 32 bits version
    Started in : Normal mode
    User : SYSTEM [Admin rights]
    Mode : Remove -- Date : 09/10/2012 23:44:27

    ¤¤¤ Bad processes : 0 ¤¤¤

    ¤¤¤ Registry Entries : 2 ¤¤¤
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
    [FILEASSO] HKLM\[...]\command : (X:\i386\iexplore.exe) -> FOLDER NOT FOUND

    ¤¤¤ Particular Files / Folders: ¤¤¤

    ¤¤¤ Driver : [NOT LOADED] ¤¤¤

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ HOSTS File: ¤¤¤
    --> X:\i386\system32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Check: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] 078fa1ce617d70adcc7b2b31121cf90b
    [BSP] 9564bedd4d5f816e204761972e1b6474 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: +++++
    --- User ---
    [MBR] 281d6afdb2c1260be65fac8c63eb8932
    [BSP] 6acaf7408645ece72b110ca5b06067bf : Standard MBR Code
    Partition table:
    0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1905 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Finished : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  7. Utilisateur anonyme
     
    Re

    Sous OTLPE:

    * Double-clique sur l'icone OTLPE
    * quand demandé "Do you wish to load the remote registry", select Yes
    * Tu choisis ta session
    * Sous Vista et Seven il faut développer l'arborescence du lecteur C qui par défaut embarque Windows et arriver sur le dossier Windows.
    Rappel :Tutorial ici : https://forum.malekal.com/viewtopic.php?t=23453&start=
    Ensuite
    * sous Custom Scan box
    1) copie_colle le contenu du cadre ci dessous:

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    cdrom.sys
    disk.sys
    ndis.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    explorer.exe
    winlogon.exe
    wininit.exe
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT


    * copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.

    * 2) Clic Run Scan pour démarrer le scan.
    * Une fois terminé , le fichier se trouve là C:\OTL.txt
    * Copie_colle le contenu dans ta prochaine réponse.

    @+
    0
  8. carll
     
    re
    voici le rapport pour OTL

    TL logfile created on: 9/10/2012 7:24:27 PM - Run
    OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
    Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
    Internet Explorer (Version = 6.0.2900.5512)
    Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

    3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 91.00% Memory free
    3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
    Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

    %SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
    Drive C: | 232.88 Gb Total Space | 191.46 Gb Free Space | 82.21% Space Free | Partition Type: NTFS
    Drive D: | 1.86 Gb Total Space | 1.86 Gb Free Space | 100.00% Space Free | Partition Type: FAT
    Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

    Computer Name: REATOGO | User Name: SYSTEM
    Boot Mode: Normal | Scan Mode: All users
    Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
    Using ControlSet: ControlSet001

    [color=#E56717]========== Win32 Services (SafeList) ==========/color

    SRV - File not found [Disabled] -- -- (HidServ)
    SRV - [2012/09/07 08:45:22 | 000,114,144 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
    SRV - [2012/08/30 15:55:50 | 000,722,528 | ---- | M] () [Auto] -- C:\Program Files\Fichiers communs\AVG Secure Search\vToolbarUpdater\12.2.6\ToolbarUpdater.exe -- (vToolbarUpdater12.2.6)
    SRV - [2012/08/25 04:30:30 | 000,250,568 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
    SRV - [2012/07/13 07:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
    SRV - [2012/05/04 13:29:46 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto] -- C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe -- (JavaQuickStarterService)
    SRV - [2012/04/30 03:44:38 | 005,106,744 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto] -- C:\Program Files\AVG\AVG2012\avgidsagent.exe -- (AVGIDSAgent)
    SRV - [2012/03/22 23:57:00 | 002,321,520 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto] -- C:\Program Files\AVG\AVG2012\avgfws.exe -- (avgfws)
    SRV - [2012/03/21 06:23:14 | 000,793,048 | ---- | M] (PC Tools) [Auto] -- C:\Program Files\Fichiers communs\PC Tools\sMonitor\StartManSvc.exe -- (PCToolsSSDMonitorSvc)
    SRV - [2012/02/13 22:53:38 | 000,193,288 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto] -- C:\Program Files\AVG\AVG2012\avgwdsvc.exe -- (avgwd)
    SRV - [2011/07/19 23:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
    SRV - [2009/08/25 15:06:20 | 000,077,824 | ---- | M] (France Telecom SA) [Auto] -- C:\Program Files\Fichiers communs\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe -- (FTRTSVC)
    SRV - [2008/04/14 10:43:38 | 000,034,304 | ---- | M] (TOSHIBA Corp.) [Auto] -- C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe -- (TAPPSRV)
    SRV - [2008/04/13 20:10:52 | 000,467,028 | ---- | M] (Atheros) [Auto] -- C:\WINDOWS\system32\acs.exe -- (ACS)
    SRV - [2007/11/21 12:23:32 | 000,129,632 | ---- | M] (TOSHIBA Corporation) [Auto] -- C:\WINDOWS\system32\TODDSrv.exe -- (TODDSrv)
    SRV - [2006/10/26 08:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
    SRV - [2006/10/05 07:10:12 | 000,009,216 | ---- | M] (Agere Systems) [Auto] -- C:\WINDOWS\system32\agrsmsvc.exe -- (AgereModemAudio)
    SRV - [2005/01/17 10:38:00 | 000,040,960 | ---- | M] (TOSHIBA CORPORATION) [Auto] -- C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe -- (CFSvcs)

