Ordi sos PC 3 Résolu/Fermé

Question

Bonjour,  

reposte ton rapport d'adwcleaner ici et explique ce qu'a ce pc comme symptomes 

Configuration: win 7, pas d'antivirus  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Ordi sos · Answer

https://www.cjoint.com/?3JAj3akCLri 

alors voilà, mon fils joue beaucoup en ligne avec ce pc et il dit qu'il est lent mais vu l'age !! il a déjà été infecté plusieurs fois, et là je me rends compte qu'il y a 2 autres moteurs de recherche : Yaooh et Bing. J'ai passé OTL, je ne sais pas si j'aurais dû, et voilà les rapports :

 https://www.cjoint.com/?3JAkcCN9SbV 

et Extra : 
 https://www.cjoint.com/?3JAkdZZ8bCQ

Ordi sos · Answer

si je ne te réponds pas cet apm, je serai au travail.

g3n-h@ckm@n · Answer

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ordi sos · Answer

Je viens de faire le scan, voici le rapport : https://forums-fec.be/upload/www/?a=d&i=9591153204 , je n'ai pas fait l'option "kill"

g3n-h@ckm@n · Answer

ok relance l'outil , clique sur diag et heberhe le rapport

Ordi sos · Answer

voilà le rapport diag : https://forums-fec.be/upload/www/?a=d&i=5345992082

g3n-h@ckm@n · Answer

telecharge FixLop

http://general-changelog-team.fr/fr/downloads/viewdownload/18-outils-de-nicova/23-fixlop

lance-le clique sur suppression puis poste le rapport

Ordi sos · Answer

voici le rapport, j'ai dû faire une recherche avant suppression, sinon il ne se lançait pas :

####### FixLop vers 1.0.2.6 [ Suppression ] #######

# Exécuté depuis C:\Program Files\FixLop
# Le 27/10/2012 à 17h38
# Utilisateur : Propriétaire | LE-HZ5H7EYNJKQI

# S.E : Microsoft Windows XP | Service Pack 3 | 32 bits
# CPU :               Intel(R) Pentium(R) 4 CPU 2.40GHz

# Internet Explorer version [7.0.5730.13]
# Mozilla Firefox : 

############## [ Processus ]


############## [ Dossiers & Fichiers ]

