Ordinateur infecté

Question

Bonjour, j'ai mon ordinateur qui semble être infecté. Problèmes de démarrage, plantage. Bref ce n'est pas la joie. Si quelqu'un peut me faire les manipulations adéquates ce serait sympa. Merci d'avance et bon samedi.



Configuration: Windows Vista / Firefox 14.0.1

g3n-h@ckm@n · Answer

salut firefox n'est pas à jour !!!

====

Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

https://toolslib.net
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

cecman · Answer

Je te remercie pour ton aide. J'ai fait Pré_scan, et voici le lien : https://pjjoint.malekal.com/files.php?id=20120916_b14s5y15t9i5
Pour info je n'arrive à démarrer qu'en mode sans échec. Parfois si je fais redémarrer il redémarre normalement. Mais si je le laisse tourner dès qu'il se met en veille il plante. Je l'ai ouvert et nettoyé. J'ai avira mais qui ne fonctionne plus depuis quelques jours. Merci encore et bon dimanche.

g3n-h@ckm@n · Answer

hello je peux savoir où tu as eu cette version ?

juju666 · Answer

~ Update on 29/08/2012 | 16.30 by g3n-h@ckm@n

^^

salut pasc :p

cecman · Answer

La version de d'avast ? J'ai téléchargé la version gratuite. Si c'est Vista c'est la version d'origine (PC Packard Bell).

g3n-h@ckm@n · Answer

la sandbox d'avast doit etrer encore activée....  

hello julien ^^
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

cecman · Answer

Bonjour à toutes et tous, 
après une période un peu compliquée ou il m'était compliqué de me connecter, je vous relance afin de vous demander de l'aide concernant mon PC qui est toujours aussi malade. Je ne peux démarrer qu'en mode sans échec. Evidemment pas idéal pour travailler...

PS : d'avance merci

juju666 · Answer

Hello

Supprime ton Pre_Scan (winlogon) ainsi que le dossier C:\Pre_Scan et télécharge le nouveau ici : https://forums-fec.be/gen-hackman/Pre_Scan.exe

lance le

cecman · Answer

Voila le rapport :


 https://pjjoint.malekal.com/files.php?id=20121119_y5d13o5m10n8

Je te remercie pour ta réactivité.

juju666 · Answer

OK :-)

Relance winlogon clique sur Diag héberge le rapport :)

cecman · Answer

https://pjjoint.malekal.com/files.php?id=20121119_g14j8o12b13l9

mais je pense qu'il s'agit tjrs du même rapport. Je fais diag mais il n'y a rien de nouveau qui apparait
merci

juju666 · Answer

Oui :(

Bon fais ça alors : 
 

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop 
netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
SAVEMBR:0

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

cecman · Answer

Fichier OTL : https://forums-fec.be/upload/www/?a=d&i=8379638836
Fichier extras : https://forums-fec.be/upload/www/?a=d&i=3191698259

juju666 · Answer

je pense avoir trouvé le coupable

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :

:OTL
F3 - HKU\S-1-5-21-2429618020-892950746-211151896-1002 WinNT: Load - (C:\Users\didier\LOCALS~1\Temp\msnexv.exe) -  File not found
O20 - AppInit_DLLs: (C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL) - C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL (Google)  
@Alternate Data Stream - 76 bytes -> C:\Users\didier\Documents\Updater5:Roxio EMC Stream      
@Alternate Data Stream - 76 bytes -> C:\Users\didier\Documents\Mes Google Gadgets:Roxio EMC Stream      
@Alternate Data Stream - 76 bytes -> C:\Users\didier\Desktop\Ipod:Roxio EMC Stream      
@Alternate Data Stream - 76 bytes -> C:\Users\didier\Desktop\Factures livraisons:Roxio EMC Stream      
@Alternate Data Stream - 76 bytes -> C:\Users\didier\Desktop\didier:Roxio EMC Stream      
@Alternate Data Stream - 76 bytes -> C:\Users\didier\Desktop\Christine:Roxio EMC Stream      
@Alternate Data Stream - 76 bytes -> C:\Users\didier\Desktop\Cécile:Roxio EMC Stream      

:Commands
[EMPTYTEMP]

&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.

cecman · Answer

All processes killed
========== OTL ==========
Registry value HKEY_USERS\S-1-5-21-2429618020-892950746-211151896-1002\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Load:C:\Users\didier\LOCALS~1\Temp\msnexv.exe deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_Dlls:C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL deleted successfully.
File move failed. C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL scheduled to be moved on reboot.
ADS C:\Users\didier\Documents\Updater5:Roxio EMC Stream deleted successfully.
ADS C:\Users\didier\Documents\Mes Google Gadgets:Roxio EMC Stream deleted successfully.
ADS C:\Users\didier\Desktop\Ipod:Roxio EMC Stream deleted successfully.
Unable to delete ADS C:\Users\didier\Desktop\Factures livraisons:Roxio EMC Stream .
ADS C:\Users\didier\Desktop\didier:Roxio EMC Stream deleted successfully.
Unable to delete ADS C:\Users\didier\Desktop\Christine:Roxio EMC Stream .
ADS C:\Users\didier\Desktop\Cécile:Roxio EMC Stream deleted successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Flash cache emptied: 56504 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: didier
->Temp folder emptied: 597191 bytes
->Temporary Internet Files folder emptied: 4285928 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 53545881 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 14919426 bytes
 