    [color=#E56717]========== Driver Services (SafeList) ==========/color

    DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
    DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
    DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
    DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
    DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
    DRV - File not found [Kernel | System] -- -- (PCIDump)
    DRV - File not found [Kernel | System] -- -- (lbrtfdc)
    DRV - File not found [Kernel | System] -- -- (i2omgmt)
    DRV - File not found [Kernel | System] -- -- (Changer)
    DRV - [2012/08/30 15:55:53 | 000,027,496 | ---- | M] (AVG Technologies) [Kernel | System] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)
    DRV - [2012/04/18 22:50:26 | 000,024,896 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\avgidshx.sys -- (AVGIDSHX)
    DRV - [2012/03/18 23:17:28 | 000,301,248 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System] -- C:\WINDOWS\system32\drivers\avgtdix.sys -- (Avgtdix)
    DRV - [2012/02/21 23:25:32 | 000,235,216 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System] -- C:\WINDOWS\system32\drivers\avgldx86.sys -- (Avgldx86)
    DRV - [2012/01/30 22:46:50 | 000,031,952 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | Boot] -- C:\WINDOWS\system32\drivers\avgrkx86.sys -- (Avgrkx86)
    DRV - [2012/01/12 13:52:06 | 000,030,944 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgfwdx.sys -- (Avgfwfd)
    DRV - [2012/01/12 13:52:06 | 000,030,944 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgfwdx.sys -- (Avgfwdx)
    DRV - [2011/12/23 07:32:14 | 000,041,040 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | System] -- C:\WINDOWS\system32\drivers\avgmfx86.sys -- (Avgmfx86)
    DRV - [2011/12/23 07:32:08 | 000,017,232 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgidsshimx.sys -- (AVGIDSShim)
    DRV - [2011/12/23 07:32:06 | 000,024,144 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgidsfilterx.sys -- (AVGIDSFilter)
    DRV - [2011/12/23 07:32:00 | 000,139,856 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgidsdriverx.sys -- (AVGIDSDriver)
    DRV - [2009/06/15 07:45:36 | 000,102,656 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbfake.sys -- (hwusbfake)
    DRV - [2009/06/15 07:45:36 | 000,102,400 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
    DRV - [2008/06/13 08:26:04 | 000,110,080 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\IntcHdmi.sys -- (IntcHdmiAddService) Intel(R)
    DRV - [2008/05/22 10:53:58 | 000,154,624 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTS5121.sys -- (RSUSBSTOR)
    DRV - [2008/04/14 08:00:00 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
    DRV - [2008/04/09 12:01:16 | 004,703,744 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
    DRV - [2008/04/08 12:45:42 | 001,309,504 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416)
    DRV - [2008/02/19 22:52:54 | 000,034,688 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\pcampr5.sys -- (PCAMPR5)
    DRV - [2008/02/19 22:52:54 | 000,032,128 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\pcandis5.sys -- (PCANDIS5)
    DRV - [2008/02/08 03:46:36 | 000,057,408 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wsimd.sys -- (WSIMD)
    DRV - [2008/01/03 16:10:16 | 000,105,856 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
    DRV - [2007/12/17 05:45:20 | 000,018,432 | ---- | M] (Chicony Electronics Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\UVCFTR_S.SYS -- (UVCFTR)
    DRV - [2007/04/04 02:56:48 | 000,005,888 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\FwLnk.sys -- (FwLnk)
    DRV - [2007/03/26 06:22:18 | 000,105,856 | ---- | M] (TOSHIBA Corporation) [File_System | Auto] -- C:\WINDOWS\system32\drivers\tdudf.sys -- (tdudf)
    DRV - [2007/02/19 06:15:32 | 000,134,016 | ---- | M] (TOSHIBA Corporation) [File_System | Auto] -- C:\WINDOWS\system32\drivers\trudf.sys -- (trudf)
    DRV - [2006/11/28 10:11:00 | 001,161,888 | ---- | M] (Agere Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
    DRV - [2006/10/18 06:50:04 | 000,016,128 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tdcmdpst.sys -- (tdcmdpst)
    DRV - [2003/01/29 08:35:00 | 000,012,032 | ---- | M] (TOSHIBA Corporation.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\Netdevio.sys -- (Netdevio)

