Virus de redirection ihavenet.fr
Résolu
Senselia
Messages postés
26
Date d'inscription
Statut
Membre
Dernière intervention
-
Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Smart91 Messages postés 29097 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Newsbuster et Ihavenet sont sur mon PC et ces virus de redirection sont persistants. J'ai suivi un tuto pour générer un rapport OTL, voici le lien vers ce rapport. Quelqu'un peut m'aider?
https://pjjoint.malekal.com/files.php?id=20131004_f12z6f9r15o15
Newsbuster et Ihavenet sont sur mon PC et ces virus de redirection sont persistants. J'ai suivi un tuto pour générer un rapport OTL, voici le lien vers ce rapport. Quelqu'un peut m'aider?
https://pjjoint.malekal.com/files.php?id=20131004_f12z6f9r15o15
A voir également:
- Virus de redirection ihavenet.fr
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Message virus iphone site adulte - Forum iPhone
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
48 réponses
Je voudrais vérifier quelque chose:
- Télécharge RegToolExport de Xplode sur ton bureau
- Double-clique sur l'icône pour exécuter l'outil (Vista/7 --> clic droit et "exécuter en tant qu'administrateur")
- Copie- la ou les clés en gras ci-dessous
---------------------------------------------------
[HKEY_CURRENT_USER\Software\CWBBKF]
---------------------------------------------------
- Colle-la dans la zone de saisie
- Puis clique sur Exporter
- Dans la fenêtre qui s'ouvre, choisis le bureau comme emplacement d'enregistrement
- A "nom de fichier", indique : Export_Date_heure.reg
- Clique sur Enregistrer
- Un message de bonne fin va apparaître "Clé exportée avec succès"
- La clé ainsi exportée Export_Date_heure.reg Export_Date_heure.reg se trouvera sur le bureau
- Poste ce fichier via cijoint
Il faut renommer ce fichier en .txt. Pour cela va sur ce lien et suis la procédure pour afficher les extensions.
Ensuite renomme le fichier Export_Date_heure.reg Export_Date_heure.reg en
Export_Date_heure.reg Export_Date_heure.txt
Et poste le via pjjoint
Smart
- Télécharge RegToolExport de Xplode sur ton bureau
- Double-clique sur l'icône pour exécuter l'outil (Vista/7 --> clic droit et "exécuter en tant qu'administrateur")
- Copie- la ou les clés en gras ci-dessous
---------------------------------------------------
[HKEY_CURRENT_USER\Software\CWBBKF]
---------------------------------------------------
- Colle-la dans la zone de saisie
- Puis clique sur Exporter
- Dans la fenêtre qui s'ouvre, choisis le bureau comme emplacement d'enregistrement
- A "nom de fichier", indique : Export_Date_heure.reg
- Clique sur Enregistrer
- Un message de bonne fin va apparaître "Clé exportée avec succès"
- La clé ainsi exportée Export_Date_heure.reg Export_Date_heure.reg se trouvera sur le bureau
- Poste ce fichier via cijoint
Il faut renommer ce fichier en .txt. Pour cela va sur ce lien et suis la procédure pour afficher les extensions.
Ensuite renomme le fichier Export_Date_heure.reg Export_Date_heure.reg en
Export_Date_heure.reg Export_Date_heure.txt
Et poste le via pjjoint
Smart
J'ai la clé exportée. Je suis allée sur cjoint.com mais je n'ai pas trouvé comment changer l'extension. Est-ce que ça peut marcher si je la change manuellement depuis l'icône du fichier sur le bureau?
Oui tu le peux à la condition que tu vois le .reg et dans ce cas tu fais clic droit sur le fichier > renommer et tu remplaces . reg par .txt
Si tu ne vois pas .reg derrière le nom du fichier cela veut dire que tu n'as fais la procédure pour afficher l'extension.
Smart
Si tu ne vois pas .reg derrière le nom du fichier cela veut dire que tu n'as fais la procédure pour afficher l'extension.
Smart
J'ai changé manuellement le nom de l'extension:
https://pjjoint.malekal.com/files.php?id=20131007_p7k10i8d6g8
https://pjjoint.malekal.com/files.php?id=20131007_p7k10i8d6g8
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bon il y a encore des traces:
- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
--------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD]
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven]
:commands
[emptytemp]
[Reboot]
--------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
--------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD]
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven]
:commands
[emptytemp]
[Reboot]
--------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
Voici le rapport de OTM:
All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven\ not found.
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD\ scheduled to be deleted on reboot.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Public
User: Sarah
->Temp folder emptied: 42033171 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 15814739 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 492 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9162 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 55,00 mb
OTM by OldTimer - Version 3.1.21.0 log created on 10072013_161555
Files moved on Reboot...
C:\Users\Sarah\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
Registry entries deleted on Reboot...
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD\ scheduled to be deleted on reboot.
All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven\ not found.
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD\ scheduled to be deleted on reboot.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Public
User: Sarah
->Temp folder emptied: 42033171 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 15814739 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 492 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9162 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 55,00 mb
OTM by OldTimer - Version 3.1.21.0 log created on 10072013_161555
Files moved on Reboot...
C:\Users\Sarah\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
Registry entries deleted on Reboot...
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD\ scheduled to be deleted on reboot.
Si le PC n'a pas redémarré, fais le.
Ensuite refais un scan ZHPDiag, toujours en suivant la procédure donnée et poste le rapport via pjjoint.
Normalement on doit passer à la phase finale
Smart
Ensuite refais un scan ZHPDiag, toujours en suivant la procédure donnée et poste le rapport via pjjoint.
