Virus sacem 09/2012
Utilisateur anonyme -
Je viens d'être victime du fameux virus SACEM.
Je suis bloqué à partir du rapport que livre OTLPE. Je voulais savoir ce qu'il fallait faire avec le rapport et si on était obligé de publier ce rapport.
Quelqu'un à-t-il une démarche à m'indiquer s'il vous plaît car je suis un néophyte et je commence à galèrer.
26 réponses
- 1
- 2
Une infection par le virus SACEM est décrite et la discussion tourne autour des actions à mener avec le rapport OTLPE et s’il faut publier ce rapport.
Plusieurs réponses recommandent des outils de nettoyage, notamment RogueKiller pour supprimer les entrées système et les modifications du registre, et Malwarebytes pour un balayage complet après installation et mise à jour.
D'autres messages décrivent l'utilisation d'OTLPE avec des listes de services à scanner et des instructions précises, y compris l'exportation des résultats et le démarrage en mode déconnecté.
Enfin, des conseils additionnels insistent sur la vérification des protections restantes, les mises à jour et les précautions lors de l’utilisation d’une clé USB, compte tenu des transferts potentiels.
-
bonsoir,
le pc est sous envoronnement OTLPE ?
si oui :
avec un autre pc, télécharge ceci et transfère le via une clé usb sur le pc infecté :
* [*] Télécharger et enregistre RogueKiller sur le bureau
https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Supprimer Cliquer sur Rapport et copier coller le contenu du notepad
Note : Si Roguekiller ne se lance pas, change son nom en Winlogon.
après cette opération, tu peux redémarre ton pc en mode normal, connecte toi à internet et reviens ici pour qu'on le nettoie :D
-
Je te remercie de ta réponse.
Pour le moment, je suis sous environnement OTLPE avec les données du disque dur.
je vais télécharger Roguekiller et je reviens vers toi après. -
J'ai utilisé Roguekiller et j'ai fait ce que tu m'as dit mais lors du démarage en mode normal, j'arrive sur une fenetre qui me dit que Explorer ne marche pas.
Que dois-je faire?? -
-
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question -
voilà le rapport pour roguekiller.
RogueKiller V8.0.2 [08/31/2012] by Tigzy
mail: tigzyRK<at>gmail<dot>com
Feedback: http://www.geekstogo.com/forum/files/file/413-roguekiller/
Blog: http://tigzyrk.blogspot.com
Operating System: Windows XP (5.1.2600 ) 32 bits version
Started in : Normal mode
User : SYSTEM [Admin rights]
Mode : Remove -- Date : 09/10/2012 23:44:27
¤¤¤ Bad processes : 0 ¤¤¤
¤¤¤ Registry Entries : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[FILEASSO] HKLM\[...]\command : (X:\i386\iexplore.exe) -> FOLDER NOT FOUND
¤¤¤ Particular Files / Folders: ¤¤¤
¤¤¤ Driver : [NOT LOADED] ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ HOSTS File: ¤¤¤
--> X:\i386\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Check: ¤¤¤
+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 078fa1ce617d70adcc7b2b31121cf90b
[BSP] 9564bedd4d5f816e204761972e1b6474 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: +++++
--- User ---
[MBR] 281d6afdb2c1260be65fac8c63eb8932
[BSP] 6acaf7408645ece72b110ca5b06067bf : Standard MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1905 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Finished : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt -
Re
Sous OTLPE:
* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* Tu choisis ta session
* Sous Vista et Seven il faut développer l'arborescence du lecteur C qui par défaut embarque Windows et arriver sur le dossier Windows.
Rappel :Tutorial ici : https://forum.malekal.com/viewtopic.php?t=23453&start=
Ensuite
* sous Custom Scan box
1) copie_colle le contenu du cadre ci dessous:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
aec.sys
rasacd.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
explorer.exe
winlogon.exe
wininit.exe
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.
* 2) Clic Run Scan pour démarrer le scan.
* Une fois terminé , le fichier se trouve là C:\OTL.txt
* Copie_colle le contenu dans ta prochaine réponse.
