virus et navigateur internet

Question

Bonjour, si quelqu'un pouvait m'aider ce serait sympa car je connais quelques soucis....

J'ai tout dernièrement eu un virus uKash  (2ème images de la page)

https://www.malekal.com/ransomware-ordinateur-bloque-par-systeme-de-controle-automatique-informationnel/

Un virus que je pensais avoir éliminer efficacement en suivant l'aide proposée dans un autre topic où il était conseillé de passer malware et adw cleaner...

Plus de souci avec la page de la gendarmerie nationale mais mes navigateurs internet ne veulent plus s'ouvrir (IE et chrome)...je vois le processus se lancer dans le gestionnaire des tâches puis il disparait....

Je vais passer roguekiller en mode sans échec comme conseillé dans le topic joint.
Si quelqu'un peut m'aider à nettoyer mon ordinateur ça me changerai la vie car j'accumule les problèmes sur cet ordinateur vieux de 5 ans.Comme je ne sais pas trop quel logiciel faire tourner pour publier un rapport (hijack,tdskiller....), je préfère attendre des conseils.
Merci d'avance.

g3n-h@ckm@n · Answer

salut poste ton rapport de roguekiller

lawren0 · Answer

voila

RogueKiller V8.0.4 [19/09/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version
Demarrage : Mode sans echec
Utilisateur : lawren [Droits d'admin]
Mode : Suppression -- Date : 19/09/2012 16:34:29

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] HelpPane.exe -- C:\Windows\HelpPane.exe -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Infection : Root.MBR ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
[...]

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: FUJITSU MJA2500BH G2 ATA Device +++++
--- User ---
[MBR] 1b4cd6f2e5ad4c8d11f424a7c4ee087b
[BSP] 910c26ef4cbec3224145ceae2b0bd9ee : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 12678 | Size: 2049 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 4212332 | Size: 61441 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 130043904 | Size: 413441 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] 102fd56f40e1790b491bd16a72c41b7b
[BSP] 910c26ef4cbec3224145ceae2b0bd9ee : Windows 7 MBR Code [possible maxSST in 3!]
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 12678 | Size: 2049 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 4212332 | Size: 61441 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 130043904 | Size: 413441 Mo
3 - [ACTIVE] NTFS (0x17) [HIDDEN!] Offset (sectors): 976771072 | Size: 1 Mo

+++++ PhysicalDrive1: Ut163 USB2FlashStorage USB Device +++++
--- User ---
[MBR] c0c0f5e20fcdeec6a2fc2092ae3e2d48
[BSP] dec9f0908d0564afbcbcc26fa1ab4266 : Standard MBR Code
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 32 | Size: 487 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

+++++ PhysicalDrive2: Ut163 USB2FlashStorage USB Device +++++
--- User ---
[MBR] b4195f082416f9528bb0ee173b9b98fb
[BSP] 7a4e84c01b7697d399a595bcedd177a0 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0x74) [VISIBLE] Offset (sectors): 1701998624 | Size: 795662 Mo
1 - [XXXXXX] UNKNOWN (0x65) [VISIBLE] Offset (sectors): 1330184192 | Size: 263172 Mo
2 - [XXXXXX] DISKMNG (0x53) [VISIBLE] Offset (sectors): 538989391 | Size: 682794 Mo
3 - [XXXXXX] BTWIZ (0xbb) [HIDDEN!] Offset (sectors): 3910009470 | Size: 31 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

J'ai l'impression que "error reading LL2 MBR" revient souvent et n'est pas forcément normal...
De plus, lorsque je démarre mon ordinateur, le pc n'arrive pas à charger la page d'acceuil...Je suis obligé de fermer le processus explorer et d'en ouvrir un autre..
Voila mais c'est surtout cette histoire de navigateur qui ne marche plus qui m'embête bcp...
Merci de m'aider sur ce coup..

