Virus de redirection ihavenet.fr
Résolu/Fermé
Senselia
Messages postés
26
Date d'inscription
vendredi 4 octobre 2013
Statut
Membre
Dernière intervention
20 novembre 2014
-
4 oct. 2013 à 17:24
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 10 oct. 2013 à 22:39
Smart91 Messages postés 29096 Date d'inscription dimanche 15 juillet 2007 Statut Contributeur sécurité Dernière intervention 5 avril 2014 - 10 oct. 2013 à 22:39
A voir également:
- Virus de redirection ihavenet.fr
- Svchost.exe virus - Guide
- Vérificateur de lien virus - Guide
- L'url suivante, censée aboutir à un article, donne lieu à une redirection indiquant que la page n'a pas été trouvée. retrouvez la page recherchée. reportez le titre de l’article et son auteur. - Forum Microsoft Edge / Internet Explorer
- Virus de redirection bing windows ✓ - Forum Virus
- Faux message virus iphone - Forum iPhone
48 réponses
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
6 oct. 2013 à 16:17
6 oct. 2013 à 16:17
Je voudrais vérifier quelque chose:
- Télécharge RegToolExport de Xplode sur ton bureau
- Double-clique sur l'icône pour exécuter l'outil (Vista/7 --> clic droit et "exécuter en tant qu'administrateur")
- Copie- la ou les clés en gras ci-dessous
---------------------------------------------------
[HKEY_CURRENT_USER\Software\CWBBKF]
---------------------------------------------------
- Colle-la dans la zone de saisie
- Puis clique sur Exporter
- Dans la fenêtre qui s'ouvre, choisis le bureau comme emplacement d'enregistrement
- A "nom de fichier", indique : Export_Date_heure.reg
- Clique sur Enregistrer
- Un message de bonne fin va apparaître "Clé exportée avec succès"
- La clé ainsi exportée Export_Date_heure.reg Export_Date_heure.reg se trouvera sur le bureau
- Poste ce fichier via cijoint
Il faut renommer ce fichier en .txt. Pour cela va sur ce lien et suis la procédure pour afficher les extensions.
Ensuite renomme le fichier Export_Date_heure.reg Export_Date_heure.reg en
Export_Date_heure.reg Export_Date_heure.txt
Et poste le via pjjoint
Smart
- Télécharge RegToolExport de Xplode sur ton bureau
- Double-clique sur l'icône pour exécuter l'outil (Vista/7 --> clic droit et "exécuter en tant qu'administrateur")
- Copie- la ou les clés en gras ci-dessous
---------------------------------------------------
[HKEY_CURRENT_USER\Software\CWBBKF]
---------------------------------------------------
- Colle-la dans la zone de saisie
- Puis clique sur Exporter
- Dans la fenêtre qui s'ouvre, choisis le bureau comme emplacement d'enregistrement
- A "nom de fichier", indique : Export_Date_heure.reg
- Clique sur Enregistrer
- Un message de bonne fin va apparaître "Clé exportée avec succès"
- La clé ainsi exportée Export_Date_heure.reg Export_Date_heure.reg se trouvera sur le bureau
- Poste ce fichier via cijoint
Il faut renommer ce fichier en .txt. Pour cela va sur ce lien et suis la procédure pour afficher les extensions.
Ensuite renomme le fichier Export_Date_heure.reg Export_Date_heure.reg en
Export_Date_heure.reg Export_Date_heure.txt
Et poste le via pjjoint
Smart
Senselia
Messages postés
26
Date d'inscription
vendredi 4 octobre 2013
Statut
Membre
Dernière intervention
20 novembre 2014
6 oct. 2013 à 17:21
6 oct. 2013 à 17:21
J'ai la clé exportée. Je suis allée sur cjoint.com mais je n'ai pas trouvé comment changer l'extension. Est-ce que ça peut marcher si je la change manuellement depuis l'icône du fichier sur le bureau?
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
6 oct. 2013 à 19:02
6 oct. 2013 à 19:02
Oui tu le peux à la condition que tu vois le .reg et dans ce cas tu fais clic droit sur le fichier > renommer et tu remplaces . reg par .txt
Si tu ne vois pas .reg derrière le nom du fichier cela veut dire que tu n'as fais la procédure pour afficher l'extension.
Smart
Si tu ne vois pas .reg derrière le nom du fichier cela veut dire que tu n'as fais la procédure pour afficher l'extension.