@+ -
re
voici le rapport pour OTL
TL logfile created on: 9/10/2012 7:24:27 PM - Run
OTLPE by OldTimer - Version 3.1.48.0 Folder = X:\Programs\OTLPE
Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM
Internet Explorer (Version = 6.0.2900.5512)
Locale: 0000040C | Country: France | Language: FRA | Date Format: dd/MM/yyyy
3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 91.00% Memory free
3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free
Paging file location(s): C:\pagefile.sys 2046 4092 [binary data]
%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files
Drive C: | 232.88 Gb Total Space | 191.46 Gb Free Space | 82.21% Space Free | Partition Type: NTFS
Drive D: | 1.86 Gb Total Space | 1.86 Gb Free Space | 100.00% Space Free | Partition Type: FAT
Drive X: | 436.59 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS
Computer Name: REATOGO | User Name: SYSTEM
Boot Mode: Normal | Scan Mode: All users
Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days
Using ControlSet: ControlSet001
[color=#E56717]========== Win32 Services (SafeList) ==========/color
SRV - File not found [Disabled] -- -- (HidServ)
SRV - [2012/09/07 08:45:22 | 000,114,144 | ---- | M] (Mozilla Foundation) [On_Demand] -- C:\Program Files\Mozilla Maintenance Service\maintenanceservice.exe -- (MozillaMaintenance)
SRV - [2012/08/30 15:55:50 | 000,722,528 | ---- | M] () [Auto] -- C:\Program Files\Fichiers communs\AVG Secure Search\vToolbarUpdater\12.2.6\ToolbarUpdater.exe -- (vToolbarUpdater12.2.6)
SRV - [2012/08/25 04:30:30 | 000,250,568 | ---- | M] (Adobe Systems Incorporated) [On_Demand] -- C:\WINDOWS\system32\Macromed\Flash\FlashPlayerUpdateService.exe -- (AdobeFlashPlayerUpdateSvc)
SRV - [2012/07/13 07:28:36 | 000,160,944 | R--- | M] (Skype Technologies) [Auto] -- C:\Program Files\Skype\Updater\Updater.exe -- (SkypeUpdate)
SRV - [2012/05/04 13:29:46 | 000,161,664 | ---- | M] (Oracle Corporation) [Auto] -- C:\Program Files\Oracle\JavaFX 2.1 Runtime\bin\jqs.exe -- (JavaQuickStarterService)
SRV - [2012/04/30 03:44:38 | 005,106,744 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto] -- C:\Program Files\AVG\AVG2012\avgidsagent.exe -- (AVGIDSAgent)
SRV - [2012/03/22 23:57:00 | 002,321,520 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto] -- C:\Program Files\AVG\AVG2012\avgfws.exe -- (avgfws)
SRV - [2012/03/21 06:23:14 | 000,793,048 | ---- | M] (PC Tools) [Auto] -- C:\Program Files\Fichiers communs\PC Tools\sMonitor\StartManSvc.exe -- (PCToolsSSDMonitorSvc)
SRV - [2012/02/13 22:53:38 | 000,193,288 | ---- | M] (AVG Technologies CZ, s.r.o.) [Auto] -- C:\Program Files\AVG\AVG2012\avgwdsvc.exe -- (avgwd)
SRV - [2011/07/19 23:18:24 | 000,440,696 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Program Files\Fichiers communs\Microsoft Shared\OFFICE12\ODSERV.EXE -- (odserv)
SRV - [2009/08/25 15:06:20 | 000,077,824 | ---- | M] (France Telecom SA) [Auto] -- C:\Program Files\Fichiers communs\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe -- (FTRTSVC)
SRV - [2008/04/14 10:43:38 | 000,034,304 | ---- | M] (TOSHIBA Corp.) [Auto] -- C:\Program Files\TOSHIBA\TOSHIBA Applet\TAPPSRV.exe -- (TAPPSRV)
SRV - [2008/04/13 20:10:52 | 000,467,028 | ---- | M] (Atheros) [Auto] -- C:\WINDOWS\system32\acs.exe -- (ACS)
SRV - [2007/11/21 12:23:32 | 000,129,632 | ---- | M] (TOSHIBA Corporation) [Auto] -- C:\WINDOWS\system32\TODDSrv.exe -- (TODDSrv)
SRV - [2006/10/26 08:03:08 | 000,145,184 | ---- | M] (Microsoft Corporation) [On_Demand] -- C:\Program Files\Fichiers communs\Microsoft Shared\Source Engine\OSE.EXE -- (ose)
