Ransonware Police nationale sacem

Résolu/Fermé
Signaler
-
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
-
Bonjour,
Petit soucis avec mon Aspire One victime de ce virus qui m'empêche de le redémarrer en mode sans échec ni même de retrouver la dernière bonne configuration. Il est complètement coincé. Il tourne sur windows XP famille

Si quelqu'un pouvait me filer un coup de main. Je l'en remercie d'avance.

17 réponses

Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
Salut,

Lance une restauration en invite de commandes en mode sans échec - voir paragraphe Restauration du système en ligne de commandes mode sans échec: https://forum.malekal.com/viewtopic.php?t=20428&start=#p166263

Si tu es sur Windows Seven, lance une restauration du système à partir du menu "réparer mon ordinateur".
Voir second paragraphe : https://forum.malekal.com/viewtopic.php?t=20428&start=#p166847

** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE **

NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente.

0
Ça ne marche pas pas moyen d'accéder également à l'invite de commande en mode sans échec j'ai un écran bleu qui s'affiche une fraction de seconde et l'ordi redémarre...
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
Grave le CD OTLPE : https://forum.malekal.com/viewtopic.php?t=23453&start=#p213090
Ensuite tu démarres sur OTLPE.
Le but étant d'arriver sur un système d'exploitation tiers qui permet l'accès à tes fichiers Windows en autre.

La procédure est la suivante :
- Télécharger le CD OTLPE (fichier image ISO)
- Graver le CD OTLPE ou le mettre sur clef USB (les liens explicatifs sont donnés dans le lien plus haut) - on peux graver depuis un PC sain.
- Mettre le CD / Clef USB sur le PC infecté
- Redémarre l'ordinateur et changer la séquence de démarrage https://forum.malekal.com/viewtopic.php?t=9447&start= pour faire démarrer sur le CD ou clef USB.
- OTLPE se charge
- Une fois dessus, lance OTL (icone jaune)
- Naviguer dans les disques afin de sélectionner le dosssier Windows puis le nom de la session infectée.
- Copie/colle l'intégralité du script dans la partie scan personnalisé/Custon Scan - !!! je répète copier le script personnalisé qui est donné sur la page OTLPE malekal.com avant de scanner !!!
- Tu envoies les rapports sur http://pjjoint.malekal.com et tu donnes les liens ici.
Si tu n'as pas internet via OTLPE, essaye de transférer les rapports par clef USB sur un autre PC.

Si tu n'as pas de lecteur CD-Rom, des solutions pour mettre le "CD" sur Clef USB existent.
Tout cela est donné dans le lien, ci-dessus.
0
http://pjjoint.malekal.com/files.php?read=OTL_20130209_t7f11s10j14l11

Hop voilà le lien !
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
Relance OTL.
o sous Persfonnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:

:OTL
O2 - BHO: (Wajam) - {A7A6995D-6EE1-4FD1-A258-49395D5BF99C} - C:\Program Files\Wajam\IE\priam_bho.dll (Wajam)
O2 - BHO: (Google Toolbar Helper) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll (Google Inc.)
O2 - BHO: (Google Toolbar Notifier BHO) - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.7.8313.1002\swg.dll (Google Inc.)
O20 - Winlogon\Notify\RelevantKnowledge: DllName - C:\Program Files\RelevantKnowledge\rlls.dll - C:\Program Files\RelevantKnowledge\rlls.dll (TMRG, Inc.)
[2013/02/09 02:12:16 | 000,000,802 | ---- | M] () -- C:\Documents and Settings\Petit bouchon\Menu Démarrer\Programmes\Démarrage\ja.lnk
[2013/02/09 02:12:16 | 000,000,802 | ---- | C] () -- C:\Documents and Settings\Petit bouchon\Menu Démarrer\Programmes\Démarrage\ja.lnk
[2012/11/28 09:42:43 | 000,013,242 | ---- | C] () -- C:\Documents and Settings\Petit bouchon\Application Data\26.exe
[2012/11/28 09:19:06 | 000,013,242 | ---- | C] () -- C:\Documents and Settings\Petit bouchon\Application Data\15.exe
FF - HKLM\software\mozilla\Firefox\Extensions\\{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}: C:\Program Files\RelevantKnowledge\firefox [2012/10/17 13:16:49 | 000,000,000 | ---D | M]
:files
C:\Program Files\Wajam\
C:\Program Files\RelevantKnowledge\