Smart
Senselia
Messages postés
26
Date d'inscription
vendredi 4 octobre 2013
Statut
Membre
Dernière intervention
20 novembre 2014
7 oct. 2013 à 13:11
7 oct. 2013 à 13:11
J'ai changé manuellement le nom de l'extension:
https://pjjoint.malekal.com/files.php?id=20131007_p7k10i8d6g8
https://pjjoint.malekal.com/files.php?id=20131007_p7k10i8d6g8
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
7 oct. 2013 à 15:27
7 oct. 2013 à 15:27
Bon il y a encore des traces:
- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
--------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD]
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven]
:commands
[emptytemp]
[Reboot]
--------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
- Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
--------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven]
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD]
[-HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven]
:commands
[emptytemp]
[Reboot]
--------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
Senselia
Messages postés
26
Date d'inscription
vendredi 4 octobre 2013
Statut
Membre
Dernière intervention
20 novembre 2014
7 oct. 2013 à 16:21
7 oct. 2013 à 16:21
Voici le rapport de OTM:
All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven\ not found.
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD\ scheduled to be deleted on reboot.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Public
User: Sarah
->Temp folder emptied: 42033171 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 15814739 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 492 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9162 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 55,00 mb
OTM by OldTimer - Version 3.1.21.0 log created on 10072013_161555
Files moved on Reboot...
C:\Users\Sarah\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
Registry entries deleted on Reboot...
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD\ scheduled to be deleted on reboot.
All processes killed
========== REGISTRY ==========
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven\ not found.
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD\ scheduled to be deleted on reboot.
Registry key HKEY_LOCAL_MACHINE\Software\Wow6432Node\Feven\ not found.
========== COMMANDS ==========
[EMPTYTEMP]
User: All Users
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
User: Public
User: Sarah
->Temp folder emptied: 42033171 bytes
->Temporary Internet Files folder emptied: 33170 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 15814739 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 492 bytes
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 9162 bytes
%systemroot%\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\system32\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\LocalLow\Sun\Java\Deployment folder emptied: 0 bytes
RecycleBin emptied: 0 bytes
Total Files Cleaned = 55,00 mb
OTM by OldTimer - Version 3.1.21.0 log created on 10072013_161555
Files moved on Reboot...
C:\Users\Sarah\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
Registry entries deleted on Reboot...
Registry delete failed. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD\ scheduled to be deleted on reboot.
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
7 oct. 2013 à 16:29
7 oct. 2013 à 16:29
Si le PC n'a pas redémarré, fais le.
Ensuite refais un scan ZHPDiag, toujours en suivant la procédure donnée et poste le rapport via pjjoint.
Normalement on doit passer à la phase finale
Smart
Ensuite refais un scan ZHPDiag, toujours en suivant la procédure donnée et poste le rapport via pjjoint.
Normalement on doit passer à la phase finale
Smart
Senselia
Messages postés
26
Date d'inscription
vendredi 4 octobre 2013
Statut
Membre
Dernière intervention
20 novembre 2014
7 oct. 2013 à 16:38
7 oct. 2013 à 16:38
Voici le rapport:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131007_s12e15f11f7z8
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131007_s12e15f11f7z8
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
Modifié par Smart91 le 7/10/2013 à 19:36
Modifié par Smart91 le 7/10/2013 à 19:36
Tu as téléchargé des logiciels (sweetpacks bundle uninstaller) pendant la désinfection et tu te retrouves avec un PUP: SWEETIM
De plus il tous ces fichiers qui se lancent au démarrage de ton PC et qui n'étaient pas présents auparavant
nuwnab.exe
okuoud.exe
ujepke.exe
udabuj.exe
laelwn.exe
awlanu.exe
Tu as aussi installé Photoshop entre-temps
Il va être difficile de continuer dans ces conditions
Faut recommencer.
Je voudrais que tu fasses ceci:
* Va sur ce lien https://www.luanagames.com/index.fr.html (par tigzy)
* Clique sur l'icône RogueKiller qui correspond à ta version de Windows (Dans ton cas c'est la version 64 bits) pour télécharger RogueKiller
* Dans ton cas c'est la version 64 bits
* Quitte tous les programmes en cours
* Lance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse
* Notes:
- Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou alors renomme le en winlogon.exe.
- Un tutoriel pour t'aider.
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
De plus il tous ces fichiers qui se lancent au démarrage de ton PC et qui n'étaient pas présents auparavant
nuwnab.exe
okuoud.exe
ujepke.exe
udabuj.exe
laelwn.exe
awlanu.exe
Tu as aussi installé Photoshop entre-temps
Il va être difficile de continuer dans ces conditions
Faut recommencer.