User: Mcx1
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 575083 bytes
 
User: Public
 
User: Test
->Temp folder emptied: 38128 bytes
->Temporary Internet Files folder emptied: 150578 bytes
->FireFox cache emptied: 5851203 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 3749597 bytes
RecycleBin emptied: 411940 bytes
 
Total Files Cleaned = 80,00 mb
 
 
OTL by OldTimer - Version 3.2.69.0 log created on 11192012_221424

Files\Folders moved on Reboot...
File move failed. C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...

juju666 · Answer

T'as pu démarrer normalement ? :-)

cecman · Answer

oui il a redémarrer directement
d'autre manip à prévoir ou je te remercie grandement tout de suite ???
de toute manière je te remercie quoi qu'il arrive !!!

juju666 · Answer

Deux ou trois petites choses pour que ça soit bien propre :-)

Désinstalle Wincore MediaBar depuis ton panneau de configuration => programmes et fonctionnalités 
 
Ensuite passe un coup d'adwcleaner : 

&#9654 Télécharge sur cette page: AdwCleaner (de Xplode) 

&#9654 Lance-le

clique sur Suppression et patiente le temps du nettoyage.

&#9654 Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

cecman · Answer

https://forums-fec.be/upload/www/?a=d&i=2574158465 

par contre Wincore MediaBar ne veut pas se désinstaller.
Je retire la dernière phrase il est désinstallé

juju666 · Answer

Pas grave ;)

Relance OTL, coche Rapport minimal mais ne touche à rien d'autre
Clique sur analyse, héberge et poste le lien du rapport :-)

cecman · Answer

Rapport minimal
https://forums-fec.be/upload/www/?a=d&i=7925447048

juju666 · Answer

C'est good ! 

Reste le final : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

Prends ton temps pour bien tout lire :-)

cecman · Answer

Un grand merci à toi. Dès demain je m'attèle à la suite !!! Je vais pouvoir rebosser dessus sans galérer. Merci encore et une bonne continuation.

juju666 · Answer

Héhé de rien, bonne nuit :-)

cecman · Answer

Bon et bien la bonne nouvelle a été de courte durée puisque je me retrouve à nouveau dans le même cas de figure. J'ai redémarrer une fois normalement mais depuis à nouveau obligé de passer en mode sans échec. As tu une idée et quelques instants à m'accorder. D'avance merci. Bonne journée.

g3n-h@ckm@n · Answer

re 


/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

Desactive tes protections : https://forum.pcastuces.com/default.asp

clique droit sur ce lien : Combofix =>enregistrer la cible sous....=> sur ton bureau => du nom que tu veux

Avant d'utiliser ComboFix : 

Utilise Defogger pour désactiver temporairement les logiciels d'emulation :

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le : clique sur "Disable" et fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur combofix renommé 

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

&#9654 !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

&#9654 n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet. 

&#9654&#9654 Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 

 
&#9654&#9654&#9654 Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

cecman · Answer

https://forums-fec.be/upload/www/?a=d&i=1238816675

voila le rapport

g3n-h@ckm@n · Answer

desinstalle antivir 

== 

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

==

installe Avast 

 https://www.avast.com/fr-fr/free-antivirus-download 
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

cecman · Answer

https://forums-fec.be/upload/www/?a=d&i=3196279427
nouveau rapport

g3n-h@ckm@n · Answer

antivir utilise une barre d'outils pourrie pour te soi-disant proteger sur le web 
ils se sont associés à AskToolbar qui est un veritable ramasse-mer$e  

tu peux le voir dans le rapport d'adwcleaner
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

cecman · Answer

Voila je viens d'installer Avast. Je dois relancer la machine ?

g3n-h@ckm@n · Answer

bah oué c'est toujours bien de redemarrer après l'installation d'un tel logiciel :)

cecman · Answer

Bon ordi redémarrer mais tjrs en mode sans échec. Je déprime là. En + je dois partir bosser. Je reviens un peu plus tard. Merci pour ton aide.

g3n-h@ckm@n · Answer

touche windows + R

tape :

msconfig

onglet demarrage , regarde si la case safeboot est pas cochée , sinon tu decoches et tu redemarres

cecman · Answer

je  n'ai pas de safeboot dans l'onglet démarrage

cecman · Answer

dans démarrer il n'y a rien de coché. Pas de safeboot mais j'imagine qu'il s'agit d'un autre terme en français. Je viens de redémarrer mais tjrs le même problème. C'est fou !!!

g3n-h@ckm@n · Answer

ou minimal plutot

cecman · Answer

Toujours la même galère. As tu une dernière idée ? Je voudrais au moins pouvoir m'en servir en deuxième PC. J'ai investit dans une nouvelle bécane aujourd'hui que je souhaite utiliser principalement  mais celui-ci j'aimerai quand même l'utiliser pour internet.
Si tu peux me conseiller sur les logiciels à installer sur le nouveau ce serait sympa.
Merci.

g3n-h@ckm@n · Answer

Télécharge DelFix (de Xplode) sur ton bureau. 

Lance le, choisis suppression 

Patiente pendant le scan jusqu'à l'ouverture du rapport. 

Copie/Colle le contenu du rapport dans ta prochaine réponse. 

Note : Le rapport se trouve également sous C:\DelFix.txt 

tu peux le désinstaller. 

================= 

repasse pre_scan 

https://forums-fec.be/gen-hackman/Pre_Scan.exe 
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

cecman · Answer

https://forums-fec.be/upload/www/?a=d&i=0363295506
voila le rapport Delfix

Ordinateur infecté

40 réponses

Votre réponse

Newsletters