Impossible de trouver le fichier script c:/kernel/r00t3r
Fermé
leelka1st
-
14 nov. 2013 à 12:06
damosco Messages postés 5 Date d'inscription vendredi 17 janvier 2014 Statut Membre Dernière intervention 18 janvier 2014 - 18 janv. 2014 à 14:13
damosco Messages postés 5 Date d'inscription vendredi 17 janvier 2014 Statut Membre Dernière intervention 18 janvier 2014 - 18 janv. 2014 à 14:13
A voir également:
- Impossible de trouver le fichier script c:/kernel/r00t3r
- Fichier rar - Guide
- Script vidéo youtube - Guide
- Fichier host - Guide
- Impossible de supprimer un fichier - Guide
- Fichier iso - Guide
11 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
14 nov. 2013 à 12:16
14 nov. 2013 à 12:16
Salut;
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.
NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE
voici les liens des rapports OTL:
fichier OTL.txt : http://pjjoint.malekal.com/files.php?id=20131114_u11j7t9y12v5
fichier extra.txt : http://pjjoint.malekal.com/files.php?id=20131114_s1211j14e11d6
fichier OTL.txt : http://pjjoint.malekal.com/files.php?id=20131114_u11j7t9y12v5
fichier extra.txt : http://pjjoint.malekal.com/files.php?id=20131114_s1211j14e11d6
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
14 nov. 2013 à 13:27
14 nov. 2013 à 13:27
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 28
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: rescue = C:\ProgramData\rescue.vbe ()
[2013-09-14 08:14:25 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\1B4F.exe
[2013-09-14 08:14:29 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\2ADA.exe
[2013-09-13 17:12:53 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\3CC0.exe
[2013-09-13 12:42:04 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\4AF6.exe
[2013-09-13 17:13:01 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\5ADC.exe
[2013-09-13 06:31:54 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\62B8.exe
[2013-09-13 17:46:55 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\66B0.exe
[2013-09-13 16:06:27 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\68DD.exe
[2013-09-13 17:46:58 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\6EAC.exe
[2013-09-13 12:42:14 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\718A.exe
[2013-09-13 07:32:03 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\77CE.exe
[2013-09-13 11:10:43 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\A8D8.exe
[2013-09-13 11:55:30 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\A9A5.exe
[2013-09-13 14:47:24 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\B1E.exe
[2013-09-13 09:19:22 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\B6D6.exe
[2013-09-13 11:55:34 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\B74D.exe
[2013-09-13 15:34:22 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\BFB.exe
[2013-09-14 07:51:06 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\C2B3.exe
[2013-09-13 08:00:50 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\D193.exe
[2013-09-13 09:56:39 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\D86C.exe
[2013-09-13 08:00:53 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\DAE7.exe
[2013-09-13 11:10:56 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\DC28.exe
[2013-09-14 08:39:18 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\E2C4.exe
[2013-09-13 14:47:14 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\E3C0.exe
[2013-09-13 09:56:42 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\E5C6.exe
[2013-09-14 08:39:20 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\EB9C.exe
[2013-09-13 15:34:18 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\F9F1.exe
[2013-09-13 16:05:59 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\FBD7.exe
[2013-09-13 09:19:39 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\FBE2.exe
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
~~
Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.
Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :
https://forum.malekal.com/viewtopic.php?t=5544&start=
Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.
Suis bien le tutorial dans l'ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.
Poste les rapports sur http://pjjoint.malekal.com et donne les adresses.
L'adresse du tutorial : https://www.malekal.com/usbfix-supprimer-virus-usb/
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: EnableShellExecuteHooks = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 28
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: rescue = C:\ProgramData\rescue.vbe ()
[2013-09-14 08:14:25 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\1B4F.exe
[2013-09-14 08:14:29 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\2ADA.exe
[2013-09-13 17:12:53 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\3CC0.exe
[2013-09-13 12:42:04 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\4AF6.exe
[2013-09-13 17:13:01 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\5ADC.exe
[2013-09-13 06:31:54 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\62B8.exe
[2013-09-13 17:46:55 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\66B0.exe
[2013-09-13 16:06:27 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\68DD.exe
[2013-09-13 17:46:58 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\6EAC.exe
[2013-09-13 12:42:14 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\718A.exe
[2013-09-13 07:32:03 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\77CE.exe
[2013-09-13 11:10:43 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\A8D8.exe
[2013-09-13 11:55:30 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\A9A5.exe
[2013-09-13 14:47:24 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\B1E.exe
[2013-09-13 09:19:22 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\B6D6.exe
[2013-09-13 11:55:34 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\B74D.exe
[2013-09-13 15:34:22 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\BFB.exe
[2013-09-14 07:51:06 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\C2B3.exe
[2013-09-13 08:00:50 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\D193.exe
[2013-09-13 09:56:39 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\D86C.exe
[2013-09-13 08:00:53 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\DAE7.exe
[2013-09-13 11:10:56 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\DC28.exe
[2013-09-14 08:39:18 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\E2C4.exe
[2013-09-13 14:47:14 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\E3C0.exe
[2013-09-13 09:56:42 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\E5C6.exe
[2013-09-14 08:39:20 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\EB9C.exe
[2013-09-13 15:34:18 | 000,002,572 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\F9F1.exe
[2013-09-13 16:05:59 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\FBD7.exe
[2013-09-13 09:19:39 | 000,002,559 | ---- | M] () -- C:\Users\edwige\AppData\Roaming\FBE2.exe
* poste le rapport ici
~~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Tu dois voir le dossier _OTL, ouvre le.
