Virus sacem 09/2012

carll -  
 Utilisateur anonyme -
Bonjour,

Je viens d'être victime du fameux virus SACEM.
Je suis bloqué à partir du rapport que livre OTLPE. Je voulais savoir ce qu'il fallait faire avec le rapport et si on était obligé de publier ce rapport.
Quelqu'un à-t-il une démarche à m'indiquer s'il vous plaît car je suis un néophyte et je commence à galèrer.
A voir également:

26 réponses

  • 1
  • 2
Réponse 1 / 26
Utilisateur anonyme
 
bonsoir,

le pc est sous envoronnement OTLPE ?

si oui :


avec un autre pc, télécharge ceci et transfère le via une clé usb sur le pc infecté :



* [*] Télécharger et enregistre RogueKiller sur le bureau
https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Supprimer Cliquer sur Rapport et copier coller le contenu du notepad

Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.


après cette opération, tu peux redémarre ton pc en mode normal, connecte toi à internet et reviens ici pour qu'on le nettoie :D

0
Réponse 2 / 26
carll
 
Je te remercie de ta réponse.
Pour le moment, je suis sous environnement OTLPE avec les données du disque dur.
je vais télécharger Roguekiller et je reviens vers toi après.
0
Réponse 3 / 26
carll
 
J'ai utilisé Roguekiller et j'ai fait ce que tu m'as dit mais lors du démarage en mode normal, j'arrive sur une fenetre qui me dit que Explorer ne marche pas.
Que dois-je faire??
0
Réponse 4 / 26
Utilisateur anonyme
 
Bonsoir

Pour avancer.

Poste ce rapport Roguekiller;merci


@+
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 26
carll
 
voilà le rapport pour roguekiller.

RogueKiller V8.0.2 [08/31/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog: http://tigzyrk.blogspot.com

Operating System: Windows XP (5.1.2600 ) 32 bits version
Started in : Normal mode
User : SYSTEM [Admin rights]
Mode : Remove -- Date : 09/10/2012 23:44:27

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKLM\[...]\command : (X:\i386\iexplore.exe) -> FOLDER NOT FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [NOT LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
--> X:\i386\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 078fa1ce617d70adcc7b2b31121cf90b
[BSP] 9564bedd4d5f816e204761972e1b6474 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 281d6afdb2c1260be65fac8c63eb8932
[BSP] 6acaf7408645ece72b110ca5b06067bf : Standard MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1905 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Finished : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
0
Réponse 6 / 26
Utilisateur anonyme
 
Re

Sous OTLPE:

* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* Tu choisis ta session
* Sous Vista et Seven il faut développer l'arborescence du lecteur C qui par défaut embarque Windows et arriver sur le dossier Windows.
Rappel :Tutorial ici : https://forum.malekal.com/viewtopic.php?t=23453&start=
Ensuite
* sous Custom Scan box
1) copie_colle le contenu du cadre ci dessous:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
aec.sys
rasacd.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
explorer.exe
winlogon.exe
wininit.exe
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

* copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.

* 2) Clic Run Scan pour démarrer le scan.
* Une fois terminé , le fichier se trouve là C:\OTL.txt
* Copie_colle le contenu dans ta prochaine réponse.


@+
0
Réponse 7 / 26
carll
 
re
voici le rapport pour OTL


TL logfile created on: 9/10/2012 7:24:27 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.5512)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy

3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 91.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 232.88 Gb Total Space | 191.46 Gb Free Space | 82.21% Space Free | Partition Type: NTFS
Drive D: | 1.86 Gb Total Space | 1.86 Gb Free Space | 100.00% Space Free | Partition Type: FAT
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001