g3n-h@ckm@n · Answer

Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

lawren0 · Answer

je l'ai lancé mais une fois que je clique sur "kill", j'ai l'impression qu'il tourne en rond quand il arrive à "C:/progammedata/PMBfiles/"
Utiliser  le .pif changera quelque chose?

g3n-h@ckm@n · Answer

laisse tourner

lawren0 · Answer

donc mon pc a redémarrer et le logiciel se bloque avec un message 
"error: Read impossible de satisfaire à la demande en raison d'une erreur de périphérique d'E/S"
au moment ou il exécute un c:/windows/system32/cmd.exe

je me demande si ça vient pas d'antivir qui se relance à chaque démarrage malgré que je l'enlève via msconfig.
J'ai essayé de désactivé le service d'antivir mais rien n'y fait , j'ai pas les droits pour l'arrêter....
Que faire?

merci

lawren0 · Answer

pareil pour ad-aware....je dois les désinstaller le temps de la thérapie?

g3n-h@ckm@n · Answer

oui vire les surtout ad-aware qui sert à rien 
 
=======

Pre_scan n'execute pas cmd.exe à proprement parler...

lawren0 · Answer

j'ai relancer l'option kill ce matin et même chose malgré que j'ai désinstallé antivir et ad-aware...spybot et malwares sont désactivés....

lawren0 · Answer

je précise qu'il se bloque toujours au même endroit (après un premier redémarrage) sur la fenêtre de cmd

g3n-h@ckm@n · Answer

si tu laisses tourner ?

lawren0 · Answer

ca plante

g3n-h@ckm@n · Answer

precise  et vire moi ce spybot de mer$e :!
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

lawren0 · Answer

j'ai désinstaller tout ce qui pouvait être sécurité et je vais le faire tourner ce soir.....en gros c'est simple, je sélectionne l'option kill, tout se passe bien, il redémarre et il ouvre des fenêtre noir type cmd.exe et la ce message apparait
"error: Read impossible de satisfaire à la demande en raison d'une erreur de périphérique d'E/S" 
et la l'ordi plante

merci d'essayer de démêlé l'inextricable

g3n-h@ckm@n · Answer

tu dois avoir un rapport dans c:\

lawren0 · Answer

ok il y avait effectivement un rapport dans c:/ alors que je le cherchais sur le bureau......

https://pjjoint.malekal.com/files.php?id=20120923_w10u14v14x12u10

voila j'ai enfin l'impression qu'on va avancer...merci

g3n-h@ckm@n · Answer

ok relance l'outil , clique sur diag et heberge le rapport puis donne le lien

lawren0 · Answer

voila

https://pjjoint.malekal.com/files.php?id=20120923_n15e12y14j14q5

g3n-h@ckm@n · Answer

tu fais pas ce que je demande j'avais demandé que tu vires AD-Aware !!!!!

si tu ne suis pas les instructions ca sert à quoi qu'on se decarcasse pour toi ?

lawren0 · Answer

heu ad-aware je l'ai désinstallé avec ccleaner donc je vois pas pourquoi tu dis ça.....
il reste effectivement un dossier dans programme files mais quasiment vide....

g3n-h@ckm@n · Answer

et des clés de demarrage automatique du programme

lawren0 · Answer

ok comment on les enlève alors?

g3n-h@ckm@n · Answer

desinstalle tuneUp utilities , à part fracasser le systeme c'est tout ce que ca fait 
desinstalle toolbar cleaner il sert à rien
spybot toujours pas desinstallé...!!!!
desinstalle adobe reader 9

franchement si tu m'écoutes pas et ne fais pas ce que je conseille on va pas s'en sortir.....