Là tu dois voir un dossier MovedFiles - NE PAS OUVRIR.
Dessus, fais : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier MovedFiles.zip
Envoie ce fichier MovedFiles.zip sur http://upload.malekal.com
Ne pas envoyer OTL.exe qui se trouve sur le bureau, bien ouvrir Mon Ordinateur / Poste de travail puis le disque C.
~~
Ton infection est donc une infection qui se propage par disques amovibles (clefs USB, disque dur externe, carte flash etc..).
Les disques amovibles que tu as insérés dans l'ordinateur quand celui-ci était infecté ont été infectés à leur tour.
Le simple faite d'ouvrir le poste de travail et de double-cliquer sur ta clef USB/disque dur externe va réinfecter ton système.
Tu trouveras un lien explicatif sur la propagation de ces infections, comment s'en protéger etc.... à partir de ces liens :
https://forum.malekal.com/viewtopic.php?t=5544&start=
Il te faut maintenant nettoyer tes clefs USB/disques dur externes, pour cela suis le tutorial USBFix.
Suis bien le tutorial dans l'ordre : Désactive bien Autorun/Autoplay, insère tes clefs USB et disque dur externe que tu as pour les nettoyer.
Poste les rapports sur http://pjjoint.malekal.com et donne les adresses.
L'adresse du tutorial : https://www.malekal.com/usbfix-supprimer-virus-usb/
voici le rapport de OTL après la correction
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\EnableShellExecuteHooks deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\rescue deleted successfully.
C:\ProgramData\rescue.vbe moved successfully.
C:\Users\edwige\AppData\Roaming\1B4F.exe moved successfully.
C:\Users\edwige\AppData\Roaming\2ADA.exe moved successfully.
C:\Users\edwige\AppData\Roaming\3CC0.exe moved successfully.
C:\Users\edwige\AppData\Roaming\4AF6.exe moved successfully.
C:\Users\edwige\AppData\Roaming\5ADC.exe moved successfully.
C:\Users\edwige\AppData\Roaming\62B8.exe moved successfully.
C:\Users\edwige\AppData\Roaming\66B0.exe moved successfully.
C:\Users\edwige\AppData\Roaming\68DD.exe moved successfully.
C:\Users\edwige\AppData\Roaming\6EAC.exe moved successfully.
C:\Users\edwige\AppData\Roaming\718A.exe moved successfully.
C:\Users\edwige\AppData\Roaming\77CE.exe moved successfully.
C:\Users\edwige\AppData\Roaming\A8D8.exe moved successfully.
C:\Users\edwige\AppData\Roaming\A9A5.exe moved successfully.
C:\Users\edwige\AppData\Roaming\B1E.exe moved successfully.
C:\Users\edwige\AppData\Roaming\B6D6.exe moved successfully.
C:\Users\edwige\AppData\Roaming\B74D.exe moved successfully.
C:\Users\edwige\AppData\Roaming\BFB.exe moved successfully.
C:\Users\edwige\AppData\Roaming\C2B3.exe moved successfully.
C:\Users\edwige\AppData\Roaming\D193.exe moved successfully.
C:\Users\edwige\AppData\Roaming\D86C.exe moved successfully.
C:\Users\edwige\AppData\Roaming\DAE7.exe moved successfully.
C:\Users\edwige\AppData\Roaming\DC28.exe moved successfully.
C:\Users\edwige\AppData\Roaming\E2C4.exe moved successfully.
C:\Users\edwige\AppData\Roaming\E3C0.exe moved successfully.
C:\Users\edwige\AppData\Roaming\E5C6.exe moved successfully.
C:\Users\edwige\AppData\Roaming\EB9C.exe moved successfully.
C:\Users\edwige\AppData\Roaming\F9F1.exe moved successfully.