[color=#E56717]========== Win32 Services (SafeList) ==========/color

SRV - File not found [Disabled] -- -- (HidServ)
SRV - [2012/09/07 08:45:22 | 000,114,144 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/08/30 15:55:50 | 000,722,528 | ---- | M] () [Auto] -- C:\Program Files\Fichiers communs\AVG Secure Search\vToolbarUpdater\12.2.6\ToolbarUpdater.exe -- (vToolbarUpdater12.2.6)
SRV - [2012/08/25 04:30:30 | 000,250,568 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012/07/13 07:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012/05/04 13:29:46 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto] -- C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2012/04/30 03:44:38 | 005,106,744 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto] -- C:\Program Files\AVG\AVG2012\avgidsagent.exe -- (AVGIDSAgent)
SRV - [2012/03/22 23:57:00 | 002,321,520 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto] -- C:\Program Files\AVG\AVG2012\avgfws.exe -- (avgfws)
SRV - [2012/03/21 06:23:14 | 000,793,048 | ---- | M] (PC Tools) [Auto] -- C:\Program Files\Fichiers communs\PC Tools\sMonitor\StartManSvc.exe -- (PCToolsSSDMonitorSvc)
SRV - [2012/02/13 22:53:38 | 000,193,288 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto] -- C:\Program Files\AVG\AVG2012\avgwdsvc.exe -- (avgwd)
SRV - [2011/07/19 23:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2009/08/25 15:06:20 | 000,077,824 | ---- | M] (France Telecom SA) [Auto] -- C:\Program Files\Fichiers communs\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe -- (FTRTSVC)
SRV - [2008/04/14 10:43:38 | 000,034,304 | ---- | M] (TOSHIBA Corp.) [Auto] -- C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe -- (TAPPSRV)
SRV - [2008/04/13 20:10:52 | 000,467,028 | ---- | M] (Atheros) [Auto] -- C:\WINDOWS\system32\acs.exe -- (ACS)
SRV - [2007/11/21 12:23:32 | 000,129,632 | ---- | M] (TOSHIBA Corporation) [Auto] -- C:\WINDOWS\system32\TODDSrv.exe -- (TODDSrv)
SRV - [2006/10/26 08:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006/10/05 07:10:12 | 000,009,216 | ---- | M] (Agere Systems) [Auto] -- C:\WINDOWS\system32\agrsmsvc.exe -- (AgereModemAudio)
SRV - [2005/01/17 10:38:00 | 000,040,960 | ---- | M] (TOSHIBA CORPORATION) [Auto] -- C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe -- (CFSvcs)


[color=#E56717]========== Driver Services (SafeList) ==========/color

DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2012/08/30 15:55:53 | 000,027,496 | ---- | M] (AVG Technologies) [Kernel | System] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)
DRV - [2012/04/18 22:50:26 | 000,024,896 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\avgidshx.sys -- (AVGIDSHX)
DRV - [2012/03/18 23:17:28 | 000,301,248 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System] -- C:\WINDOWS\system32\drivers\avgtdix.sys -- (Avgtdix)
DRV - [2012/02/21 23:25:32 | 000,235,216 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System] -- C:\WINDOWS\system32\drivers\avgldx86.sys -- (Avgldx86)
DRV - [2012/01/30 22:46:50 | 000,031,952 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | Boot] -- C:\WINDOWS\system32\drivers\avgrkx86.sys -- (Avgrkx86)
DRV - [2012/01/12 13:52:06 | 000,030,944 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgfwdx.sys -- (Avgfwfd)
DRV - [2012/01/12 13:52:06 | 000,030,944 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgfwdx.sys -- (Avgfwdx)
DRV - [2011/12/23 07:32:14 | 000,041,040 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | System] -- C:\WINDOWS\system32\drivers\avgmfx86.sys -- (Avgmfx86)
DRV - [2011/12/23 07:32:08 | 000,017,232 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgidsshimx.sys -- (AVGIDSShim)
DRV - [2011/12/23 07:32:06 | 000,024,144 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgidsfilterx.sys -- (AVGIDSFilter)
DRV - [2011/12/23 07:32:00 | 000,139,856 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgidsdriverx.sys -- (AVGIDSDriver)
DRV - [2009/06/15 07:45:36 | 000,102,656 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbfake.sys -- (hwusbfake)
DRV - [2009/06/15 07:45:36 | 000,102,400 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2008/06/13 08:26:04 | 000,110,080 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\IntcHdmi.sys -- (IntcHdmiAddService) Intel(R)
DRV - [2008/05/22 10:53:58 | 000,154,624 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTS5121.sys -- (RSUSBSTOR)
DRV - [2008/04/14 08:00:00 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2008/04/09 12:01:16 | 004,703,744 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008/04/08 12:45:42 | 001,309,504 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416)
DRV - [2008/02/19 22:52:54 | 000,034,688 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\pcampr5.sys -- (PCAMPR5)
DRV - [2008/02/19 22:52:54 | 000,032,128 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\pcandis5.sys -- (PCANDIS5)
DRV - [2008/02/08 03:46:36 | 000,057,408 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wsimd.sys -- (WSIMD)
DRV - [2008/01/03 16:10:16 | 000,105,856 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2007/12/17 05:45:20 | 000,018,432 | ---- | M] (Chicony Electronics Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\UVCFTR_S.SYS -- (UVCFTR)
DRV - [2007/04/04 02:56:48 | 000,005,888 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\FwLnk.sys -- (FwLnk)
DRV - [2007/03/26 06:22:18 | 000,105,856 | ---- | M] (TOSHIBA Corporation) [File_System | Auto] -- C:\WINDOWS\system32\drivers\tdudf.sys -- (tdudf)
DRV - [2007/02/19 06:15:32 | 000,134,016 | ---- | M] (TOSHIBA Corporation) [File_System | Auto] -- C:\WINDOWS\system32\drivers\trudf.sys -- (trudf)
DRV - [2006/11/28 10:11:00 | 001,161,888 | ---- | M] (Agere Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2006/10/18 06:50:04 | 000,016,128 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tdcmdpst.sys -- (tdcmdpst)
DRV - [2003/01/29 08:35:00 | 000,012,032 | ---- | M] (TOSHIBA Corporation.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\Netdevio.sys -- (Netdevio)