SRV - [2006/10/05 07:10:12 | 000,009,216 | ---- | M] (Agere Systems) [Auto] -- C:\WINDOWS\system32\agrsmsvc.exe -- (AgereModemAudio)
SRV - [2005/01/17 10:38:00 | 000,040,960 | ---- | M] (TOSHIBA CORPORATION) [Auto] -- C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe -- (CFSvcs)
[color=#E56717]========== Driver Services (SafeList) ==========/color
DRV - File not found [Kernel | On_Demand] -- -- (WDICA)
DRV - File not found [Kernel | On_Demand] -- -- (PDRFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDRELI)
DRV - File not found [Kernel | On_Demand] -- -- (PDFRAME)
DRV - File not found [Kernel | On_Demand] -- -- (PDCOMP)
DRV - File not found [Kernel | System] -- -- (PCIDump)
DRV - File not found [Kernel | System] -- -- (lbrtfdc)
DRV - File not found [Kernel | System] -- -- (i2omgmt)
DRV - File not found [Kernel | System] -- -- (Changer)
DRV - [2012/08/30 15:55:53 | 000,027,496 | ---- | M] (AVG Technologies) [Kernel | System] -- C:\WINDOWS\system32\drivers\avgtpx86.sys -- (avgtp)
DRV - [2012/04/18 22:50:26 | 000,024,896 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | Boot] -- C:\WINDOWS\system32\drivers\avgidshx.sys -- (AVGIDSHX)
DRV - [2012/03/18 23:17:28 | 000,301,248 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System] -- C:\WINDOWS\system32\drivers\avgtdix.sys -- (Avgtdix)
DRV - [2012/02/21 23:25:32 | 000,235,216 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | System] -- C:\WINDOWS\system32\drivers\avgldx86.sys -- (Avgldx86)
DRV - [2012/01/30 22:46:50 | 000,031,952 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | Boot] -- C:\WINDOWS\system32\drivers\avgrkx86.sys -- (Avgrkx86)
DRV - [2012/01/12 13:52:06 | 000,030,944 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgfwdx.sys -- (Avgfwfd)
DRV - [2012/01/12 13:52:06 | 000,030,944 | ---- | M] (AVG Technologies CZ, s.r.o.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgfwdx.sys -- (Avgfwdx)
DRV - [2011/12/23 07:32:14 | 000,041,040 | ---- | M] (AVG Technologies CZ, s.r.o.) [File_System | System] -- C:\WINDOWS\system32\drivers\avgmfx86.sys -- (Avgmfx86)
DRV - [2011/12/23 07:32:08 | 000,017,232 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgidsshimx.sys -- (AVGIDSShim)
DRV - [2011/12/23 07:32:06 | 000,024,144 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgidsfilterx.sys -- (AVGIDSFilter)
DRV - [2011/12/23 07:32:00 | 000,139,856 | ---- | M] (AVG Technologies CZ, s.r.o. ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\avgidsdriverx.sys -- (AVGIDSDriver)
DRV - [2009/06/15 07:45:36 | 000,102,656 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbfake.sys -- (hwusbfake)
DRV - [2009/06/15 07:45:36 | 000,102,400 | R--- | M] (Huawei Technologies Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\ewusbmdm.sys -- (hwdatacard)
DRV - [2008/06/13 08:26:04 | 000,110,080 | ---- | M] (Intel(R) Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\IntcHdmi.sys -- (IntcHdmiAddService) Intel(R)
DRV - [2008/05/22 10:53:58 | 000,154,624 | ---- | M] (Realtek Semiconductor Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RTS5121.sys -- (RSUSBSTOR)
DRV - [2008/04/14 08:00:00 | 000,040,320 | ---- | M] (Microsoft Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\nmnt.sys -- (nm)
DRV - [2008/04/09 12:01:16 | 004,703,744 | ---- | M] (Realtek Semiconductor Corp.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\RtkHDAud.sys -- (IntcAzAudAddService) Service for Realtek HD Audio (WDM)
DRV - [2008/04/08 12:45:42 | 001,309,504 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\athw.sys -- (AR5416)
DRV - [2008/02/19 22:52:54 | 000,034,688 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\pcampr5.sys -- (PCAMPR5)