    [color=#E56717]========== Standard Registry (SafeList) ==========/color

    [color=#E56717]========== Internet Explorer ==========/color

    IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
    IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=c2a600a4-3647-11e1-99b0-0026b6152119

    IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

    IE - HKU\Administrateur_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
    0
    1. Utilisateur anonyme
       
      Re

      Rapport incomplet:

      Pour transmettre le rapport clique sur ce lien :


      http://pjjoint.malekal.com/

      https://www.cjoint.com/

      Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier (Fichier demandé )
      Clique sur Ouvrir.

      Clique sur "Cliquez ici pour déposer le fichier".

      Un lien de cette forme :

      http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

      est ajouté dans la page.

      Copie ce lien dans ta réponse.
      0
  9. carll
     
    http://pjjoint.malekal.com/files.php?id=OTL_20120910_c11i9e9f9v14

    l'adresse est bonne? car l'envoi a été laborieux donc dis moi en cas de problème
    0
  10. Utilisateur anonyme
     
    Re

    * Double-clique sur l'icone OTLPE
    * quand demandé "Do you wish to load the remote registry", selectionne "Yes"
    * quand demandé "Do you wish to load remote user profile(s) for scanning", selectionne "Yes"
    * verifier que "Automatically Load All Remaining Users" est sélectionné et presse OK

    http://imagesup.org/image

    * sous Custom Scan box copie_colle le tout ci dessous et clic RUNFIX

    :OTL
    O4 - HKU\toshiba_ON_C..\Run: [cacaoweb] C:\Program Files\cacaoweb\cacaoweb.exe ()
    O4 - HKU\toshiba_ON_C..\Run: [Spotify Web Helper] C:\Documents and Settings\toshiba\Application Data\Spotify\Data\SpotifyWebHelper.exe ()
    O4 - Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ja.lnk = C:\Documents and Settings\Administrateur\Application Data\1.exe ()
    O4 - Startup: C:\Documents and Settings\toshiba\Menu Démarrer\Programmes\Démarrage\ja.lnk = C:\Documents and Settings\toshiba\Application Data\1.exe ()
    O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\toshiba\Application Data\1.exe) - C:\Documents and Settings\toshiba\Application Data\1.exe ()
    O31 - SafeBoot: AlternateShell - C:\Documents and Settings\toshiba\Application Data\1.exe
    O33 - MountPoints2\{bab990cb-61bb-11df-96bb-0026b6152119}\Shell\AutoRun\command - "" = E:\ca.exe
    O33 - MountPoints2\{bab990cb-61bb-11df-96bb-0026b6152119}\Shell\open\Command - "" = E:\ca.exe
    O33 - MountPoints2\{f39bbaf4-b5b1-11df-9768-0026b6152119}\Shell\AutoRun\command - "" = ggb6w.exe
    O33 - MountPoints2\{f39bbaf4-b5b1-11df-9768-0026b6152119}\Shell\open\Command - "" = ggb6w.exe
    [2012/09/10 07:44:36 | 000,391,569 | ---- | M] () -- C:\Documents and Settings\toshiba\Application Data\1.exe
    [2012/09/10 07:44:36 | 000,391,569 | ---- | M] () -- C:\Documents and Settings\Administrateur\Application Data\1.exe
    [2012/05/10 11:35:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\toshiba\Application Data\Babylon
    [2012/09/09 07:53:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\toshiba\Application Data\cacaoweb
    [2012/03/12 09:05:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\toshiba\Application Data\OfferBox
    [2011/07/17 15:02:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\toshiba\Application Data\OpenCandy
    [2012/05/10 11:35:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Babylon



    tu conserves le rapport qui s'affiche ; et tu le copies et colles dans ta prochaine réponse