[color=#E56717]========== Standard Registry (SafeList) ==========/color


[color=#E56717]========== Internet Explorer ==========/color

IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=c2a600a4-3647-11e1-99b0-0026b6152119


IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\Administrateur_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
0
Utilisateur anonyme
 
Re

Rapport incomplet:

Pour transmettre le rapport clique sur ce lien :


http://pjjoint.malekal.com/

https://www.cjoint.com/

Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier (Fichier demandé )
Clique sur Ouvrir.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.
0
Réponse 8 / 26
carll
 
http://pjjoint.malekal.com/files.php?id=OTL_20120910_c11i9e9f9v14

l'adresse est bonne? car l'envoi a été laborieux donc dis moi en cas de problème
0
Réponse 9 / 26
Utilisateur anonyme
 
Re

* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", selectionne "Yes"
* quand demandé "Do you wish to load remote user profile(s) for scanning", selectionne "Yes"
* verifier que "Automatically Load All Remaining Users" est sélectionné et presse OK


http://imagesup.org/image

* sous Custom Scan box copie_colle le tout ci dessous et clic RUNFIX

:OTL
O4 - HKU\toshiba_ON_C..\Run: [cacaoweb] C:\Program Files\cacaoweb\cacaoweb.exe ()
O4 - HKU\toshiba_ON_C..\Run: [Spotify Web Helper] C:\Documents and Settings\toshiba\Application Data\Spotify\Data\SpotifyWebHelper.exe ()
O4 - Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ja.lnk = C:\Documents and Settings\Administrateur\Application Data\1.exe ()
O4 - Startup: C:\Documents and Settings\toshiba\Menu Démarrer\Programmes\Démarrage\ja.lnk = C:\Documents and Settings\toshiba\Application Data\1.exe ()
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\toshiba\Application Data\1.exe) - C:\Documents and Settings\toshiba\Application Data\1.exe ()
O31 - SafeBoot: AlternateShell - C:\Documents and Settings\toshiba\Application Data\1.exe
O33 - MountPoints2\{bab990cb-61bb-11df-96bb-0026b6152119}\Shell\AutoRun\command - "" = E:\ca.exe
O33 - MountPoints2\{bab990cb-61bb-11df-96bb-0026b6152119}\Shell\open\Command - "" = E:\ca.exe
O33 - MountPoints2\{f39bbaf4-b5b1-11df-9768-0026b6152119}\Shell\AutoRun\command - "" = ggb6w.exe
O33 - MountPoints2\{f39bbaf4-b5b1-11df-9768-0026b6152119}\Shell\open\Command - "" = ggb6w.exe
[2012/09/10 07:44:36 | 000,391,569 | ---- | M] () -- C:\Documents and Settings\toshiba\Application Data\1.exe
[2012/09/10 07:44:36 | 000,391,569 | ---- | M] () -- C:\Documents and Settings\Administrateur\Application Data\1.exe
[2012/05/10 11:35:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\toshiba\Application Data\Babylon
[2012/09/09 07:53:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\toshiba\Application Data\cacaoweb
[2012/03/12 09:05:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\toshiba\Application Data\OfferBox
[2011/07/17 15:02:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\toshiba\Application Data\OpenCandy
[2012/05/10 11:35:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Babylon