DRV - [2008/02/19 22:52:54 | 000,032,128 | ---- | M] (Printing Communications Assoc., Inc. (PCAUSA)) [Kernel | On_Demand] -- C:\WINDOWS\system32\pcandis5.sys -- (PCANDIS5)
DRV - [2008/02/08 03:46:36 | 000,057,408 | ---- | M] (Atheros Communications, Inc.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\wsimd.sys -- (WSIMD)
DRV - [2008/01/03 16:10:16 | 000,105,856 | ---- | M] (Realtek Semiconductor Corporation ) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\Rtenicxp.sys -- (RTLE8023xp)
DRV - [2007/12/17 05:45:20 | 000,018,432 | ---- | M] (Chicony Electronics Co., Ltd.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\UVCFTR_S.SYS -- (UVCFTR)
DRV - [2007/04/04 02:56:48 | 000,005,888 | ---- | M] (TOSHIBA Corporation) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\FwLnk.sys -- (FwLnk)
DRV - [2007/03/26 06:22:18 | 000,105,856 | ---- | M] (TOSHIBA Corporation) [File_System | Auto] -- C:\WINDOWS\system32\drivers\tdudf.sys -- (tdudf)
DRV - [2007/02/19 06:15:32 | 000,134,016 | ---- | M] (TOSHIBA Corporation) [File_System | Auto] -- C:\WINDOWS\system32\drivers\trudf.sys -- (trudf)
DRV - [2006/11/28 10:11:00 | 001,161,888 | ---- | M] (Agere Systems) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\AGRSM.sys -- (AgereSoftModem)
DRV - [2006/10/18 06:50:04 | 000,016,128 | ---- | M] (TOSHIBA Corporation.) [Kernel | On_Demand] -- C:\WINDOWS\system32\drivers\tdcmdpst.sys -- (tdcmdpst)
DRV - [2003/01/29 08:35:00 | 000,012,032 | ---- | M] (TOSHIBA Corporation.) [Kernel | Auto] -- C:\WINDOWS\system32\drivers\Netdevio.sys -- (Netdevio)
[color=#E56717]========== Standard Registry (SafeList) ==========/color
[color=#E56717]========== Internet Explorer ==========/color
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm
IE - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsear.ch/?aff=2&cf=c2a600a4-3647-11e1-99b0-0026b6152119
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0
IE - HKU\Administrateur_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0-
Re
Rapport incomplet:
Pour transmettre le rapport clique sur ce lien :
http://pjjoint.malekal.com/
https://www.cjoint.com/
Clique sur Parcourir et cherche le fichier : Nom_complet_du_fichier (Fichier demandé )
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
-
-
http://pjjoint.malekal.com/files.php?id=OTL_20120910_c11i9e9f9v14
l'adresse est bonne? car l'envoi a été laborieux donc dis moi en cas de problème -
Re
* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", selectionne "Yes"
* quand demandé "Do you wish to load remote user profile(s) for scanning", selectionne "Yes"
* verifier que "Automatically Load All Remaining Users" est sélectionné et presse OK
http://imagesup.org/image
* sous Custom Scan box copie_colle le tout ci dessous et clic RUNFIX
:OTL
O4 - HKU\toshiba_ON_C..\Run: [cacaoweb] C:\Program Files\cacaoweb\cacaoweb.exe ()
O4 - HKU\toshiba_ON_C..\Run: [Spotify Web Helper] C:\Documents and Settings\toshiba\Application Data\Spotify\Data\SpotifyWebHelper.exe ()
O4 - Startup: C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ja.lnk = C:\Documents and Settings\Administrateur\Application Data\1.exe ()
O4 - Startup: C:\Documents and Settings\toshiba\Menu Démarrer\Programmes\Démarrage\ja.lnk = C:\Documents and Settings\toshiba\Application Data\1.exe ()
O20 - HKLM Winlogon: Shell - (C:\Documents and Settings\toshiba\Application Data\1.exe) - C:\Documents and Settings\toshiba\Application Data\1.exe ()
O31 - SafeBoot: AlternateShell - C:\Documents and Settings\toshiba\Application Data\1.exe
O33 - MountPoints2\{bab990cb-61bb-11df-96bb-0026b6152119}\Shell\AutoRun\command - "" = E:\ca.exe
