sans doute infecté Résolu/Fermé

Question

bonsoir
sous seven et une marque hp, je viens vers vous pour ce qui me semble une infection .
c'est le pc de ma fille et elle m'a indiqué qu'il ne démarré plus ou plutôt il était bloqué sur la page démarrage de windows 
j'ai réussi tant bien que mal a le redémarrer en mode sans échec et restaurer a une date antérieure puis redémarrer celui ci, une analyse avec adwcleaner ayant trouvé quelque chose je me remets a un expert pour poursuivre car il est impossible de faire les 13 mises a jours de windows update car au redémarrage il reste bloqué sur ne pas eteindre votre pc windows installe les mises a jour et je suis obligé de l'arrêter sauvagement et retourner en mode sans échec pour redémarrer le pc 
merci de votre aide
voici le rapoort adwcleaner:
# AdwCleaner v2.112 - Rapport créé le 16/02/2013 à 18:08:09
# Mis à jour le 10/02/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : pauline - PAULINE-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\pauline\Downloads\adwcleaner0.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16457

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v18.0.2 (fr)

Fichier : C:\Users\pauline\AppData\Roaming\Mozilla\Firefox\Profiles\osng656z.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\pauline\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S6].txt - [1135 octets] - [16/02/2013 18:08:09]

########## EOF - C:\AdwCleaner[S6].txt - [1195 octets] ##########



Configuration: Windows 7 / Firefox 18.0

Malekal_morte- · Answer

Salut,

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s   
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%systemroot%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe   
wininit.exe   
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT   
nslookup www.google.fr /c   
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs    



* Clique sur le bouton Analyse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message. 
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT

cireluz · Answer

bonsoir et merci de votre aide
voici le rapport:
http://pjjoint.malekal.com/files.php?id=20130216_t5w13f15n12e15

Malekal_morte- · Answer

Manque le rapport OTL.txt

cireluz · Answer

c' est quoi cela?

cireluz · Answer

ok vu il était tout en bas je vous le joint
http://pjjoint.malekal.com/files.php?id=20130216_p14f14c12y12c8

Malekal_morte- · Answer

C'est encore Extra.Txt 
Il faut OTL.txt

cireluz · Answer

je n'ai que ces 2 fichiers
http://pjjoint.malekal.com/files.php?id=20130216_j7b7s6s10v7
http://pjjoint.malekal.com/files.php?id=20130216_e13s8i6z6p8

Malekal_morte- · Answer

[*] Télécharger sur le bureau https://www.luanagames.com/index.fr.html (by tigzy) 
[*] Quitter tous les programmes 
[*] Lancer RogueKiller.exe. 
[*] Attendre que le Prescan ait fini ... 
[*] Lance un scan afin de débloquer le bouton Suppression à droite.
[*] Clic sur Suppression.
Poste le rapport ici.

!!! Je répète bien faire Suppression à droite et poster le rapport. !!!

cireluz · Answer

j'ai 2 rapports RogueKiller V8.5.1 [Feb 12 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : pauline [Droits d'admin] Mode : Recherche -- Date : 16/02/2013 22:24:13 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD10EADS-65L5B1 ATA Device +++++ --- User --- [MBR] 1b0c1010f3bf82905b9cc9ddc5ce62ec [BSP] 1131fcf4042911aaa42555bcb9ac65fd : Windows Vista/7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 939536 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1924377025 | Size: 14230 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1]_S_16022013_222413.txt >> RKreport[1]_S_16022013_222413.txt RogueKiller V8.5.1 [Feb 12 2013] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version Demarrage : Mode normal Utilisateur : pauline [Droits d'admin] Mode : Suppression -- Date : 16/02/2013 22:25:52 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 2 ¤¤¤ [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0) [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: WDC WD10EADS-65L5B1 ATA Device +++++ --- User --- [MBR] 1b0c1010f3bf82905b9cc9ddc5ce62ec [BSP] 1131fcf4042911aaa42555bcb9ac65fd : Windows Vista/7/8 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo 1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 939536 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1924377025 | Size: 14230 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[2]_D_16022013_222552.txt >> RKreport[1]_S_16022013_222413.txt ; RKreport[2]_D_16022013_222552.txt

Malekal_morte- · Answer

Pas infecté.
Essaye ça : https://forum.malekal.com/viewtopic.php?t=42232&start=

Des fois que ça débloque les maj.

cireluz · Answer

bonjour et merci il y avait quand meme quelque chose car hier je n'arrivait pas a faire les mises a jour et ce matin tout va bien de nouveau !!
merci pour ta rapidité message posté à 20h27 et réponse à 20h27
merci et A+:))

Sans doute infecté

11 réponses

Discussions similaires