tu conserves le rapport qui s'affiche ; et tu le copies et colles dans ta prochaine réponse


@+
0
Réponse 10 / 26
carll
 
on ne me pose pas la 1ere question et passe directe a la seconde.
on peut s'en passer ?
0
Utilisateur anonyme
 
oui
0
Réponse 11 / 26
carll
 
========== OTL ==========
Registry value HKEY_USERS\toshiba_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb deleted successfully.
C:\Program Files\cacaoweb\cacaoweb.exe moved successfully.
Registry value HKEY_USERS\toshiba_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Spotify Web Helper deleted successfully.
C:\Documents and Settings\toshiba\Application Data\Spotify\Data\SpotifyWebHelper.exe moved successfully.
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ja.lnk moved successfully.
C:\Documents and Settings\Administrateur\Application Data\1.exe moved successfully.
C:\Documents and Settings\toshiba\Menu Démarrer\Programmes\Démarrage\ja.lnk moved successfully.
C:\Documents and Settings\toshiba\Application Data\1.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\toshiba\Application Data\1.exe deleted successfully.
File C:\Documents and Settings\toshiba\Application Data\1.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\\AlternateShell deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bab990cb-61bb-11df-96bb-0026b6152119}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bab990cb-61bb-11df-96bb-0026b6152119}\ not found.
File E:\ca.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bab990cb-61bb-11df-96bb-0026b6152119}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bab990cb-61bb-11df-96bb-0026b6152119}\ not found.
File E:\ca.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f39bbaf4-b5b1-11df-9768-0026b6152119}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f39bbaf4-b5b1-11df-9768-0026b6152119}\ not found.
File ggb6w.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f39bbaf4-b5b1-11df-9768-0026b6152119}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f39bbaf4-b5b1-11df-9768-0026b6152119}\ not found.
File ggb6w.exe not found.
File C:\Documents and Settings\toshiba\Application Data\1.exe not found.
File C:\Documents and Settings\Administrateur\Application Data\1.exe not found.
C:\Documents and Settings\toshiba\Application Data\Babylon folder moved successfully.
C:\Documents and Settings\toshiba\Application Data\cacaoweb folder moved successfully.
C:\Documents and Settings\toshiba\Application Data\OfferBox folder moved successfully.
C:\Documents and Settings\toshiba\Application Data\OpenCandy\OpenCandy_50FCECDC5F534B6BBF4F4C940C734F24 folder moved successfully.
C:\Documents and Settings\toshiba\Application Data\OpenCandy folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Babylon folder moved successfully.

OTLPE by OldTimer - Version 3.1.48.0 log created on 09112012_013633
0
Réponse 12 / 26
Utilisateur anonyme
 
Re

Démarre ton PC normalement après avoir enlevé le CD du lecteur

Cela devrait fonctionner

@+
0
Réponse 13 / 26
carll
 
j'ai relancé il y a 5 minutes et l'écran reste figé sur mon bureau qui reste désespérément vide!!
0
Utilisateur anonyme
 
Ctrl+Alt+Supp
Lance explorer.exe dans le gestionnaire

@+
0
carll
 
pour le moment je ne le trouve. je cherche dans Processus
0
Utilisateur anonyme
 
Le gestionnaire lancé
Fichier>>>nouvelle tâche>>>explorer.exe
OK
0
carll
 
pour le moment mes documents sont revenus mais j'ai aucune icône sur le bureau
0
Réponse 14 / 26
Utilisateur anonyme
 
