Rogue et pub/ralentissement

Question

Bonjour, 

J'ai des ralentissements, et pleins de fenêtres intempestives qui s'affichent ainsi qu'un rogue je crois sur mon ordinateur.. J'ai besoin d'aide pour supprimer ces virus


Merci 



Configuration: Windows 7 / Chrome 28.0.1500.72

g3n-h@ckm@n · Answer

salut c'est uoi que tu apelles rogue ?

Ratg · Answer

Salut,

merci d'avoir repondu. Je t'écris depuis un autre ordinateur, l'autre est inutilisable car le rogue "microsoft secuiryty essential alert" bloque et ferme chaque processus donc mon navigateur... J'ai accès au bureau..

g3n-h@ckm@n · Answer

ok si tu fais touche windows + R , et tu tapes : iexplore.exe , le navigateur ne reste pas ouvert ?

Ratg · Answer

Il s'ouvre puis se referme 2-3s après...

g3n-h@ckm@n · Answer

ok fais arrêter le pc puis annule tout de suite après

Ratg · Answer

Je suis sur Win7 si je fais arrêter, je ne vois pas comment annuler après ?

Ratg · Answer

C'est bon ! J'ai fermé la session et j'ai de suite fait win+r iexplore.exe et j'ai internet explorer ouvert. Edit : il vient de fermer..

g3n-h@ckm@n · Answer

ok en mode sans echec avec prise en charge réseau il s'affiche aussi ce truc ?

Ratg · Answer

Oui, il s'affiche aussi, même avec en mode sans échec et prise en charge réseau.

g3n-h@ckm@n · Answer

ok en invité de commandes il doit pas s'afficher

Ratg · Answer

Effectivement ! Je suis en invite de commande en ce moment :) Je fais quoi ?

g3n-h@ckm@n · Answer

tape regedit puis valide par la touche entrée

le registre s'ouvre ?

Ratg · Answer

Oui, le registre s'ouvre :)

g3n-h@ckm@n · Answer

déplie avec les petits "+"

HKEY_CURRENT_USER
\Software
\Microsoft
\Windows NT
\CurrentVersion
\Winlogon

clique gauche sur winlogon

tableau de droite , y'a-t-il une valeur shell ?

Ratg · Answer

Oui, il y en a une la voici :

C:\Users\Quentin\AppData\Roaming\Microsoft\replxc.exe

g3n-h@ckm@n · Answer

bien clique droit sur "shell" => supprimer

Ratg · Answer

C'est fait ! Je redémarre en mode normal ?

Je reviens, je vais manger.

g3n-h@ckm@n · Answer

normalement ton pc devrait redemarrer en mode normal

suite à cela , on l'achève :

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

http://services.service-webmaster.fr/cpt-clics/clics-30453-6820.html (renommé winlogon)

ou

http://www.security-helpzone.com/Tools/g3n/winlogon.exe (renommé winlogon)

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec ces autres extensions :

http://www.security-helpzone.com/Tools/g3n/Pre_Scan.scr
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.pif
http://www.security-helpzone.com/Tools/g3n/Pre_Scan.com

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

l'outil va envoyer sur un serveur les virus qu'il a mis en quarantaine afin que je puisse l'ameliorer et etudier ces infections plus en profondeur.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ratg · Answer

Ok, je fais ça de suite ! J'ai remarqué d'autres problèmes également avec les majs de windows update et l'activation/désactivation du pare-feu, ainsi que la commande "sfc /scannow" qui ne fonctionne pas.

Je reviens !

Ratg · Answer

Re,

voici le rapport : http://cjoint.com/data3/3GxuYXUgzf4.htm Je ne sais pas si il est complet.

Par contre, j'ai eu 2 "error autoit", une au début, et une à la fin.

J'ai téléchargé le fichier, puis comme il était dans 'téléchargement' je l'ai déplacé sur le bureau.

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Windows\system32\Drivers\cqcpu.sys
C:\Windows\system32\Drivers\cpqdfw.sys

    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse.
 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

Ratg · Answer

Les fichiers sont biens là, mais quand je veux l'analyse avec Virus total, il n'affiche pas les fichiers que l'on veut analyser, et bien d'autres..

Ratg · Answer

Bon, j'ai réussi :

https://www.virustotal.com/fr/file/65c7a301b5fd07248435988570dcb1352744b7ddc35b39c1d10c0b34be170a9b/analysis/1374609027/

https://www.virustotal.com/fr/file/6cf0dada5f050edbed15e8b67544b1e129fef608642712e92a733f4f520429d3/analysis/1374609083/

g3n-h@ckm@n · Answer

ok relance pre_scan , clique sur diag et heberge le rapport c:\pre_diag_xx_xx_xx.txt sur https://www.cjoint.com/ et donne le lien

Ratg · Answer

Le voici : http://cjoint.com/data3/3Gxwq69FdRZ.htm

g3n-h@ckm@n · Answer

poulala !!!