C:\Users\edwige\AppData\Roaming\FBD7.exe moved successfully.
C:\Users\edwige\AppData\Roaming\FBE2.exe moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 11142013_124107
le fichier movedfiles.zip a été correctement uploader.
le lien du rapport de usbFix:
http://pjjoint.malekal.com/files.php?id=20131114_e13x6e14p11i11
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\EnableShellExecuteHooks deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoDriveTypeAutoRun deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\rescue deleted successfully.
C:\ProgramData\rescue.vbe moved successfully.
C:\Users\edwige\AppData\Roaming\1B4F.exe moved successfully.
C:\Users\edwige\AppData\Roaming\2ADA.exe moved successfully.
C:\Users\edwige\AppData\Roaming\3CC0.exe moved successfully.
C:\Users\edwige\AppData\Roaming\4AF6.exe moved successfully.
C:\Users\edwige\AppData\Roaming\5ADC.exe moved successfully.
C:\Users\edwige\AppData\Roaming\62B8.exe moved successfully.
C:\Users\edwige\AppData\Roaming\66B0.exe moved successfully.
C:\Users\edwige\AppData\Roaming\68DD.exe moved successfully.
C:\Users\edwige\AppData\Roaming\6EAC.exe moved successfully.
C:\Users\edwige\AppData\Roaming\718A.exe moved successfully.
C:\Users\edwige\AppData\Roaming\77CE.exe moved successfully.
C:\Users\edwige\AppData\Roaming\A8D8.exe moved successfully.
C:\Users\edwige\AppData\Roaming\A9A5.exe moved successfully.
C:\Users\edwige\AppData\Roaming\B1E.exe moved successfully.
C:\Users\edwige\AppData\Roaming\B6D6.exe moved successfully.
C:\Users\edwige\AppData\Roaming\B74D.exe moved successfully.
C:\Users\edwige\AppData\Roaming\BFB.exe moved successfully.
C:\Users\edwige\AppData\Roaming\C2B3.exe moved successfully.
C:\Users\edwige\AppData\Roaming\D193.exe moved successfully.
C:\Users\edwige\AppData\Roaming\D86C.exe moved successfully.
C:\Users\edwige\AppData\Roaming\DAE7.exe moved successfully.
C:\Users\edwige\AppData\Roaming\DC28.exe moved successfully.
C:\Users\edwige\AppData\Roaming\E2C4.exe moved successfully.
C:\Users\edwige\AppData\Roaming\E3C0.exe moved successfully.
C:\Users\edwige\AppData\Roaming\E5C6.exe moved successfully.
C:\Users\edwige\AppData\Roaming\EB9C.exe moved successfully.
C:\Users\edwige\AppData\Roaming\F9F1.exe moved successfully.
C:\Users\edwige\AppData\Roaming\FBD7.exe moved successfully.
C:\Users\edwige\AppData\Roaming\FBE2.exe moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 11142013_124107
le fichier movedfiles.zip a été correctement uploader.
le lien du rapport de usbFix:
http://pjjoint.malekal.com/files.php?id=20131114_e13x6e14p11i11
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
14 nov. 2013 à 16:44
14 nov. 2013 à 16:44
fais suppression/nettoyage sur USBFix.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
18 nov. 2013 à 08:31
18 nov. 2013 à 08:31
Plus de message ?
Histoire de vérifier, refais un scan OTL et donne le rapport.
Histoire de vérifier, refais un scan OTL et donne le rapport.
damosco
Messages postés
5
Date d'inscription
vendredi 17 janvier 2014
Statut
Membre
Dernière intervention
18 janvier 2014
17 janv. 2014 à 20:15
17 janv. 2014 à 20:15
Salut à tous j'ai ce message au démarrage,je suis sous xp sp3
Voila le rapport ADWCLEANER
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
Voila le rapport ADWCLEANER
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup https://www.google.fr/?gws_rd=ssl /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
damosco
Messages postés
5
Date d'inscription
vendredi 17 janvier 2014
Statut
Membre
Dernière intervention
18 janvier 2014
17 janv. 2014 à 20:25
17 janv. 2014 à 20:25
Voila le lien du rapport OTL
https://pjjoint.malekal.com/files.php?id=OTL_20140117_r14c8c14f6n10
https://pjjoint.malekal.com/files.php?id=OTL_20140117_r14c8c14f6n10
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 651
17 janv. 2014 à 21:47
17 janv. 2014 à 21:47
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
CHR - Extension: No name found = D:\Documents and Settings\USER\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\eooncjejnppfjjklapaamhcdmjbilmde\1.4_0\
O4 - HKLM..\Run: [Eps_Reg.exe] D:\Documents and Settings\USER\Local Settings\Temp\Eps_Reg.exe (ft)
O4 - HKLM..\Run: [mqittgbkog] wscript.exe //B D:\Documents and Settings\USER\Application Data\mqittgbkog..vbs File not found
O4 - HKU\S-1-5-21-299502267-1482476501-1801674531-1002..\Run: [Facebook Update] D:\Documents and Settings\USER\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - Startup: D:\Documents and Settings\USER\Menu Démarrer\Programmes\Démarrage\trz11DB.tmp ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Updates = D:\system32\SystemProtection.exe /e:VBScript.Encode D:\kernel\r00t3r (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: rescue = D:\Documents and Settings\All Users\rescue.vbe ()
[2012/12/29 16:41:17 | 000,000,000 | -HSD | M] -- D:\Documents and Settings\All Users\Application Data\Windows Update
* poste le rapport ici
~~
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.