Je voudrais que tu fasses ceci:
* Va sur ce lien https://www.luanagames.com/index.fr.html (par tigzy)
* Clique sur l'icône RogueKiller qui correspond à ta version de Windows (Dans ton cas c'est la version 64 bits) pour télécharger RogueKiller
* Dans ton cas c'est la version 64 bits
* Quitte tous les programmes en cours
* Lance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan Clique sur Rapport. Copie et colle le rapport dans ta réponse
* Notes:
- Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou alors renomme le en winlogon.exe.
- Un tutoriel pour t'aider.
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Senselia
Messages postés
26
Date d'inscription
vendredi 4 octobre 2013
Statut
Membre
Dernière intervention
20 novembre 2014
7 oct. 2013 à 20:56
7 oct. 2013 à 20:56
Dsl j'ai réinstallé photoshop il s'était bloqué entre temps. Voici le rapport:
RogueKiller V8.7.1 _x64_ [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Sarah [Droits d'admin]
Mode : Recherche -- Date : 10/07/2013 20:53:28
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 16 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - Hitachi HTS547575A9E384 +++++
--- User ---
RogueKiller V8.7.1 _x64_ [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Sarah [Droits d'admin]
Mode : Recherche -- Date : 10/07/2013 20:53:28
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 16 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - Hitachi HTS547575A9E384 +++++
--- User ---
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
7 oct. 2013 à 21:22
7 oct. 2013 à 21:22
Le rapport n'est pas complet
* Relance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan
* Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse
Smart
* Relance RogueKiller.exe.
* Attendre la fin du Prescan ...
* Clique sur Scan.
* A la fin du scan
* Clique sur Suppression. Clique sur Rapport. Copie et colle le rapport dans ta réponse
Smart
Senselia
Messages postés
26
Date d'inscription
vendredi 4 octobre 2013
Statut
Membre
Dernière intervention
20 novembre 2014
7 oct. 2013 à 21:46
7 oct. 2013 à 21:46
Voici le rapport complet:
RogueKiller V8.7.1 _x64_ [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Sarah [Droits d'admin]
Mode : Suppression -- Date : 10/07/2013 21:45:25
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 16 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - Hitachi HTS547575A9E384 +++++
--- User ---
[MBR] 63e96963840d00dda60bb80fc95100e6
[BSP] e4fcabd3bc19c2cc688b48a4ae66588e : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 690027 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1413584896 | Size: 21114 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1456826368 | Size: 4062 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_D_10072013_214525.txt >>
RKreport[0]_S_10072013_195420.txt;RKreport[0]_S_10072013_205328.txt;RKreport[0]_S_10072013_214514.txt
RogueKiller V8.7.1 _x64_ [Oct 3 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Sarah [Droits d'admin]
Mode : Suppression -- Date : 10/07/2013 21:45:25
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 16 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKCU\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> SUPPRIMÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : Internal Configuration Serving State (C:\Users\Sarah\AppData\Roaming\pulaok\\weawuo.exe [x]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : nuwnab.exe (C:\Users\Sarah\AppData\Roaming\wnbuas\nuwnab.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : (C:\Users\Sarah\AppData\Roaming\buasep\ [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : okuoud.exe (C:\Users\Sarah\AppData\Roaming\elnude\okuoud.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : ujepke.exe (C:\Users\Sarah\AppData\Roaming\asepel\ujepke.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : udabuj.exe (C:\Users\Sarah\AppData\Roaming\ewabja\udabuj.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : laelwn.exe (C:\Users\Sarah\AppData\Roaming\weelnu\laelwn.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
[RUN][SUSP PATH] HKUS\S-1-5-21-2880817182-1972489506-3851404941-1000\[...]\Run : awlanu.exe (C:\Users\Sarah\AppData\Roaming\epeluo\awlanu.exe [-]) -> [0x2] Le fichier spécifié est introuvable.
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) (Lecteurs de disque standard) - Hitachi HTS547575A9E384 +++++
--- User ---
[MBR] 63e96963840d00dda60bb80fc95100e6
[BSP] e4fcabd3bc19c2cc688b48a4ae66588e : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 199 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 409600 | Size: 690027 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1413584896 | Size: 21114 Mo
3 - [XXXXXX] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 1456826368 | Size: 4062 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_D_10072013_214525.txt >>
RKreport[0]_S_10072013_195420.txt;RKreport[0]_S_10072013_205328.txt;RKreport[0]_S_10072013_214514.txt
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
Modifié par Smart91 le 7/10/2013 à 23:03
Modifié par Smart91 le 7/10/2013 à 23:03
OK.