    @+
    0
  11. carll
     
    on ne me pose pas la 1ere question et passe directe a la seconde.
    on peut s'en passer ?
    0
    1. Utilisateur anonyme
       
      oui
      0
  12. carll
     
    ========== OTL ==========
    Registry value HKEY_USERS\toshiba_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb deleted successfully.
    C:\Program Files\cacaoweb\cacaoweb.exe moved successfully.
    Registry value HKEY_USERS\toshiba_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Spotify Web Helper deleted successfully.
    C:\Documents and Settings\toshiba\Application Data\Spotify\Data\SpotifyWebHelper.exe moved successfully.
    C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ja.lnk moved successfully.
    C:\Documents and Settings\Administrateur\Application Data\1.exe moved successfully.
    C:\Documents and Settings\toshiba\Menu Démarrer\Programmes\Démarrage\ja.lnk moved successfully.
    C:\Documents and Settings\toshiba\Application Data\1.exe moved successfully.
    Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\toshiba\Application Data\1.exe deleted successfully.
    File C:\Documents and Settings\toshiba\Application Data\1.exe not found.
    Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\\AlternateShell deleted successfully.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bab990cb-61bb-11df-96bb-0026b6152119}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bab990cb-61bb-11df-96bb-0026b6152119}\ not found.
    File E:\ca.exe not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bab990cb-61bb-11df-96bb-0026b6152119}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bab990cb-61bb-11df-96bb-0026b6152119}\ not found.
    File E:\ca.exe not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f39bbaf4-b5b1-11df-9768-0026b6152119}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f39bbaf4-b5b1-11df-9768-0026b6152119}\ not found.
    File ggb6w.exe not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f39bbaf4-b5b1-11df-9768-0026b6152119}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f39bbaf4-b5b1-11df-9768-0026b6152119}\ not found.
    File ggb6w.exe not found.
    File C:\Documents and Settings\toshiba\Application Data\1.exe not found.
    File C:\Documents and Settings\Administrateur\Application Data\1.exe not found.
    C:\Documents and Settings\toshiba\Application Data\Babylon folder moved successfully.
    C:\Documents and Settings\toshiba\Application Data\cacaoweb folder moved successfully.
    C:\Documents and Settings\toshiba\Application Data\OfferBox folder moved successfully.
    C:\Documents and Settings\toshiba\Application Data\OpenCandy\OpenCandy_50FCECDC5F534B6BBF4F4C940C734F24 folder moved successfully.
    C:\Documents and Settings\toshiba\Application Data\OpenCandy folder moved successfully.
    C:\Documents and Settings\All Users\Application Data\Babylon folder moved successfully.

    OTLPE by OldTimer - Version 3.1.48.0 log created on 09112012_013633
    0
  13. Utilisateur anonyme
     
    Re

    Démarre ton PC normalement après avoir enlevé le CD du lecteur

    Cela devrait fonctionner

    @+
    0
  14. carll
     
    j'ai relancé il y a 5 minutes et l'écran reste figé sur mon bureau qui reste désespérément vide!!
    0
    1. Utilisateur anonyme
       
      Ctrl+Alt+Supp
      Lance explorer.exe dans le gestionnaire

      @+
      0
    2. carll
       
      pour le moment je ne le trouve. je cherche dans Processus
      0
    3. Utilisateur anonyme
       
      Le gestionnaire lancé
      Fichier>>>nouvelle tâche>>>explorer.exe
      OK
      0
    4. carll
       
      pour le moment mes documents sont revenus mais j'ai aucune icône sur le bureau
      0
  15. Utilisateur anonyme
     
    Re

    [*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
    [*] Quitter tous les programmes
    [*] Lancer RogueKiller.exe.
    [*] Attendre que le Prescan ait fini ...
    [*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

    @+
    0
  16. carll
     
    RogueKiller V8.0.2 [31/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : toshiba [Droits d'admin]
    Mode : Recherche -- Date : 11/09/2012 02:10:20

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 9 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : nod32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\nodqq.exe) -> TROUVÉ
    [RUN][SUSP PATH] HKCU\[...]\Run : dso32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\dsoqq.exe) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-1244254043-291789620-1783764956-1005[...]\Run : nod32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\nodqq.exe) -> TROUVÉ
    [RUN][SUSP PATH] HKUS\S-1-5-21-1244254043-291789620-1783764956-1005[...]\Run : dso32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\dsoqq.exe) -> TROUVÉ
    [SHELL/LOAD][ROGUE ST] HKLM\[...]\Winlogon : Shell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> TROUVÉ
    [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [SAFEBOOT] HKLM\[...]\ControlSet001\SafeBoot : AlternateShell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> TROUVÉ
    [SAFEBOOT] HKLM\[...]\ControlSet003\SafeBoot : AlternateShell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[177] : NtQueryValueKey @ 0x806221FA -> HOOKED (\??\C:\WINDOWS\system32\drivers\avgtpx86.sys @ 0xBA249258)

