FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[calimeroperdu]

Bonsoir à tout le monde
J ai mon ordinateur principal qui infecté et bloqué par un virus
Et l écran reste figé sur une page police interpol
Je fonctionne avec Windows xp 32b
Et je peux démarrer l ordinateur choisir une des 2 sessions  mais après cela se gate que ce soit avec l une ou l autre la fameuse page apparaît et plus rien n est possible
Et je vois aussi un compte  a rebours défilé d ou mon inquiétude
Merci de toute aide qui me sera proposée et bon courage car je suis loin d être un pro de l informatique

[g3n-h@ckm@n]

salut

Télécharge ici : http://www.telecharger.sosvirus.net/dow ... n-live-cd/
Sélectionnez si vous désirez créer un CD live ou une Clé USB Live.
===============================
Si vous choisissez CD :
Patientez quelques secondes , un logiciel de gravure va s’ouvrir.
Insérez un CD dans votre graveur puis cliquez sur « BURN ISO »
(normalement le fichier à graver est déjà sélectionné)
si USB :
insère une clé usb dans un support ( minimum 512 Mo )
l’installation peut durer 1 à 2 mn
Iso to USB s’ouvre , clique sur « Browse » et selectionne « Win7Rescue.iso » qui s’est mis sur ton bureau.
choisis la lettre correspondante à ta clé usb en dessous, et laisse le systeme de fichiers par défaut.
coche la case « Bootable » , puis clique sur burn, puis réponds « yes » aux deux messages suivants.
une fenetre t’avertira que l’operation a réussi.
Une fois terminé , ejecte la clé de pc et insère-là dans le pc malade.
===================================
Il vous faudra un clavier filaire les sans fils ne fonctionnant pas sur le bios
Ensuite changez le démarrage de votre pc malade en mettant le cd en premier démarrage dans le bios
Comment Faire ? : http://www.commentcamarche.net/faq/7322 ... ce-de-boot
Démarrez le pc malade sur le cd ou la clé usb
Laisse faire jusqu’à l’affichage complet du bureau
Normalement FirefoxPortable vous permet de venir lire la suite
Lancez OTLPE.exe qui se trouve sur votre bureau :
Choisissez dans la fenêtre qui s’ouvre , le dossier d’installation correspondant au Windows malade (C:\windows , ou d:\windows ou …) : cliquez sur le dossier Windows puis sur ok
A la question « Do you wish to load remote user profile(s) for scanning ? » = oui
Cocher la case « Automatically Load All Remaining Users ? » puis cliquer sur OK
OTLPE s’ouvre… Mettez juste les 4 cases de gauche sur « All » et ne touchez à rien d’autre.


Dans la case en dessous « Custom Scans/Fixes » collez ce texte :


HKCU\Software
HKLM\Software
HKCU\Software\Microsoft\Command Processor /s
HKLM\Software\Microsoft\Command Processor /s
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%LocalAppData%\*
%LocalAppData%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\Google\Desktop\Install /s
%programFiles%\*.
%Systemroot%\Installer\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
dir %Homedrive%\* /S /A:L /C
msconfig
activex
/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
tdx.sys
netbt.sys
afd.sys
/md5stop
netsvcs
safebootminimal
safebootnetwork


Cliquez sur Analyse.
A la fin du scan, deux Bloc-Notes vont s’ouvrir avec les rapport OTL.txt et Extra.txt
Hébergez-les un par un sur http://cjoint.com puis donnez les deux liens obtenus sur le forum ou dans la discussion où vous vous faite aider.
Ils sont aussi à la racine de la partition où est installé Windows (C:\OTL.txt…ou D:\OTL.txt….ainsi que l’Extra qui l’accompagne)

[calimeroperdu]

bonsoir
voila une les manip réalisées
http://cjoint.com/?DFfxfGiOWan
http://cjoint.com/?DFfxhrZGHe4
en esperant que cela corresponde aux fichiers demandés

[g3n-h@ckm@n]

bien , relance OTL sur le live CD , puis colle tout ce texte en bas sous personnalisation , puis clique sur correction

