Virus Votre ordinateur est bloqué...help - Page 2

Précédent
  • 1
  • 2
  1. malcolmx007 Messages postés 24 Statut Membre
     
    voila

    https://pjjoint.malekal.com/files.php?id=20130203_w12y14s14u14o10

    ou

    RogueKiller V8.4.4 [Feb 3 2013] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : https://www.luanagames.com/index.fr.html
    Site Web : https://www.luanagames.com/index.fr.html
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 64 bits version
    Demarrage : Mode normal
    Utilisateur : Amilo [Droits d'admin]
    Mode : Suppression -- Date : 03/02/2013 21:07:06
    | ARK || MBR |

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 11 ¤¤¤
    [RUN][SUSP PATH] HKLM\[...]\Wow6432Node\Run : PPort11reminder ("C:\Program Files (x86)\ScanSoft\PaperPort\Ereg\Ereg.exe" -r "C:\ProgramData\ScanSoft\PaperPort\11\Config\Ereg\Ereg.ini") -> SUPPRIMÉ
    [RUN][SUSP PATH] HKLM\[...]\Wow6432Node\Run : DNS7reminder ("C:\Program Files (x86)\Nuance\NaturallySpeaking11\Ereg\Ereg.exe" -r "C:\ProgramData\Nuance\NaturallySpeaking11\Ereg.ini) -> SUPPRIMÉ
    [TASK][SUSP PATH] 319c1480 : C:\Users\Amilo\AppData\Local\Temp\\setup205068928.exe -> SUPPRIMÉ
    [TASK][SUSP PATH] 6b19488c : C:\Users\Amilo\AppData\Local\Temp\\setup1186819084.exe -> SUPPRIMÉ
    [TASK][SUSP PATH] 7f3149b8 : C:\Users\Amilo\AppData\Local\Temp\\setup3209398456.exe -> SUPPRIMÉ
    [TASK][SUSP PATH] 937d8400 : C:\Users\Amilo\AppData\Local\Temp\\setup3284280320.exe -> SUPPRIMÉ
    [TASK][SUSP PATH] a6b6762c : C:\Users\Amilo\AppData\Local\Temp\\setup1813742956.exe -> SUPPRIMÉ
    [TASK][SUSP PATH] d7513ec0 : C:\Users\Amilo\AppData\Local\Temp\\setup891736512.exe -> SUPPRIMÉ
    [HJPOL] HKLM\[...]\System : DisableRegistryTools (0) -> SUPPRIMÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [NON CHARGE] ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost

    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: ST310003 33AS SCSI Disk Device +++++
    --- User ---
    [MBR] c3cbac8052ae54487083d70bceae3db7
    [BSP] a1eab751e1c5a7a17ff3cdb43d18ac04 : Windows Vista MBR Code
    Partition table:
    0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 12004 Mo
    1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 24586240 | Size: 168755 Mo
    2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 370201860 | Size: 773104 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2]_D_03022013_210706.txt >>
    RKreport[1]_S_03022013_210221.txt ; RKreport[2]_D_03022013_210706.txt
    0
  2. malcolmx007 Messages postés 24 Statut Membre
     
    j ai fermé RogueKiller puis suivi le reste de ta procédure sur ton site...

    *Revenez sur le gestionnaîre de tâches.
    *Menu Fichier puis Nouvelle tâche.
    *Tapez shutdown -t 1
    *Cela va fermer la session.

    puis redemarrer normallement mais toujours écran noir
    0
  3. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Recherchage le bureau comme précédemment.

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Userinit"="userinit.exe"
    "Shell"="explorer.exe"


    * redemarre le pc sous windows et poste le rapport ici

    Vois ce que cela donne.
    0
  4. malcolmx007 Messages postés 24 Statut Membre
     
    tu me dis de bien prendre OTL mais le rapport que tu m'envois ne contient pas cette mention au début ....
    0
    1. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
       
      ?
      y a le lien de téléchargement OTL.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. malcolmx007 Messages postés 24 Statut Membre
     
    ========== REGISTRY ==========
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Userinit"|"userinit.exe" /E : value set successfully!
    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon\\"Shell"|"explorer.exe" /E : value set successfully!