 Télécharge et enregistre (lien direct) ADWCleaner sur ton bureau :

attends que la fenetre de confirmation de telechargement arrive

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt

Ratg · Answer

Et voilà : http://cjoint.com/data3/3Gxw0uS2qwL.htm

g3n-h@ckm@n · Answer

supprime pre_scan , retelecharge-le , puis refais l option Scan|kill au menu qu'il te proposera et donne le noouveau lien du rapport hebergé

il y' a des modifications qui auraient du avoir lieu et qui n'ont pas eu lieu (les messages d'erreur ne devraient plus être là je viens d'apporter les modifications necessaires)

rappel d'un lien pour le telecharger :

http://www.archive-host.com


 
¤¤¤¤¤¤¤¤¤¤_Pre_Scan_Concept_¤¤¤¤¤¤¤¤¤¤
Windows 8 => meme flop que Vista X 10

Ratg · Answer

J'ai un message d'erreur dès lors que je veux supprimer un fichier :

- https://www.dropbox.com/s/vslq9dmyd8rzkgz/Sans%20titre.png

Quand, je veux executer la commande scan/kill j'ai également ce message.

Ratg · Answer

J'ai résolu mon problème. Je t'envoie le fichier plus tard^^

Ratg · Answer

Et voici, désolé du retard : http://cjoint.com/data3/3Gyn4rjmKKR.htm

g3n-h@ckm@n · Answer

si tu desactives pas microsoft security essentials comme demandé pour l utilisation des outils ca le fait pas, à l'utilisation de chaque outil il faut le desactiver

==

relance l'outil , clique sur diag , puis heberge le rapport c:\pre_diag_xx_xx_xx.txt sur https://www.cjoint.com/ et donne le lien

Ratg · Answer

Voilà le rapport : http://cjoint.com/data3/3Gyokv9Q2w4.htm

g3n-h@ckm@n · Answer

refais une suppression avec adwcleaner en mode sans echec stp

Ratg · Answer

Voici : http://cjoint.com/data3/3GyoI2V5oXO.htm

g3n-h@ckm@n · Answer

moué bon je vais te faire un script un peu de patience

g3n-h@ckm@n · Answer

desinstalle tout Java
desinstalle google toolbar

==

 à mon avis je ne sais pas ce que tu fais avec ton pc mais ca m'a pas l'air très honnète :

aspirateur de site
cr@cks
doc pour le h@cking
ophcr@ck ,
wireshark pour la surveillance reseau
Tor

et j'en passe......
 
=====

sélectionne ce texte , puis CTRL + C :

Kill::

Key::
[HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{d944bb61-2e34-4dbf-a683-47e505c587dc}]
[HKU\S-1-5-21-129691596-3976998974-627523365-1000\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{d944bb61-2e34-4dbf-a683-47e505c587dc}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{d944bb61-2e34-4dbf-a683-47e505c587dc}]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110211101158}] 
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{31111111-1111-1111-1111-110211101158}]
[HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{508A6174-A511-446A-A97F-35BC6C6C7449}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110211101158}] 
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{31111111-1111-1111-1111-110211101158}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{508A6174-A511-446A-A97F-35BC6C6C7449}]
[HKU\S-1-5-21-129691596-3976998974-627523365-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{99079A25-328F-4BD4-BE04-00955ACAA0A7},]     
[HKU\S-1-5-21-129691596-3976998974-627523365-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{9D717F81-9148-4f12-8568-69135F087DB0},]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}] 
[HKCR\CLSID\{8AD9C840-044E-11D1-B3E9-00805F499D93}] 
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0017-0000-0007-ABCDEFFEDCBA}] 
[HKCR\CLSID\{CAFEEFAC-0017-0000-0007-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKCR\CLSID\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]   
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0017-0000-0005-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0017-0000-0007-ABCDEFFEDCBA}]
[HKLM\SOFTWARE\Wow6432Node\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}]
[HKLM\Software\Savings Explorer] 
[HKLM\Software\Wow6432Node\Savings Explorer] 