si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
CHR - Extension: No name found = D:\Documents and Settings\USER\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\eooncjejnppfjjklapaamhcdmjbilmde\1.4_0\
O4 - HKLM..\Run: [Eps_Reg.exe] D:\Documents and Settings\USER\Local Settings\Temp\Eps_Reg.exe (ft)
O4 - HKLM..\Run: [mqittgbkog] wscript.exe //B D:\Documents and Settings\USER\Application Data\mqittgbkog..vbs File not found
O4 - HKU\S-1-5-21-299502267-1482476501-1801674531-1002..\Run: [Facebook Update] D:\Documents and Settings\USER\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)
O4 - Startup: D:\Documents and Settings\USER\Menu Démarrer\Programmes\Démarrage\trz11DB.tmp ()
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: Updates = D:\system32\SystemProtection.exe /e:VBScript.Encode D:\kernel\r00t3r (Microsoft Corporation)
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run: rescue = D:\Documents and Settings\All Users\rescue.vbe ()
[2012/12/29 16:41:17 | 000,000,000 | -HSD | M] -- D:\Documents and Settings\All Users\Application Data\Windows Update
* poste le rapport ici
~~
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et copie/colle le rapport ici dans une nouvelle réponse.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Coche tout ce qui est détecté en faisant un clic droit sur la liste puis cocher tout
puis bouton supprimer sélection pour tout supprimer.
si Malwarebytes demande de redémarrer le PC, redémarre le avant de passer à l'étape suivante.
damosco
Messages postés
5
Date d'inscription
vendredi 17 janvier 2014
Statut
Membre
Dernière intervention
18 janvier 2014
18 janv. 2014 à 14:13
18 janv. 2014 à 14:13
Salut voila le rapport de la correction
========== OTL ==========
D:\Documents and Settings\USER\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\eooncjejnppfjjklapaamhcdmjbilmde\1.4_0 folder moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Eps_Reg.exe deleted successfully.
D:\Documents and Settings\USER\Local Settings\Temp\Eps_Reg.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\mqittgbkog deleted successfully.
Registry value HKEY_USERS\S-1-5-21-299502267-1482476501-1801674531-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Facebook Update deleted successfully.
D:\Documents and Settings\USER\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe moved successfully.
D:\Documents and Settings\USER\Menu Démarrer\Programmes\Démarrage\trz11DB.tmp moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Updates deleted successfully.
D:\system32\SystemProtection.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\rescue deleted successfully.
D:\Documents and Settings\All Users\rescue.vbe moved successfully.
D:\Documents and Settings\All Users\Application Data\Windows Update folder moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 01182014_131156
========== OTL ==========
D:\Documents and Settings\USER\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\eooncjejnppfjjklapaamhcdmjbilmde\1.4_0 folder moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\Eps_Reg.exe deleted successfully.
D:\Documents and Settings\USER\Local Settings\Temp\Eps_Reg.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\\mqittgbkog deleted successfully.
Registry value HKEY_USERS\S-1-5-21-299502267-1482476501-1801674531-1002\Software\Microsoft\Windows\CurrentVersion\Run\\Facebook Update deleted successfully.
D:\Documents and Settings\USER\Local Settings\Application Data\Facebook\Update\FacebookUpdate.exe moved successfully.
D:\Documents and Settings\USER\Menu Démarrer\Programmes\Démarrage\trz11DB.tmp moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\Updates deleted successfully.
D:\system32\SystemProtection.exe moved successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run\\rescue deleted successfully.
D:\Documents and Settings\All Users\rescue.vbe moved successfully.
D:\Documents and Settings\All Users\Application Data\Windows Update folder moved successfully.
OTL by OldTimer - Version 3.2.69.0 log created on 01182014_131156