* Relance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* <gras>Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Oui
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
* Relance MBAM et laisse les Mises à jour se télécharger (sinon fais les manuellement au lancement du programme). C'est très important
* Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet puis "Rechercher"
* Ne t'inquiète pas, l'analyse peut durer plusieurs heures en fonction du nombre de fichiers et infections à analyser
* A la fin de l'analyse, clique sur "Afficher les résultats"
* <gras>Coche tous les éléments détectés puis clique sur "Supprimer la sélection"
* Enregistre le rapport
* S'il t'est demandé de redémarrer l'ordinateur, clique sur Oui
* Un rapport apparait après la suppression : poste le dans ta prochaine réponse.
Smart
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)
Senselia
Messages postés
26
Date d'inscription
vendredi 4 octobre 2013
Statut
Membre
Dernière intervention
20 novembre 2014
9 oct. 2013 à 19:50
9 oct. 2013 à 19:50
Voici le rapport MBAM:
https://pjjoint.malekal.com/files.php?id=20131009_i10q7c7l12o12
https://pjjoint.malekal.com/files.php?id=20131009_i10q7c7l12o12
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
9 oct. 2013 à 20:02
9 oct. 2013 à 20:02
Redémarre le PC. Relance MBAM et vide la quarantaine.
Refais un scan ZHPDiag toujours en suivant la procédure donnée, poste le rapport via pjjoint.
Et j'espère que cette fois-ci sera la bonne.
Smart
Refais un scan ZHPDiag toujours en suivant la procédure donnée, poste le rapport via pjjoint.
Et j'espère que cette fois-ci sera la bonne.
Smart
Senselia
Messages postés
26
Date d'inscription
vendredi 4 octobre 2013
Statut
Membre
Dernière intervention
20 novembre 2014
9 oct. 2013 à 21:06
9 oct. 2013 à 21:06
Voici le rapport ZHPDiag:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131009_y11m14m12m7s7
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131009_y11m14m12m7s7
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
10 oct. 2013 à 10:21
10 oct. 2013 à 10:21
C'est mieux. On va supprimer les restes:
- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
--------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD]
:Files
C:\Program Files (x86)\sweetpacks bundle uninstaller
C:\Users\Sarah\AppData\Roaming\asepel
C:\Users\Sarah\AppData\Roaming\buasep
C:\Users\Sarah\AppData\Roaming\elnude
C:\Users\Sarah\AppData\Roaming\epeluo
C:\Users\Sarah\AppData\Roaming\ewabja
C:\Users\Sarah\AppData\Roaming\weelnu
C:\Users\Sarah\AppData\Roaming\wnbuas
:commands
[emptytemp]
[Reboot]
--------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer.
- Copie (Ctrl+C) le texte suivant en gras ci-dessous :
--------------------------------------------------------------
:reg
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ESGIGUARD]
:Files
C:\Program Files (x86)\sweetpacks bundle uninstaller
C:\Users\Sarah\AppData\Roaming\asepel
C:\Users\Sarah\AppData\Roaming\buasep
C:\Users\Sarah\AppData\Roaming\elnude
C:\Users\Sarah\AppData\Roaming\epeluo
C:\Users\Sarah\AppData\Roaming\ewabja
C:\Users\Sarah\AppData\Roaming\weelnu
C:\Users\Sarah\AppData\Roaming\wnbuas
:commands
[emptytemp]
[Reboot]
--------------------------------------------------------------
- Colle (Ctrl+V) le texte précédemment copié dans le cadre: Paste Instructions for Items to be Moved.
- Clique maintenant sur le bouton MoveIt!
Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
Accepte en cliquant sur YES.
- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\
Le nom du rapport correspond au moment de sa création : date_heure.log
Smart
Senselia
Messages postés
26
Date d'inscription
vendredi 4 octobre 2013
Statut
Membre
Dernière intervention
20 novembre 2014
10 oct. 2013 à 14:19
10 oct. 2013 à 14:19
Voici le rapport OTM:
https://pjjoint.malekal.com/files.php?id=20131010_r9z8x11n14l7
https://pjjoint.malekal.com/files.php?id=20131010_r9z8x11n14l7
Smart91
Messages postés
29096
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 326
10 oct. 2013 à 15:46
10 oct. 2013 à 15:46
Si le PC n'a pas redémarré, fais le.
Refais un scan ZHPDiag en suivant la procédure donnée et poste le rapport
Smart
Refais un scan ZHPDiag en suivant la procédure donnée et poste le rapport
Smart
Senselia
Messages postés
26
Date d'inscription
vendredi 4 octobre 2013
Statut
Membre
Dernière intervention
20 novembre 2014
10 oct. 2013 à 16:24
10 oct. 2013 à 16:24
Voici le rapport du scan ZHPDiag:
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131010_j12j6x10f5h5
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20131010_j12j6x10f5h5