    OTL by OldTimer - Version 3.2.69.0 log created on 02042013_103137
    0
  7. malcolmx007 Messages postés 24 Statut Membre
     
    voila, je viens de redemmarer mis toujours la meme chose... page de démarage windows visible puis quand il charge pour rentrer dans mon bureau, ecran noir
    0
  8. malcolmx007 Messages postés 24 Statut Membre
     
    sniff
    0
  9. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

    Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    * Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

    * Lance OTL
    * En haut à droite de Analyse rapide, coche "tous les utilisateurs"
    * Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\consrv.dll
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
    HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
    CREATERESTOREPOINT
    nslookup www.google.fr /c
    SAVEMBR:0
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs


    * Clique sur le bouton Analyse.

    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
    * Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
    NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

    0
  10. malcolmx007
     
    Voici ce que j'ai fait :

    1. je viens de lancer un nouveau scan OTL de mon pc et voici le rapport

    http://pjjoint.malekal.com/files.php?id=20130204_u12z7j711q14

    2. j'ai ensuite copié le script ci dessus sous Personnalisation et voici le rapport

    http://pjjoint.malekal.com/files.php?id=20130204_k8e13i9r15t10
    0
  11. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :OTL
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2542115
    IE - HKCU\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: URL = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2542115
    [2013/01/25 20:34:57 | 000,229,376 | ---- | M] (Microsoft Corporation) -- C:\Users\Amilo\wgsdgsdgdsgsd.exe


    *poste le rapport ici

    Clic sur le menu Démarrer et dans la barre de recherche
    tape regedit et OK.
    OK sur le message d'avertissement.

    A gauche, navigue dans l'arborescence suivante en cliquant sur les +

    HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows NT\CurrentVersion\Winlogon

    A droite, tu dois avoir une clef Shell.
    Double-clic dessus, il doit y avoir C:\PROGRA~3\dsgsdgdsgdsgw.bat
    Efface tout et mets explorer.exe
    Valide par OK.

    Redémarre l'ordinateur et vois ce que cela donne pour l'écran noir.

    0
  12. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    SystemLookup :

    Télécharger SystemLook à partir d'un des liens ci dessous sur ton Bureau.
    http://jpshortstuff.247fixes.com/SystemLook.exe
    http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

    SE 64 bits là : http://jpshortstuff.247fixes.com/SystemLook_x64.exe

    [*]Double-click SystemLook.exe pour le lançer...clic droit executer en tant qu'administrateur sous vista/7

    [*]Clic droit|copier le contenu du cadre ci dessous ,et clic droit|coller dans le cadre blanc de SystemLook:

    :regfind
    dsgsdgdsgdsgw.bat


    [*]Click le bouton Look pour commencer le scan.
    [*] Copie-colle dans ta prochaine réponse le rapport\contenu du fichier texte qui s'affiche Note: Le rapport peut aussi être trouvé sur ton Bureau nommé SystemLook.txt

    0
  13. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    je crois que tu as mis un espace après le .bat
    Du coup ça a faussé les résultats.

    Sinon ce que tu peux faire
    C'est lancé regedit et faire une recherche sur dsgsdgdsgdsgw.bat et de donner la clef où il se trouve.

    Ou encore tu peux tenter de lancer une restauration du système en prenant une date antérieure à l'infection.
    0
  14. malcolmx007 Messages postés 24 Statut Membre
     
    Je viens de recommencer en prenant garde de ne pas laisser un espace après le .bat
    Voici le rapport
    https://pjjoint.malekal.com/files.php?id=20130204_o9f15s12g14n14

    Pour le reste j'ai essayé de lancer une restauration du système mais toujours écran noir avec souris active (et je n'ai pas compris "Sinon ce que tu peux faire
    C'est lancé regedit et faire une recherche sur dsgsdgdsgdsgw.bat et de donner la clef où il se trouve.")

    j'attends les résultats du rapport... mais je désespère
    0
  15. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    ha p'tain, c'est la clef "normale" qui est pas bonne.
    C'est chelou.

    Relance OTL.
    o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
    Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

    :reg
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
    "Shell"="explorer.exe"


    * redemarre le pc sous windows et poste le rapport ici
    0
  16. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    et si tu vas dans regedit.
    Tu as quoi dans Shelll sur la clef HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon ?
    0
  17. malcolmx007 Messages postés 24 Statut Membre
     
    explorer.exe
    0
  18. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Supprime le RogueKiller, si tu l'as encore.
    Retélécharge le et relance la suppression.

    Il a été mis à jour.
    Donne lerapport.
    0
Précédent
  • 1
  • 2