Normalement on doit passer à la phase finale
Smart
Tu as téléchargé des logiciels (sweetpacks bundle uninstaller) pendant la désinfection et tu te retrouves avec un PUP: SWEETIM
De plus il tous ces fichiers qui se lancent au démarrage de ton PC et qui n'étaient pas présents auparavant
nuwnab.exe
okuoud.exe
ujepke.exe
udabuj.exe
laelwn.exe
awlanu.exe
Tu as aussi installé Photoshop entre-temps
Il va être difficile de continuer dans ces conditions
Faut recommencer.
Je voudrais que tu fasses ceci:
* Va sur ce lien https://www.luanagames.com/index.fr.html (par tigzy)
* Clique sur l'icône RogueKiller qui correspond à ta version de Windows (Dans ton cas c'est la version 64 bits) pour télécharger RogueKiller
* Dans ton cas c'est la version 64 bits
* Quitte tous les programmes en cours
* Lance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse
* Notes:
- Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou alors renomme le en winlogon.exe.
- Un tutoriel pour t'aider.
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
De plus il tous ces fichiers qui se lancent au démarrage de ton PC et qui n'étaient pas présents auparavant
nuwnab.exe
okuoud.exe
ujepke.exe
udabuj.exe
laelwn.exe
awlanu.exe
Tu as aussi installé Photoshop entre-temps
Il va être difficile de continuer dans ces conditions
Faut recommencer.
Je voudrais que tu fasses ceci:
* Va sur ce lien https://www.luanagames.com/index.fr.html (par tigzy)
* Clique sur l'icône RogueKiller qui correspond à ta version de Windows (Dans ton cas c'est la version 64 bits) pour télécharger RogueKiller
* Dans ton cas c'est la version 64 bits
* Quitte tous les programmes en cours
* Lance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse
* Notes:
- Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou alors renomme le en winlogon.exe.
- Un tutoriel pour t'aider.
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Dsl j'ai réinstallé photoshop il s'était bloqué entre temps. Voici le rapport:
RogueKiller V8.7.1 _x64_ [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Sarah [Droits d'admin]
Mode : Recherche -- Date : 10/07/2013 20:53:28
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 16 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - Hitachi HTS547575A9E384 +++++
--- User ---
RogueKiller V8.7.1 _x64_ [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Sarah [Droits d'admin]
Mode : Recherche -- Date : 10/07/2013 20:53:28
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 16 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - Hitachi HTS547575A9E384 +++++
--- User ---
Le rapport n'est pas complet
* Relance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan
* Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse
Smart
* Relance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan
* Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse
Smart
Voici le rapport complet:
RogueKiller V8.7.1 _x64_ [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Sarah [Droits d'admin]
Mode : Suppression -- Date : 10/07/2013 21:45:25
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 16 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - Hitachi HTS547575A9E384 +++++
--- User ---
[MBR] 63e96963840d00dda60bb80fc95100e6
[BSP] e4fcabd3bc19c2cc688b48a4ae66588e : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 690027 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1413584896 | Size: 21114 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1456826368 | Size: 4062 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_D_10072013_214525.txt >>
RKreport[0]_S_10072013_195420.txt;RKreport[0]_S_10072013_205328.txt;RKreport[0]_S_10072013_214514.txt
RogueKiller V8.7.1 _x64_ [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Sarah [Droits d'admin]
Mode : Suppression -- Date : 10/07/2013 21:45:25
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 16 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - Hitachi HTS547575A9E384 +++++
--- User ---
[MBR] 63e96963840d00dda60bb80fc95100e6
[BSP] e4fcabd3bc19c2cc688b48a4ae66588e : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 690027 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1413584896 | Size: 21114 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1456826368 | Size: 4062 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_D_10072013_214525.txt >>
RKreport[0]_S_10072013_195420.txt;RKreport[0]_S_10072013_205328.txt;RKreport[0]_S_10072013_214514.txt
OK.
* Relance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* <gras>Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Oui
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
* Relance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* <gras>Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Oui
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Redémarre le PC. Relance MBAM et vide la quarantaine.
Refais un scan ZHPDiag toujours en suivant la procédure donnée, poste le rapport via pjjoint.
Et j'espère que cette fois-ci sera la bonne.
Smart
Refais un scan ZHPDiag toujours en suivant la procédure donnée, poste le rapport via pjjoint.
Et j'espère que cette fois-ci sera la bonne.
Smart
C'est mieux. On va supprimer les restes:
- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
--------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD]
:Files
C:\Program Files (x86)\sweetpacks bundle uninstaller
C:\Users\Sarah\AppData\Roaming\asepel
C:\Users\Sarah\AppData\Roaming\buasep
C:\Users\Sarah\AppData\Roaming\elnude
C:\Users\Sarah\AppData\Roaming\epeluo
C:\Users\Sarah\AppData\Roaming\ewabja
C:\Users\Sarah\AppData\Roaming\weelnu
C:\Users\Sarah\AppData\Roaming\wnbuas
:commands
[emptytemp]
[Reboot]
--------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
--------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD]
:Files
C:\Program Files (x86)\sweetpacks bundle uninstaller
C:\Users\Sarah\AppData\Roaming\asepel
C:\Users\Sarah\AppData\Roaming\buasep
C:\Users\Sarah\AppData\Roaming\elnude
C:\Users\Sarah\AppData\Roaming\epeluo
C:\Users\Sarah\AppData\Roaming\ewabja
C:\Users\Sarah\AppData\Roaming\weelnu
C:\Users\Sarah\AppData\Roaming\wnbuas
:commands
[emptytemp]
[Reboot]
--------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
Si le PC n'a pas redémarré, fais le.
Refais un scan ZHPDiag en suivant la procédure donnée et poste le rapport
Smart
Refais un scan ZHPDiag en suivant la procédure donnée et poste le rapport
Smart
Voici le rapport du scan ZHPDiag:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131010_j12j6x10f5h5
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131010_j12j6x10f5h5