=======

 Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BIyoMHrSCl6

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

lawren0 · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.0919 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

lawren : Windows 7 Home Premium (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 09:34:57

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services

Service : 77278437  Not actif
Service : 89525053  Not actif



¤

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

Value Deleted : [HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]:adawarebp
Value Deleted : [HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]:adawarebp_XP
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Ad-Aware Antivirus
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher   
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Babylon Client
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ORVWcEDPULWMl.exe
Key Deleted : HKU\S-1-5-21-1079687673-4050534475-3661948340-1000\Software\Microsoft\Internet Explorer\SearchScopes\{29CEA931-8F87-4A46-AE35-74FA78B9BF71}
Key Deleted : HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{1645A33F-0A96-4315-904E-29E188E7720E}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{08f24d68-9087-4b24-81ad-7b34af3e3ed5}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{15B3FB63-66F4-4EFC-B717-BB283B85E79B}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{358E6F10-DE8A-4602-8424-179CA217F8EE}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4becf16c-74f0-429b-8d3e-4fba507ac661}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{8E1F80F4-953F-41E7-8460-E64AE5BE4ED3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9C6A861C-B233-4994-AFB1-C158EE4FC578}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9da1d2cb-796d-4bec-bbaa-0aa9ccd80e15}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
Key Deleted : HKU\S-1-5-21-1079687673-4050534475-3661948340-1000\Software\Safer Networking Limited
Value Deleted : [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]:TCP Query User{C9F5C958-3D5F-4D8C-B5AB-BFF5F7B2A88A}C:\windows\explorer.exe
Value Deleted : [HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]:UDP Query User{0288E763-34A9-4951-B459-C6A3C5B4C74D}C:\windows\explorer.exe
Key Deleted : HKU\S-1-5-21-1079687673-4050534475-3661948340-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.dll\OpenWithList
Key Deleted : HKCR\CLSID\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Key Deleted : HKU\S-1-5-21-1079687673-4050534475-3661948340-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Value Deleted : [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Key Deleted : HKU\S-1-5-21-1079687673-4050534475-3661948340-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Key Deleted : HKU\S-1-5-21-1079687673-4050534475-3661948340-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Value Deleted : [HKU\S-1-5-21-1079687673-4050534475-3661948340-1000\Software\Microsoft\Internet Explorer\URLSearchHooks]:{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Value Deleted : [HKLM\Software\Microsoft\Internet Explorer\URLSearchHooks]:{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Value Deleted : [HKU\S-1-5-21-1079687673-4050534475-3661948340-1000\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Value Deleted : [HKLM\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Value Deleted : [HKU\S-1-5-21-1079687673-4050534475-3661948340-1000\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser]:{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]:{0E5CBF21-D15F-11D0-8301-00AA005B4383}
Value Deleted : [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]:{0E5CBF21-D15F-11D0-8301-00AA005B4383}

¤

C:\Program Files\Ad-Aware Antivirus     : Not Found !
C:\Program Files\Babylon : Not Found !
C:\Windows\pö~  : Not Found !
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Spybot - Search & Destroy      : Not Found !
C:\Users\lawren\AppData\Roaming\Ad-Aware Antivirus  : Not Found !
C:\ProgramData\Spybot - Search & Destroy     : Not Found !
C:\ProgramData	aqmtjqrmchbdhp  : Not Found !
C:\ProgramData\usuhiyyealeawut : Not Found !
C:\Program Files\Spybot - Search & Destroy      : Not Found !
C:\Windows\System32\Drivers\vwifimp (2).sys  : Not Found !
C:\Windows\system32p_rules.dat  : Not Found !
C:\Windows\system32p_stats.dat  : Not Found !

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows 7 Home Premium Edition
Windows Information:		 (build 7600), 32-bit
Base Board Manufacturer:	FUJITSU SIEMENS
BIOS Manufacturer:		Phoenix Technologies Ltd.
System Manufacturer:		FUJITSU SIEMENS
System Product Name:		ESPRIMO Mobile V6555
Logical Drives Mask:		0x0000019c

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows 7 MBR code detected

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


explorer.exe -> Process re-started

Fin : 09:38:23

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

tu l'as fait combien de fois ?

lawren0 · Answer

2 fois...j'arrivais pas à virer toolbar cleaner alors j'ai lancé une première fois puis j'ai trouvé comment le désinstaller alors j'en ai relancé un autre... c'est le rapprt du 2 ème qui est posté...tout est désinstallé maintenant...je relance un diag?

g3n-h@ckm@n · Answer

&#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
&#9654 Double cliquez sur UsbFix.exe.  