* redemarre le pc sous windows et poste le rapport ici


0
Hop !

========== OTL ==========
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}\ deleted successfully.
C:\Program Files\Wajam\IE\priam_bho.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AA58ED58-01DD-4d91-8333-CF10577473F7}\ deleted successfully.
C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{AF69DE43-7D58-4638-B6FA-CE66B5AD205D}\ deleted successfully.
C:\Program Files\Google\GoogleToolbarNotifier\5.7.8313.1002\swg.dll moved successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RelevantKnowledge\ deleted successfully.
C:\Program Files\RelevantKnowledge\rlls.dll moved successfully.
C:\Documents and Settings\Petit bouchon\Menu Démarrer\Programmes\Démarrage\ja.lnk moved successfully.
File C:\Documents and Settings\Petit bouchon\Menu Démarrer\Programmes\Démarrage\ja.lnk not found.
C:\Documents and Settings\Petit bouchon\Application Data\26.exe moved successfully.
C:\Documents and Settings\Petit bouchon\Application Data\15.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\{C7AE725D-FA5C-4027-BB4C-787EF9F8248A} deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{C7AE725D-FA5C-4027-BB4C-787EF9F8248A}\ not found.
C:\Program Files\RelevantKnowledge\firefox\resources\dpjs\lib folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\dpjs\data\.idea\scopes folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\dpjs\data\.idea folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\dpjs\data folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\dpjs folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\api-utils\lib\windows folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\api-utils\lib\utils folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\api-utils\lib\traits folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\api-utils\lib\tabs folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\api-utils\lib\events folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\api-utils\lib\dom folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\api-utils\lib\content folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\api-utils\lib folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\api-utils\data folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\api-utils folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\addon-kit\lib folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\addon-kit\data folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources\addon-kit folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\resources folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\locale folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\defaults\preferences folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox\defaults folder moved successfully.
C:\Program Files\RelevantKnowledge\firefox folder moved successfully.
========== FILES ==========
C:\Program Files\Wajam\Updater folder moved successfully.
C:\Program Files\Wajam\IE folder moved successfully.
C:\Program Files\Wajam\Firefox folder moved successfully.
C:\Program Files\Wajam folder moved successfully.
C:\Program Files\RelevantKnowledge\components folder moved successfully.
C:\Program Files\RelevantKnowledge folder moved successfully.

OTLPE by OldTimer - Version 3.1.39.0 log created on 02092013_210051
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
Ca donne quoi ?
tjrs le virus gendarmerie ?
0
J'attendais sagement que tu me donnes le feu vert pour relancer la machine. C'est maintenant fait et ça remarche !!!

Merci beaucoup ! Y'a les icones du bureau qui se sont fait la malle. Mais bon je devrais réussir à les faire réapparaître en cherchant un peu :)
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
Tu as installé quelques programmes parasites, pour les supprimer :

Télécharge http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan (Pas besoin de faire de Recherche avant).
Une fois le scan fini, un rapport s'ouvrira. Poste le contenu du rapport dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt



~~

Sécurise ton PC !