File|Fold::
C:\Program Files (x86)\GUM70D7.tmp 
C:\Windows\system32	lxFA67.tmp 
C:\Windows\system32\uploads-aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa.jpg.lnk 
C:\Windows\22FC7536BE5C4E888069C24689D34EC5.TMP 
C:\Windows\ø÷B 
C:\Users\Quentin\.pr_stat_data 
C:\Users\Quentin\Downloads\cr*.zip     
C:\Users\Quentin\Downloads\key*.rar     
C:\Users\Quentin\Downloads\SYS*.rar     
C:\Windows\system32\config\systemprofile\AppData\Roaming\GhostObjGAFix.xml 
C:\Users\Quentin\AppData\Local\TempradAC0A8.tmp 
C:\Users\Quentin\AppData\Local\_ 
C:\Windows\System32\Tasks\CreateChoiceProcessTask         
C:\Windows\System32\Tasks\Torntv 2-codedownloader   
C:\Windows\System32\Tasks\Torntv 2-enabler         

Driver::
04615352

MBR::

Clean::

Reboot::

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

Ratg · Answer

Re,


Non non, je ne fais rien d'illégal, je me passionne pour l'informatique rien de plus et les logiciels que tu as cités sont tous disponibles en téléchargements sur CCM :)



Voici le rapport : http://cjoint.com/data3/3GypJ2Azi5U.htm

g3n-h@ckm@n · Answer

je savais pas que ccm fournissait des cr@cks...

Ratg · Answer

Ah non pas les cracks effectivement ^^

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

Ratg · Answer

Voici le rapport : 24/07/2013 15:51:38
MBAM-log-2013-07-24 (16-37-21).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 485417
Temps écoulé: 45 minute(s), 22 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Pre_Scan\Quarantine\C'_Users_Quentin_Downloads_keykeygen.rar .P_S (Trojan.Agent.CK) -> Aucune action effectuée.

(fin)


Je n'ai encore appliquée aucune action.




Edit, voilà :



Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16635
Quentin :: QUENTIN-HP [administrateur]

24/07/2013 15:51:38
mbam-log-2013-07-24 (15-51-38).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 485417
Temps écoulé: 45 minute(s), 22 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Pre_Scan\Quarantine\C'_Users_Quentin_Downloads_keykeygen.rar .P_S (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.

(fin)

g3n-h@ckm@n · Answer

bien encore des soucis ?

Ratg · Answer

Non, plus aucun, c'est nickel ! On a terminé je suppose ? 

Merci g3n-h@ckm@n !

g3n-h@ckm@n · Answer

reste le ménage à faire , faut finir en beauté :)

https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

Ratg · Answer

J'ai tout fait !

Voici le rapport de Delfix :


# DelFix v10.4 - Rapport créé le 24/07/2013 à 21:14:17
# Mis à jour le 19/07/2013 par Xplode
# Nom d'utilisateur : Quentin - QUENTIN-HP
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\pre_scan
Supprimé : C:\AdwCleaner[S8].txt
Supprimé : C:\Pre_Diag_23_07_2013_22_16_21.txt
Supprimé : C:\Pre_Diag_24_07_2013_14_09_14.txt
Supprimé : C:\Pre_Scan_24_07_2013_13_53_28.txt
Supprimé : C:\Users\Quentin\Downloads\adwcleaner.exe
Supprimée : HKCU\Software\g3n-h@ckm@n
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\g3n-h@ckm@n

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

Supprimé : RP #483 [Installé SCRABBLE® 2005 DEMO FR | 07/23/2013 13:29:54]
Supprimé : RP #484 [Windows Update | 07/23/2013 20:49:09]
Supprimé : RP #485 [Installé TuneUp Utilities 2011 | 07/24/2013 00:20:33]
Supprimé : RP #486 [Supprimé TuneUp Utilities 2011 | 07/24/2013 00:52:23]
Supprimé : RP #487 [Supprimé TuneUp Utilities Language Pack (fr-FR) | 07/24/2013 00:53:02]
Supprimé : RP #488 [Installé TuneUp Utilities 2013 | 07/24/2013 00:55:13]
Supprimé : RP #489 [Opération de restauration | 07/24/2013 01:36:47]
Supprimé : RP #490 [Windows Update | 07/24/2013 01:50:36]
Supprimé : RP #491 [Windows Update | 07/24/2013 15:01:05]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########

g3n-h@ckm@n · Answer

heu....t'as reinstallé tune up utilities ?????

Ratg · Answer

Heu.. non Je l'ai désinstallé entre temps. Je pense que ce sont des restes...

g3n-h@ckm@n · Answer

ok donc c'etait juste le point de restauration c'est tout bon :)

Rogue et pub/ralentissement

49 réponses

Votre réponse

Discussions similaires

Newsletters