&#9654 Cliquez sur Suppression.
&#9654 Laissez travailler l'outil. 

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
&#9654 Tutoriel vidéo

 ==========================

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

lawren0 · Answer

ok merci...par contre, je n'ai qu'un vieux disque dur maxtor que je branchais en externe et que je n'ai pas amené sur Toulouse donc je peux pas analyser pour l'instant (c'est le seul périphérique externe que j'utilise)
Je fais tourner malware et te tiens au courant

g3n-h@ckm@n · Answer

ok

lawren0 · Answer

J'ai donc fait le test et le seul élément infecté c'est win logon.Donc je supprime quand même et te poste le rapport ou je le laisse en cas où il y aurait d'autre manipulations à faire avec ton logiciel?

g3n-h@ckm@n · Answer

usbfix a detecté winlogon ???????????????????

lawren0 · Answer

oui et malware aussi ^^

tu veux que je poste les rapports avant suppression ou après du coup?

g3n-h@ckm@n · Answer

après surtout celui d'usbfix

lawren0 · Answer

Malwarebytes Anti-Malware 1.65.0.1400
www.malwarebytes.org

Version de la base de données: v2012.09.26.04

Windows 7 x86 NTFS
Internet Explorer 8.0.7600.16385
lawren :: LAWREN-PC [administrateur]

26/09/2012 12:43:00
mbam-log-2012-09-26 (12-43-00).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 316602
Temps écoulé: 1 heure(s), 48 minute(s), 4 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Users\lawren\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

parfait des soucis persistent ?

lawren0 · Answer

oui....je n'arrive toujours pas à ouvrir chrome ou internet explorer....je me demandais si c'était pas un souci lié à Java...
Je vais essayer de réinstaller chrome et IE avec des nouveaux fichiers d'installation

g3n-h@ckm@n · Answer

d'ac

sinon precise :

je n'arrive toujours pas à ouvrir chrome ou internet explorer

lawren0 · Answer

je vais essayer d'être clair.....je double clique sur IE ou chrome, le processus se lance dans le gestionnaire des tâches puis il disparait d'un coup sans avoir ouvert la fenêtre de navigation...comme si quelque chose le bloquait...
A chaque fois que tu lances un programme, tu peux remarquer dans le gestionnaire des tâches que le processus se lance et son utilisation mémoire augmente jusqu'à ce que le programme s'ouvre et soit opérationnel...
c'est la dernière étape qui ne marche pas....j'ai aucun message d'erreur...mon pc réfléchit puis rien ne se passe...
je vois pas comment expliquer mon problème et n'ai vraiment aucune idée de la source de ce dernier...

De plus, quand je désinstalle chrome, les icones disparaissent mais aucun processus de désinstallation ne se lancent...pareil quand je veux le réinstaller...aucune fenêtre ne s'ouvrent mais des icones apparaissent et j'ai la possibilité de lancer chrome...

g3n-h@ckm@n · Answer

Télécharge Farbar Service Scanner sur ton Bureau.

>> Coche les cases suivantes :

Internet Services
Windows Firewall
System Restore
Security Center
Windows Update
Windows Defender
Others Services




>> Clique sur "Scan".
>> Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

Héberge le rapport sur https://www.cjoint.com/ et donne le lien obtenu

lawren0 · Answer

https://pjjoint.malekal.com/files.php?id=20120927_w7z8z14p13k6

g3n-h@ckm@n · Answer

&#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

lawren0 · Answer

voila ce qu'il me détecte

Rootkit.boot.SST.b
physical drive: \Device\harddisk0\DR0
Malwareobject, high risk

que faire?