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: TOSHIBA MK2555GSX +++++
    --- User ---
    [MBR] 078fa1ce617d70adcc7b2b31121cf90b
    [BSP] 9564bedd4d5f816e204761972e1b6474 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: USB2.0 Flash Disk USB Device +++++
    --- User ---
    [MBR] 281d6afdb2c1260be65fac8c63eb8932
    [BSP] 6acaf7408645ece72b110ca5b06067bf : Standard MBR Code
    Partition table:
    0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1905 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1].txt >>
    RKreport[1].txt
    0
  17. Utilisateur anonyme
     
    Re

    Relance Roguekiller option suppression et poste moi son rapport

    Merci

    @+
    0
    1. carll
       
      question idiote
      je repart de 0 pour roguekiller ou je garde la pge roguekiller qui m'a servi pour le dernier rapport??
      0
    2. Utilisateur anonyme
       
      Le bouton suppression est accessible?
      Si c'est le cas tu cliques dessus ou tu relances et tu choisis suppression
      0
    3. carll
       
      bouton accessible donc j'ai supprimé directe sans relancer .
      le rapport arrive
      0
  18. carll
     
    RogueKiller V8.0.2 [31/08/2012] par Tigzy
    mail: tigzyRK<at>gmail<dot>com
    Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
    Blog: http://tigzyrk.blogspot.com

    Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
    Demarrage : Mode normal
    Utilisateur : toshiba [Droits d'admin]
    Mode : Suppression -- Date : 11/09/2012 02:18:59

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 7 ¤¤¤
    [RUN][SUSP PATH] HKCU\[...]\Run : nod32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\nodqq.exe) -> SUPPRIMÉ
    [RUN][SUSP PATH] HKCU\[...]\Run : dso32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\dsoqq.exe) -> SUPPRIMÉ
    [SHELL/LOAD][ROGUE ST] HKLM\[...]\Winlogon : Shell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> REMPLACÉ (Explorer.exe)
    [HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
    [SAFEBOOT] HKLM\[...]\ControlSet001\SafeBoot : AlternateShell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> REMPLACÉ (cmd.exe)
    [SAFEBOOT] HKLM\[...]\ControlSet003\SafeBoot : AlternateShell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> REMPLACÉ (cmd.exe)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[177] : NtQueryValueKey @ 0x806221FA -> HOOKED (\??\C:\WINDOWS\system32\drivers\avgtpx86.sys @ 0xBA249258)

    ¤¤¤ Infection : ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\WINDOWS\system32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: TOSHIBA MK2555GSX +++++
    --- User ---
    [MBR] 078fa1ce617d70adcc7b2b31121cf90b
    [BSP] 9564bedd4d5f816e204761972e1b6474 : Windows XP MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo
    User = LL1 ... OK!
    User = LL2 ... OK!

    +++++ PhysicalDrive1: USB2.0 Flash Disk USB Device +++++
    --- User ---
    [MBR] 281d6afdb2c1260be65fac8c63eb8932
    [BSP] 6acaf7408645ece72b110ca5b06067bf : Standard MBR Code
    Partition table:
    0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1905 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2].txt >>
    RKreport[1].txt ; RKreport[2].txt
    0
  19. Utilisateur anonyme
     
    Re

    Télécharge Malwaresbytes anti malware ici
    http://www.malwarebytes.org/mbam.php

    Bouton »Download free version »

    * Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    * Potasse le tuto pour te familiariser avec le prg :

    https://forum.pcastuces.com/sujet.asp?f=31&s=3

    (cela dis, il est très simple d'utilisation).

    relance Malwaresbytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    * Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

    *Procèdes à une mise à jour

    *Fais un examen dit "Complet"

    --> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    --> à la fin tu cliques sur "Afficher les résultats" " .
    --> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

    @+

    0
  20. carll
     
    Après cette étape, il y en a pour longtemps ou pas?
    0
  21. Utilisateur anonyme
     
    Re

    Il restera les diverses mises à jour à faire.
    Et vérifier de quelles protections tu disposes.

    @+
    0
  • 1
  • 2