Police fédérale MEME en mode sans échec

Résolu
winyfa Messages postés 12 Date d'inscription   Statut Membre Dernière intervention   -  
 Utilisateur anonyme -
Bonjour,

Me voila de nouveau avec ce fichu virus, je savais l'enlever à chaque fois mais maintenant, même en mode sans échec je reçois le message!!! Alors là, je ne sais vraiment plus quoi faire!

si quelqu'un pouvait éclairer ma lanterne!!! SNIF

Merci d'avance.

11 réponses

  1. Utilisateur anonyme
     
    Bonjour

    Dans un premier temps tu postes ce rapport de Malwaresbytes
    Supprime bien tout ce qu'il trouve

    @+
    1
  2. Utilisateur anonyme
     
    Bonjour

    On reprend avec OTLPE sous environnement Seven.
    Télécharge ici : http://www.forums-fec.be/gen-hackman/7pe_x86_E.exe => OTLPE sous environnement windows 7 en CD Live (Merci à "g3n-h@ckm@n")

    double-clique sur le fichier , patiente quelques secondes , puis un logiciel de gravure va s'ouvrir

    insère un cd dans ton graveur puis clique sur "BURN ISO"

    (normalement le fichier à graver est déjà sélectionné)
    Note : Le CD gravé, il faut maintenant redémarrer la machine sur le lecteur CDROM
    Pour ce faire suivre ce lien : Booter sur un CD

    Tu lances l'iso d'OTLPE que tu as gravé.
    * Double-clique sur l'icone OTLPE
    * Une fenêtre s'ouvre: « Choose Windows Directory »

    Tu choisis le lecteur qui embarque Windows (C par défaut) et ensuite tu pointes vers ce fichier Windows.
    Une autre fenêtre mentionne :"Do you wish to loadremote user profile(s) for scanning ?"
    Tu cliques sur Oui
    Tu choisis ensuite ta session (logiquement la première ligne de cette fenêtre)
    La ligne en bas du tableau est cochée (sinon le faire)

    Cliquer sur Ok

    Tu cliques sur OK

    Ensuite
    * sous Custom Scan box
    1) copie_colle le contenu du cadre ci dessous:

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %SYSTEMDRIVE%\*.exe
    /md5start
    eventlog.dll
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    cdrom.sys
    disk.sys
    ndis.sys
    mountmgr.sys
    aec.sys
    rasacd.sys
    mrxsmb10.sys
    mrxsmb20.sys
    termdd.sys
    mrxsmb.sys
    win32k.sys
    storport.sys
    IdeChnDr.sys
    viasraid.sys
    explorer.exe
    winlogon.exe
    wininit.exe
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    ahcix86.sys
    KR10N.sys
    nvstor32.sys
    ahcix86s.sys
    nvrd32.sys
    /md5stop
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    CREATERESTOREPOINT


    * copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.

    * 2) Clic Run Scan pour démarrer le scan.
    * Une fois terminé , le fichier se trouve là C:\OTL.txt
    * Copie_colle le contenu dans ta prochaine réponse.

    @+

    0
  3. winyfa Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
     
    Rebonjour,

    Finalement, par je ne sais quel miracle, l'ordi s'est rallumé mais le virus est toujours là. Disons que 1 fois sur 20 j'arrive à avoir l'écran. Donc, j'en ai profité pour installer Malwarebytes et il est en cours d'analyse.

    Comme je pense l'avoir compris, cela ne suffit pas. Pourriez-vous m'expliquer ce que je dois faire pour supprimer totalement et espérons-le définitivement ce fichu virus!

    Un grand merci.
    0
  4. winyfa Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
     
    Voici donc le rapport:(j'imagine que c'est cela là qu'il faut)

    Malwarebytes Anti-Malware 1.65.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.10.06.02

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Jean-Louis :: JEAN-LOUIS-PC [administrateur]

    6/10/2012 13:35:29
    mbam-log-2012-10-06 (13-42-58).txt

    Type d'examen: Examen rapide
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 209877
    Temps écoulé: 6 minute(s), 46 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 1
    HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Aucune action effectuée.

    Valeur(s) du Registre détectée(s): 1
    HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|shell (Trojan.Agent) -> Données: explorer.exe,C:\Users\Jean-Louis\AppData\Roaming\msconfig.dat -> Aucune action effectuée.

    Elément(s) de données du Registre détecté(s): 3
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.
    HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.

    Dossier(s) détecté(s): 1
    C:\Users\Jean-Louis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum (Rogue.LiveSecurityPlatinum) -> Aucune action effectuée.

    Fichier(s) détecté(s): 5
    C:\Users\Jean-Louis\AppData\Roaming\msconfig.dat (Trojan.Zbot) -> Aucune action effectuée.
    C:\Users\Jean-Louis\AppData\Local\Temp\95l24ofumr5jwczi.exe (Trojan.Zbot) -> Aucune action effectuée.
    C:\Users\Jean-Louis\Desktop\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Aucune action effectuée.
    C:\Users\Jean-Louis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\ctfmon.lnk (Trojan.Ransom.Gen) -> Aucune action effectuée.
    C:\Users\Jean-Louis\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Live Security Platinum\Live Security Platinum.lnk (Rogue.LiveSecurityPlatinum) -> Aucune action effectuée.

    (fin)

    J'ai bien supprimé les 11 fichiers détectés. (sur un nouveau rapport, il fait noter "mise en quarataine et suppression effectuées avec succés" à la place de' "aucune action effectuée". Et cela pour les 11 fichiers.