Important - ton infection est venue par un exploit sur site web :

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Filtrer les PUPs/Adwares les plus fréquents avec HOSTS Anti-PUPs/Adwares : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html


0
Voilà le rapport, j'ai finalisé mes mises à jours open office, java, adobe et flash. C'est déjà ça de fait.

# AdwCleaner v2.111 - Rapport créé le 09/02/2013 à 21:39:50
# Mis à jour le 05/02/2013 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Petit bouchon - CLAIRE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Petit bouchon\Mes documents\Téléchargements\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : WajamUpdater

***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\RelevantKnowledge
Dossier Supprimé : C:\Documents and Settings\Petit bouchon\Local Settings\Application Data\Ilivid Player
Dossier Supprimé : C:\Documents and Settings\Petit bouchon\Local Settings\Application Data\Wajam
Dossier Supprimé : C:\Documents and Settings\Petit bouchon\Menu Démarrer\Programmes\Wajam
Dossier Supprimé : C:\Program Files\Ilivid

***** [Registre] *****

Clé Supprimée : HKCU\Software\ilivid
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83FF80F4-8C74-4B80-B5BA-C8DDD434E5C4}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Clé Supprimée : HKCU\Software\Wajam
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{1FAEE6D5-34F4-42AA-8025-3FD8F3EC4634}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D616A4A2-7B38-4DBC-9093-6FE7A4A21B17}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\priam_bho.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Applications\ilividsetupv1.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{5D64294B-1341-4FE7-B6D8-7C36828D4DD5}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Clé Supprimée : HKLM\SOFTWARE\Classes\ilivid
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{431532BD-0AE1-4ABC-BE8C-919F3D1332E2}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{095BFD3C-4602-4FE1-96F1-AEFAFBFD067D}
Clé Supprimée : HKLM\SOFTWARE\Classes\wajam.WajamBHO
Clé Supprimée : HKLM\SOFTWARE\Classes\wajam.WajamBHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\wajam.WajamDownloader
Clé Supprimée : HKLM\SOFTWARE\Classes\wajam.WajamDownloader.1
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\mkndcbhcgphcfkkddanakjiepeknbgle
Clé Supprimée : HKLM\Software\ilivid
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RelevantKnowledge
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A7A6995D-6EE1-4FD1-A258-49395D5BF99C}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ilivid
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Wajam
Clé Supprimée : HKLM\Software\Wajam
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\WajamUpdater

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.18702

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v13.0.1 (fr)

Fichier : C:\Documents and Settings\Petit bouchon\Application Data\Mozilla\Firefox\Profiles\szp6hid6.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [3965 octets] - [09/02/2013 21:39:50]

########## EOF - C:\AdwCleaner[S1].txt - [4025 octets] ##########
0
Je reviens sur le sujet après un moment car lié à cela j'ai un autre problème. Les icônes du bureau ont disparu. Je pensais pouvoir régler le problème mais c'est plus complexe qu'il n'y parait.

Je commence par faire ctrl alt sup pour accéder au gestionnaire des tâches, message d'erreur Le gestionnaire des tâches a été désactivé par votre administrateur. Bon je tape regedit dans executer et là j'ai la modification du registre a été modifié par votre admin...

Du coup là je coince parce que je suis bien sur le compte admistrateur j'ai été vérifier dans le panneau de config.

Merci pour celui qui reprendra le prob.
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy)
[*] Quitter tous les programmes
[*] Lancer RogueKiller.exe.
[*] Attendre que le Prescan ait fini ...
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