O33 - MountPoints2\{bab990cb-61bb-11df-96bb-0026b6152119}\Shell\open\Command - "" = E:\ca.exe
O33 - MountPoints2\{f39bbaf4-b5b1-11df-9768-0026b6152119}\Shell\AutoRun\command - "" = ggb6w.exe
O33 - MountPoints2\{f39bbaf4-b5b1-11df-9768-0026b6152119}\Shell\open\Command - "" = ggb6w.exe
[2012/09/10 07:44:36 | 000,391,569 | ---- | M] () -- C:\Documents and Settings\toshiba\Application Data\1.exe
[2012/09/10 07:44:36 | 000,391,569 | ---- | M] () -- C:\Documents and Settings\Administrateur\Application Data\1.exe
[2012/05/10 11:35:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\toshiba\Application Data\Babylon
[2012/09/09 07:53:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\toshiba\Application Data\cacaoweb
[2012/03/12 09:05:29 | 000,000,000 | ---D | M] -- C:\Documents and Settings\toshiba\Application Data\OfferBox
[2011/07/17 15:02:52 | 000,000,000 | ---D | M] -- C:\Documents and Settings\toshiba\Application Data\OpenCandy
[2012/05/10 11:35:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Babylon
tu conserves le rapport qui s'affiche ; et tu le copies et colles dans ta prochaine réponse
@+ -
-
========== OTL ==========
Registry value HKEY_USERS\toshiba_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\cacaoweb deleted successfully.
C:\Program Files\cacaoweb\cacaoweb.exe moved successfully.
Registry value HKEY_USERS\toshiba_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\Spotify Web Helper deleted successfully.
C:\Documents and Settings\toshiba\Application Data\Spotify\Data\SpotifyWebHelper.exe moved successfully.
C:\Documents and Settings\Administrateur\Menu Démarrer\Programmes\Démarrage\ja.lnk moved successfully.
C:\Documents and Settings\Administrateur\Application Data\1.exe moved successfully.
C:\Documents and Settings\toshiba\Menu Démarrer\Programmes\Démarrage\ja.lnk moved successfully.
C:\Documents and Settings\toshiba\Application Data\1.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell:C:\Documents and Settings\toshiba\Application Data\1.exe deleted successfully.
File C:\Documents and Settings\toshiba\Application Data\1.exe not found.
Registry value HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\\AlternateShell deleted successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bab990cb-61bb-11df-96bb-0026b6152119}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bab990cb-61bb-11df-96bb-0026b6152119}\ not found.
File E:\ca.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{bab990cb-61bb-11df-96bb-0026b6152119}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{bab990cb-61bb-11df-96bb-0026b6152119}\ not found.
File E:\ca.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f39bbaf4-b5b1-11df-9768-0026b6152119}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f39bbaf4-b5b1-11df-9768-0026b6152119}\ not found.
File ggb6w.exe not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{f39bbaf4-b5b1-11df-9768-0026b6152119}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{f39bbaf4-b5b1-11df-9768-0026b6152119}\ not found.
File ggb6w.exe not found.
File C:\Documents and Settings\toshiba\Application Data\1.exe not found.
File C:\Documents and Settings\Administrateur\Application Data\1.exe not found.
C:\Documents and Settings\toshiba\Application Data\Babylon folder moved successfully.
C:\Documents and Settings\toshiba\Application Data\cacaoweb folder moved successfully.
C:\Documents and Settings\toshiba\Application Data\OfferBox folder moved successfully.
C:\Documents and Settings\toshiba\Application Data\OpenCandy\OpenCandy_50FCECDC5F534B6BBF4F4C940C734F24 folder moved successfully.