g3n-h@ckm@n · Answer

fais ce que je demande

lawren0 · Answer

ok tout est réglé!
Merci

g3n-h@ckm@n · Answer

le rapport ?

on a pas fini

lawren0 · Answer

https://pjjoint.malekal.com/files.php?id=20120928_g11q6m12t10i7

lawren0 · Answer

par contre ça fait 2 fois que j'ai un bug avec mon ordi depuis la réparation...
un écran bleu devant un jeu et un freeze de l'ordi avec comme unique solution un redémarrage brut...

g3n-h@ckm@n · Answer

relance une recherche avec roguekiller  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

lawren0 · Answer

RogueKiller V8.0.5 [23/09/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur : lawren [Droits d'admin] Mode : Recherche -- Date : 28/09/2012 15:53:27 ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ [HJ] HKLM\[...]\System : EnableLUA (0) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: FUJITSU MJA2500BH G2 ATA Device +++++ --- User --- [MBR] 1b4cd6f2e5ad4c8d11f424a7c4ee087b [BSP] 910c26ef4cbec3224145ceae2b0bd9ee : Windows 7 MBR Code Partition table: 0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 12678 | Size: 2049 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 4212332 | Size: 61441 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 130043904 | Size: 413441 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[3].txt >> RKreport[2].txt ; RKreport[3].txt

g3n-h@ckm@n · Answer

y'avais ecrit quoi sur l ecran bleu ?

lawren0 · Answer

honnêtement je ne sais pas...si jamais j'en ai un de nouveau, je le noterai

AU fait pour rogue killer je supprime ce qu'il a trouvé ou je laisse tel quel?

g3n-h@ckm@n · Answer

bof non laisse....

lawren0 · Answer

si ça peut aider d'autres personnes, avant cette manipulation,google chrome était très lent et n'affichait pas certaines pages...maintenant il est redevenu opérationel.
Merci en tout cas

g3n-h@ckm@n · Answer

de rien fais le menage

 https://gen-hackman.kanak.fr/#1037

lawren0 · Answer

je suis en train de nettoyer tout ça et je rencontre un petit problème: 

"Pour réactiver la restauration système, il suffit de cocher "Restaurer les paramètres système et les versions précédents des fichiers" à la place de "Désactiver la protection du système" puis de validez avec "Appliquer"." 

Lorsque j'essai de faire ça, un message d'erreur  "impossible de créer la tache planifiée pour la raison suivante:cette demande n'est pas prise en charge" 

De même lorque que j'essai de créer un point de restauration, un autre message d'erreur apparait "un composant du service VSS a rencontré un problème....."

g3n-h@ckm@n · Answer

Télécharge Service Repair (Eset) sur ton Bureau.

>> Exécute le, clique sur Yes dans la boite de dialogue.
>> A la fin, clique sur Yes pour autoriser le redémarrage.
>> L'outil va créer un dossier CC Support dans le répertoire où l'outil a été exécuté.
>> Héberge le rapport CC Support\Logs\SvcRepair.txt sur FEC Upload et poste le lien. 

===============================

Télécharge Farbar Service Scanner sur ton Bureau.

>> Coche les cases suivantes :

Internet Services
Windows Firewall
System Restore
Security Center
Windows Update
Windows Defender
Others Services

>> Clique sur "Scan".
>> Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

Héberge le rapport sur FEC Upload et donne le lien obtenu

lawren0 · Answer

https://forums-fec.be/upload/www/?a=d&i=7734638967


https://forums-fec.be/upload/www/?a=d&i=1403759058

g3n-h@ckm@n · Answer

tes protections etaient desactivées pour l'utilisation d'est service repair ?

reexecute-le avec le clic droit "executer en tant qu'administrateur"

lawren0 · Answer

j'ai pas réinstallé d' antivirus si c'est ce à quoi tu pensais..

g3n-h@ckm@n · Answer

ok

reexecute-le avec le clic droit "executer en tant qu'administrateur"

Virus et navigateur internet

60 réponses

Discussions similaires

Newsletters