    Merci pour les réponses en tout cas!!!
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Re

    As tu encore des soucis?

    Mais ce n'est pas fini...

    @+
    0
  7. winyfa Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
     
    Non, on peut de nouveau utliser l'ordi comme l'on veut.
    0
  8. Utilisateur anonyme
     
    Re

    SX Check&Update est un outil développé par Igor51.

    De nombreuses infections se propagent via des failles logiciels tels que FlashPlayer, Adobe Reader et Java. Il est donc indispensable de les maintenir à jour.
    * SX Check&Update permet très facilement de mettre à jour ces programmes grâce à son interface simplifiée.
    * SX Check&Update est compatible: Windows XP (32 / 64 bit), Vista (32 / 64 bit), 2008, Windows 7 (32 / 64 bit)

    Télécharger SX Check&Update (de igor 51) sur le Bureau.

    Utilisateur d'AVAST : Il vous faut désactiver les agents de protections le temps de l'exécution.

    Désactiver l'Agent WEB pour que l'outil puisse correctement fonctionner.
    * Lancer l'outil.
    Il est indispensable que l'ordinateur soit connecté à Internet afin que SX Check&Update puisse vérifier les versions des logiciels à risque.
    * Au menu principal, choisir l'option Rapport.
    Poste moi ce rapport ;merci

    @+
    0
  9. winyfa Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
     
    rere,

    voici donc le 2e rapport demandé:
    SX Check&Update
    Lien vers le tutoriel : https://forum.security-x.fr/tutoriels-317/tutoriel-sx-checkupdate/
    ---
    Windows Version : Windows 7 64bits
    Service Pack : 1
    UserName : Jean-Louis
    06/10/2012
    15:30:24
    version = v0.2.5
    ---
    Windows Update Information :
    AUOptions : 4
    Automatically, no notification
    ---

    ---
    Name : FlashPlayer ActiveX
    Version : 11.4.402.278
    Flash Player ActiveX is up to date

    Java Information :
    Nom : Java 7 Update 7
    Version : 7.0.70
    Java 7 Update 7 is up to date

    Nom : Adobe Reader X (10.1.4) MUI
    Version : 10.1.4
    Adobe Reader is up to date

    Nom : Internet Explorer
    Version : 9.0.8112.16421
    0
  10. Utilisateur anonyme
     
    Re

    Te voilà maintenant à l'abri.

    Pense bien à l'avnir à maintenir à jour ton PC sinon cela se reproduira

    1) Télécharge DelFix de Xplode

    * Lance le.
    * A l'invite, [Suppression]
    * Un rapport va s'ouvrir à la fin, colle le dans la réponse

    Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]


    2)
    Ccleaner :

    https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

    .enregistres le sur le bureau
    .double-cliques sur le fichier pour lancer l'installation
    .sur la fenêtre de l'installation langage bien choisir français et OK
    .cliques sur <gras>suivant

    .lis la licence et j'accepte
    .cliques sur suivant
    .la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner
    .cliques sur installer
    .cliques sur fermer
    .double-cliques ou clic droit sous Vista ou Seven sur l'icône de Ccleaner pour l'ouvrir
    .une fois ouvert tu cliques sur option et puis avancé
    .tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures
    .cliques sur nettoyeur
    .cliques sur windows et dans la colonne avancé
    . coches la première case vieilles données du perfetch ce qui te donnes la case vielles données du perfetch
    .cliques sur analyse une fois l'analyse terminé
    .cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifies en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien
    .clique maintenant sur registre et puis sur rechercher les erreurs
    .laisse tout coché et clique sur réparer les erreurs sélectionnées
    .il te demande de sauvegarder OUI
    .tu lui donnes un nom pour pouvoir la retrouver et enregistre
    .clique sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK
    .il supprime et une fois fermé tu vérifies en relançant rechercher les erreurs
    .tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch
    .tu peux fermer Ccleaner.

    Tuto : https://jesses.pagesperso-orange.fr/Docs/Logiciels/CCleaner.htm

    3)Purge la restauration sur Seven
    Comment faire :

    http://www.forum-seven.com/forum/

    Cela supprime toutes traces des diverses infections ;et permettra une éventuelle restauration sans infections

    @+
    0
  11. winyfa Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
     
    re re re re re re et re

    Voila,j'ai fait tout ce que tu m'avais conseillé. Et voici le rapport de Delfix:

    # DelFix v9.0 - Rapport créé le 06/10/2012 à 17:43:26
    # Mis à jour le 23/09/12 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Jean-Louis - JEAN-LOUIS-PC (Administrateur)
    # Exécuté depuis : C:\Users\Jean-Louis\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\F9XBOZZT\delfix.exe
    # Option [Suppression]

    ~~~~~~ Dossiers(s) ~~~~~~

    ~~~~~~ Fichier(s) ~~~~~~

    ~~~~~~ Registre ~~~~~~

    ~~~~~~ Autres ~~~~~~

    -> Prefetch Vidé

    *************************

    DelFix[S1].txt - [554 octets] - [06/10/2012 17:43:26]

    ########## EOF - C:\DelFix[S1].txt - [677 octets] ##########

    Est-ce tout?
    0
  12. Utilisateur anonyme
     
    Bonjour

    Si tu as fait le reste;je te propose mettre ce sujet en résolu

    @+
    0