Re

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport

@+
0
Réponse 15 / 26
carll
 
RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : toshiba [Droits d'admin]
Mode : Recherche -- Date : 11/09/2012 02:10:20

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 9 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : nod32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\nodqq.exe) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : dso32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\dsoqq.exe) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1244254043-291789620-1783764956-1005[...]\Run : nod32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\nodqq.exe) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1244254043-291789620-1783764956-1005[...]\Run : dso32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\dsoqq.exe) -> TROUVÉ
[SHELL/LOAD][ROGUE ST] HKLM\[...]\Winlogon : Shell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SAFEBOOT] HKLM\[...]\ControlSet001\SafeBoot : AlternateShell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> TROUVÉ
[SAFEBOOT] HKLM\[...]\ControlSet003\SafeBoot : AlternateShell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[177] : NtQueryValueKey @ 0x806221FA -> HOOKED (\??\C:\WINDOWS\system32\drivers\avgtpx86.sys @ 0xBA249258)

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK2555GSX +++++
--- User ---
[MBR] 078fa1ce617d70adcc7b2b31121cf90b
[BSP] 9564bedd4d5f816e204761972e1b6474 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: USB2.0 Flash Disk USB Device +++++
--- User ---
[MBR] 281d6afdb2c1260be65fac8c63eb8932
[BSP] 6acaf7408645ece72b110ca5b06067bf : Standard MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1905 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt
0
Réponse 16 / 26
Utilisateur anonyme
 
Re

Relance Roguekiller option suppression et poste moi son rapport

Merci

@+
0
carll
 
question idiote
je repart de 0 pour roguekiller ou je garde la pge roguekiller qui m'a servi pour le dernier rapport??
0
Utilisateur anonyme
 
Le bouton suppression est accessible?
Si c'est le cas tu cliques dessus ou tu relances et tu choisis suppression
0
carll
 
bouton accessible donc j'ai supprimé directe sans relancer .
le rapport arrive
0
Réponse 17 / 26
carll
 
RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : toshiba [Droits d'admin]
Mode : Suppression -- Date : 11/09/2012 02:18:59

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : nod32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\nodqq.exe) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : dso32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\dsoqq.exe) -> SUPPRIMÉ
[SHELL/LOAD][ROGUE ST] HKLM\[...]\Winlogon : Shell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> REMPLACÉ (Explorer.exe)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[SAFEBOOT] HKLM\[...]\ControlSet001\SafeBoot : AlternateShell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> REMPLACÉ (cmd.exe)
[SAFEBOOT] HKLM\[...]\ControlSet003\SafeBoot : AlternateShell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> REMPLACÉ (cmd.exe)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[177] : NtQueryValueKey @ 0x806221FA -> HOOKED (\??\C:\WINDOWS\system32\drivers\avgtpx86.sys @ 0xBA249258)

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK2555GSX +++++
--- User ---
[MBR] 078fa1ce617d70adcc7b2b31121cf90b
[BSP] 9564bedd4d5f816e204761972e1b6474 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: USB2.0 Flash Disk USB Device +++++
--- User ---
[MBR] 281d6afdb2c1260be65fac8c63eb8932
[BSP] 6acaf7408645ece72b110ca5b06067bf : Standard MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1905 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
0
Réponse 18 / 26
Utilisateur anonyme
 
Re

Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

* Potasse le tuto pour te familiariser avec le prg :

https://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d'utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)

@+

0
Réponse 19 / 26
carll
 
Après cette étape, il y en a pour longtemps ou pas?
0
Réponse 20 / 26
Utilisateur anonyme
 
Re

Il restera les diverses mises à jour à faire.
Et vérifier de quelles protections tu disposes.

@+
0

Discussions similaires

Voxbone ? qui est-ce ?
fanfan54 -
ntrece13 -

159 réponses
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
Désinstaller Softonic
Diguimette -
lilidurhone -

5 réponses
Numéro commençant par le 09 70 : qui est-ce?
NuagedOr -
Patou -

33 réponses