C:\Documents and Settings\toshiba\Application Data\OpenCandy folder moved successfully.
C:\Documents and Settings\All Users\Application Data\Babylon folder moved successfully.
OTLPE by OldTimer - Version 3.1.48.0 log created on 09112012_013633 -
Re
Démarre ton PC normalement après avoir enlevé le CD du lecteur
Cela devrait fonctionner
@+
-
j'ai relancé il y a 5 minutes et l'écran reste figé sur mon bureau qui reste désespérément vide!!
-
Re
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du rapport
@+
-
RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : toshiba [Droits d'admin]
Mode : Recherche -- Date : 11/09/2012 02:10:20
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 9 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : nod32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\nodqq.exe) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : dso32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\dsoqq.exe) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1244254043-291789620-1783764956-1005[...]\Run : nod32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\nodqq.exe) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-1244254043-291789620-1783764956-1005[...]\Run : dso32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\dsoqq.exe) -> TROUVÉ
[SHELL/LOAD][ROGUE ST] HKLM\[...]\Winlogon : Shell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> TROUVÉ
[HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SAFEBOOT] HKLM\[...]\ControlSet001\SafeBoot : AlternateShell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> TROUVÉ
[SAFEBOOT] HKLM\[...]\ControlSet003\SafeBoot : AlternateShell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[177] : NtQueryValueKey @ 0x806221FA -> HOOKED (\??\C:\WINDOWS\system32\drivers\avgtpx86.sys @ 0xBA249258)
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK2555GSX +++++
--- User ---
[MBR] 078fa1ce617d70adcc7b2b31121cf90b
[BSP] 9564bedd4d5f816e204761972e1b6474 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: USB2.0 Flash Disk USB Device +++++
--- User ---
[MBR] 281d6afdb2c1260be65fac8c63eb8932
[BSP] 6acaf7408645ece72b110ca5b06067bf : Standard MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1905 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[1].txt >>
RKreport[1].txt -
-
RogueKiller V8.0.2 [31/08/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com
Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : toshiba [Droits d'admin]
Mode : Suppression -- Date : 11/09/2012 02:18:59
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 7 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : nod32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\nodqq.exe) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : dso32 (C:\DOCUME~1\toshiba\LOCALS~1\Temp\dsoqq.exe) -> SUPPRIMÉ
[SHELL/LOAD][ROGUE ST] HKLM\[...]\Winlogon : Shell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> REMPLACÉ (Explorer.exe)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[SAFEBOOT] HKLM\[...]\ControlSet001\SafeBoot : AlternateShell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> REMPLACÉ (cmd.exe)
[SAFEBOOT] HKLM\[...]\ControlSet003\SafeBoot : AlternateShell (C:\Documents and Settings\toshiba\Application Data\1.exe) -> REMPLACÉ (cmd.exe)
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[177] : NtQueryValueKey @ 0x806221FA -> HOOKED (\??\C:\WINDOWS\system32\drivers\avgtpx86.sys @ 0xBA249258)
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: TOSHIBA MK2555GSX +++++
--- User ---
[MBR] 078fa1ce617d70adcc7b2b31121cf90b
[BSP] 9564bedd4d5f816e204761972e1b6474 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238472 Mo
User = LL1 ... OK!
User = LL2 ... OK!
+++++ PhysicalDrive1: USB2.0 Flash Disk USB Device +++++
--- User ---
[MBR] 281d6afdb2c1260be65fac8c63eb8932
[BSP] 6acaf7408645ece72b110ca5b06067bf : Standard MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 1905 Mo
User = LL1 ... OK!
Error reading LL2 MBR!
Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt -
Re
Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php
Bouton »Download free version »
* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
* Potasse le tuto pour te familiariser avec le prg :
https://forum.pcastuces.com/sujet.asp?f=31&s=3
(cela dis, il est très simple d'utilisation).
relance Malwaresbytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
* Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)
*Procèdes à une mise à jour
*Fais un examen dit "Complet"
--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .
Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)
@+
-
-
Re
Il restera les diverses mises à jour à faire.
Et vérifier de quelles protections tu disposes.
@+
- 1
- 2