0
Hop c'est fait !

RogueKiller V8.5.2 [Feb 23 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : Petit bouchon [Droits d'admin]
Mode : Suppression -- Date : 24/02/2013 18:53:42
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤
[RUN][ROGUE ST] HKLM\[...]\Policies\Explorer\\Run : 23918 (C:\Documents and Settings\All Users\Local Settings\Temp\msrkieh.com) -> SUPPRIMÉ
[DNS] HKLM\[...]\ControlSet003\Services\Tcpip\Interfaces\{E5781A24-1F65-4E93-9942-DF98E5DBA002} : NameServer (91.121.19.195,212.27.40.241) -> NON SUPPRIMÉ, UTILISER DNS RAZ
[HJPOL] HKCU\[...]\System : DisableTaskMgr (1) -> SUPPRIMÉ
[HJPOL] HKCU\[...]\System : DisableRegistryTools (1) -> SUPPRIMÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REMPLACÉ (1)
[HJ SMENU] HKLM\[...]\Advanced : Start_ShowRecentDocs (0) -> REMPLACÉ (1)
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[25] : NtClose @ 0x8056F8D7 -> HOOKED (Unknown @ 0xA198F17C)
SSDT[41] : NtCreateKey @ 0x80578ABE -> HOOKED (Unknown @ 0xA198F136)
SSDT[50] : NtCreateSection @ 0x8056DB66 -> HOOKED (Unknown @ 0xA198F186)
SSDT[53] : NtCreateThread @ 0x805860C0 -> HOOKED (Unknown @ 0xA198F12C)
SSDT[63] : NtDeleteKey @ 0x8059A5CD -> HOOKED (Unknown @ 0xA198F13B)
SSDT[65] : NtDeleteValueKey @ 0x805991EC -> HOOKED (Unknown @ 0xA198F145)
SSDT[68] : NtDuplicateObject @ 0x8057DDAF -> HOOKED (Unknown @ 0xA198F177)
SSDT[98] : NtLoadKey @ 0x805D608D -> HOOKED (Unknown @ 0xA198F14A)
SSDT[122] : NtOpenProcess @ 0x8057BB80 -> HOOKED (Unknown @ 0xA198F118)
SSDT[128] : NtOpenThread @ 0x80596A0F -> HOOKED (Unknown @ 0xA198F11D)
SSDT[177] : NtQueryValueKey @ 0x80572F19 -> HOOKED (Unknown @ 0xA198F19F)
SSDT[193] : NtReplaceKey @ 0x8065724C -> HOOKED (Unknown @ 0xA198F154)
SSDT[200] : NtRequestWaitReplyPort @ 0x8057D89E -> HOOKED (Unknown @ 0xA198F190)
SSDT[204] : NtRestoreKey @ 0x80656DE1 -> HOOKED (Unknown @ 0xA198F14F)
SSDT[213] : NtSetContextThread @ 0x8063628D -> HOOKED (Unknown @ 0xA198F18B)
SSDT[237] : NtSetSecurityObject @ 0x8059EC29 -> HOOKED (Unknown @ 0xA198F195)
SSDT[247] : NtSetValueKey @ 0x8057B4EF -> HOOKED (Unknown @ 0xA198F140)
SSDT[255] : NtSystemDebugControl @ 0x80651B27 -> HOOKED (Unknown @ 0xA198F19A)
SSDT[257] : NtTerminateProcess @ 0x8058E6B9 -> HOOKED (Unknown @ 0xA198F127)
S_SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xA198F1AE)
S_SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xA198F1B3)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: Hitachi HTS545016B9A300 +++++
--- User ---
[MBR] 31509831bce885f591e8d2f1bf307496
[BSP] acf890db75b18c100f384e2311eac03b : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] COMPAQ (0x12) [VISIBLE] Offset (sectors): 2048 | Size: 8192 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 16779264 | Size: 144433 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: Generic- Multi-Card USB Device +++++
--- User ---
[MBR] aaf90f519accd6a548608ac306aeff85
[BSP] df4f83c1f72e36823a12b0dfc7617313 : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT32 (0x0b) [VISIBLE] Offset (sectors): 129 | Size: 1909 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2]_D_24022013_185342.txt >>
RKreport[1]_S_24022013_184950.txt ; RKreport[2]_D_24022013_185342.txt
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
Ca donne quoi les icones ?

Sinon pour voir :

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs




* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
0
Je n'ai pas encore fait tout ça mais je peux accéder à nouveau au registre, faire ctrl alt sup. Les icône ne sont toutefois pas revenues.
0
Impossible de lancer l'analyse d'OTL, ça fait bugger le programme à tout les coups. Avira ne dit rien de particulier. Je l'ai placé sur le bureau en passant par C document en settings puisque j'arrive pas à voir ce qu'il y a sur le bureau.
0
Messages postés
180254
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
26 mars 2021
24 511
Pour faire apparaître les icones, fais un clic droit sur le bureau et regarder dans Afficher.

~~


Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.

0