Dossier supprimé : C:\Program Files\Mpeg comp
Dossier supprimé : C:\Documents and Settings\Propriétaire\Application Data\Mpeg comp
Dossier supprimé : C:\Documents and Settings\All Users\Application Data\Idle bind itch live
Fichier supprimé : C:\Documents and Settings\Propriétaire\Bureau\Askinz Uplauncher.lnk

~~~~ Lecture fichier prefs.js ~~~~ 


############## [ Clés de registres ]


############## [ Internet Explorer ]

-- [ HKLM\Software\Microsoft\Internet Explorer\Main ] --

Search Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url : hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_search_url : hxxp://www.google.fr
Start Page : hxxp://fr.msn.com/
Local Page : C:\WINDOWS\system32\blank.htm

-- [ HKCU\Software\Microsoft\Internet Explorer\Main ] --

Search Page : hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Default_page_url : hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_search_url : hxxp://www.google.fr
Start Page : hxxp://fr.msn.com/
Local Page : C:\WINDOWS\system32\blank.htm

########## [ ! Suppression finie le 27/10/2012 à 17h38 ]

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Ordi sos · Answer

je fais ça, ça risque de prendre un peu de temps, a tte.

g3n-h@ckm@n · Answer

ok :p

Ordi sos · Answer

Mbam n'a rien trouvé, rien en quarantaine,  par contre j'avais laissé le pare feu et avast, c'est pas grave ???

g3n-h@ckm@n · Answer

nan

Ordi sos · Answer

Y avait de petites infections dans le pc  ???

g3n-h@ckm@n · Answer

yep' ^^

refais un diag avec pre_scan

Ordi sos · Answer

ok !

Ordi sos · Answer

https://forums-fec.be/upload/www/?a=d&i=0583502918

Ordi sos · Answer

au fait, je ne sais pas si tu saurais résoudre le problème que j'ai avec ce pc, lorsque je veux arrêter l'ordi en cliquant sur démarrer et arrêter, la petite fenêtre qui s'ouvre juste après pour confirmer " arrêt de windows "  met 5 minutes a s'ouvrir ?? pas normal ??

Ordi sos · Answer

il se fait tard, je reprends demain :) fatigué !!

Ordi sos · Answer

alors, qu'est ce que t'en pense ??

g3n-h@ckm@n · Answer

ca :

Attention !!! pense à re-désactiver tes protections

Clique sur ce lien : https://www.cjoint.com/?BJCjNkcWIbo

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Ordi sos · Answer

alors voilà, le scan est bloqué sur Searching : MrvGina.dll 
qu'est que je fais ???

g3n-h@ckm@n · Answer

t'as bien desactivé tes protections ?

Ordi sos · Answer

ben oui

g3n-h@ckm@n · Answer

ok enleve cette partie : 

search:: 
MrvGINA.dll  

et recommence on va trouver un autre moyen pour le chercher ce truc là  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Ordi sos · Answer

ok je fait ça

Ordi sos · Answer

maintenant ça reste bloqué a Registry operations : wscntfy.exe

Ordi sos · Answer

je dois m'absenter .

g3n-h@ckm@n · Answer

fais en mode sans ehec

Ordi sos · Answer

je suis de retour, je viens de faire la démarche en mode sans échec, je n'ai rien supprimé du texte et voilà le rapport :

 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.1027 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Propriétaire : Microsoft Windows XP (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Impossible to create restorepoint !!!


Script : 20:11:39

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


¤¤¤¤¤¤¤¤¤¤ | File search

[MD5.38CD290CA80E6945FC87830513888C50] - [03/04/2009 15:23:00] | [03/04/2009 15:23:01] - (. - .) - [0.35 Ko] - C:\Documents and Settings\Propriétaire\Favoris\[Registre] MrvGINA.dll = quel programme  [Résolu].url -> (0.0.0.0)
¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\iTunesHelper
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\QuickTime Task
Key Deleted : HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}
Key Deleted : HKU\S-1-5-21-507921405-179605362-839522115-1003\Software\Extra Spam 16exit
Key Deleted : HKLM\Software\Microsoft\Mr. Enigma
Value Deleted : [HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]:C:\WINDOWS\system32\mmc.exe
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:1900:UDP
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:2869:TCP
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:139:TCP
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:445:TCP
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:137:UDP
Value Deleted : [HKLM\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]:138:UDP

¤

Folder Quarantined and Deleted Successfully : |D| - C:\04d3af5e16d90766f1a05ecf4e 
Folder Quarantined and Deleted Successfully : |D| - C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy     
File Quarantined and Deleted Successfully :  |A| - C:\WINDOWS\system32\tmp0FF1D.FOT 
File Quarantined and Deleted Successfully :  |A| - C:\WINDOWS\system32\tmpC86D5.FOT 

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows XP Home Edition
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x00000005

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected




¤


¤¤¤¤¤¤¤¤¤¤ | Disk cleaning

Disk cleaned

¤


Fin : 20:16:04

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

je comprends pas..... 

regarde si tu vois ces composants dans c:\windows\system32 

MrvGINA.dll  
Gina.dll  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

Ordi sos · Answer

J'ai bien trouvé  : MrvGINA.dll , mais pas  " Gina.dll "

g3n-h@ckm@n · Answer

analyse- la sur virus-total et donne le lien de la page une fois l'analyse terminée

https://www.virustotal.com/gui/

Ordi sos · Answer

est ce que c'est bien ce lien là que tu veux : https://www.virustotal.com/gui/file/eed93024d9b63d7bc4154db6d9af34db3294658b10f31bec2a4298075ebb1cb4

g3n-h@ckm@n · Answer

mouais.......

t'as encore des soucis ?

Ordi sos · Answer

non pas pour le moment, mais j'ai le problème d'extinction très lent du pc, voir le lien 18. Par contre j'arrête là pour ce soir parce que je me lève a 4 H. A demain vers 14H. Bonne soirée.

g3n-h@ckm@n · Answer

ben tu feras le menage et on avisera

https://gen-hackman.kanak.fr/

Ordi sos · Answer

bonjour, j'ai commencé a faire le ménage : 

# DelFix v9.0 - Rapport créé le 29/10/2012 à 14:16:00
# Mis à jour le 23/09/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Propriétaire - LE-HZ5H7EYNJKQI (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Propriétaire\Bureau\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\pre_scan
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\FixLop
Supprimé : C:\Program Files\FixLop

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\FixLop[CLEAN].txt
Supprimé : C:\FixLop[RECH].txt
Supprimé : C:\Pre_Scan_27_10_2012_15_14_15.txt
Supprimé : C:\Documents and Settings\Propriétaire\Bureau\adwcleaner.exe
Supprimé : C:\Documents and Settings\Propriétaire\Bureau\Extras.Txt
Supprimé : C:\Documents and Settings\Propriétaire\Bureau\fixlop0.exe
Supprimé : C:\Documents and Settings\Propriétaire\Bureau\OTL.Txt
Supprimé : C:\Documents and Settings\Propriétaire\Bureau\OTL.exe
Supprimé : C:\Documents and Settings\Propriétaire\Bureau\Pre_Diag_27_10_2012_16_26_49.txt
Supprimé : C:\Documents and Settings\Propriétaire\Bureau\Pre_Diag_27_10_2012_22_49_40.txt
Supprimé : C:\Documents and Settings\Propriétaire\Bureau\Pre_Scan_27_10_2012_15_14_15.txt
Supprimé : C:\Documents and Settings\Propriétaire\Bureau\Pre_script.txt
Supprimé : C:\Documents and Settings\Propriétaire\Bureau\winlogon.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\FixLop
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{3D8E9123-A7BA-4E66-8B66-AC46BFD13D9E}_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1911 octets] - [29/10/2012 14:16:00]

########## EOF - C:\DelFix[S1].txt - [2035 octets] ##########

Ordi sos · Answer

Purera : Total space cleaned: 133.24 MB

g3n-h@ckm@n · Answer

:)

Ordi sos · Answer

bonjour, enfin, j"ai fini le nettoyage du pc3, mais maintenant, j'ai autre chose qui m'inquiète : hier soir, je suis allé voir l'ordi de ma fille qui est en vacs actuellement  et qu'est ce que je vois, quand elle ouvre firefox, un onglet protected search qui s'ouvre et un autre avec babylon !! et elle me dit que le pc est lent,  est ce que tu peux me venir en aide encore une fois de plus ?? j'espère que ce sera la dernière ?? J' ai fait un scan malwarebyte's et aucun éléments nuisibles. Maintenant je fais un zhpdiag.

g3n-h@ckm@n · Answer

ouvre un nouveau sujet sinon je vais tout melanger à la relecture

Ordi sos · Answer

ok, se sera ordi sos : pc 4

Ordi sos PC 3

43 réponses

Discussions similaires