:OTL
FF - prefs.js..browser.search.defaultenginename: "Web Search"
FF - prefs.js..browser.search.defaultthis.engineName: "Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.as ... earchTerms}"
FF - prefs.js..browser.search.selectedEngine: "Web Search"
FF - prefs.js..browser.startup.homepage: "http://search.conduit.com/?CUI=UN029122 ... hSource=13"
FF - prefs.js..extensions.enabledItems: {ba14329e-9550-4989-b3f2-9732e92d17cc}:10.20.101.5
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.as ... Source=2q="
FF - HKEY_LOCAL_MACHINE\software\mozilla\Firefox\Extensions\\ClickPotatoLite@ClickPotatoLite.com: C:\Program Files\ClickPotatoLite\bin\10.0.624.0\firefox\extensions
[2014/04/25 22:28:20 | 000,000,000 | ---D | M] (Vuze Remote) -- C:\Documents and Settings\bertrand\Application Data\Mozilla\Firefox\Profiles\99s1syux.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
[2014/02/07 17:42:47 | 000,000,840 | ---- | M] () -- C:\Documents and Settings\bertrand\Application Data\Mozilla\Firefox\Profiles\99s1syux.default\searchplugins\conduit.xml
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
O3 - HKLM\..\Toolbar: (Vuze Remote Toolbar) - {ba14329e-9550-4989-b3f2-9732e92d17cc} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
O3 - HKU\bertrand_ON_C\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
O3 - HKU\jacques_ON_C\..\Toolbar\WebBrowser: (Vuze Remote Toolbar) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - C:\Program Files\Vuze_Remote\prxtbVuze.dll (Conduit Ltd.)
O4 - HKLM..\Run: [EoEngine] File not found
O4 - HKLM..\Run: [eorezo] File not found
O4 - HKU\bertrand_ON_C..\Run: [mRouterConfig] File not found
O4 - HKU\jacques_ON_C..\Run: [msnmsgr] File not found
O4 - HKU\jacques_ON_C..\Run: [QuickTime Task] C:\Program Files\QuickTime\sk.exe (Apple Inc.)
O4 - Startup: C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\Lancement rapide d'Adobe Reader.lnk = File not found
O4 - Startup: C:\Documents and Settings\bertrand\Menu Démarrer\Programmes\Démarrage\explorer.lnk = X:\Windows\System32\rundll32.exe (Microsoft Corporation)
O4 - Startup: C:\Documents and Settings\bertrand\Menu Démarrer\Programmes\Démarrage\MRU-Blaster Scheduler.lnk = File not found
O4 - Startup: C:\Documents and Settings\bertrand\Menu Démarrer\Programmes\Démarrage\MRU-Blaster Silent Clean.lnk = File not found
O4 - Startup: C:\Documents and Settings\jacques\Menu Démarrer\Programmes\Démarrage\explorer.lnk = X:\Windows\System32\rundll32.exe (Microsoft Corporation)
O4 - Startup: C:\Documents and Settings\jacques\Menu Démarrer\Programmes\Démarrage\OneNote 2007 - Capture d'écran et lancement.lnk = File not found
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} http://download.microsoft.com/download/ ... mv9VCM.CAB (Reg Error: Key error.)
[2014/06/03 21:14:48 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\C34F9570F3DA172FFBEF587E36035E48
SRV - [2014/06/03 21:14:48 | 000,117,248 | ---- | M] () [Auto] -- C:\Documents and Settings\All Users\Application Data\C34F9570F3DA172FFBEF587E36035E48\b0nsjr1.cpp -- (winmgmt)
[2013/01/03 19:26:50 | 000,055,296 | RHS- | C] (Microsoft Corporation) -- C:\Documents and Settings\bertrand\2387625.exe
[2009/01/26 00:45:05 | 006,553,208 | ---- | C] ( ) -- C:\Program Files\realalt182.exe
[5 C:\WINDOWS\*.tmp files - C:\WINDOWS\*.tmp - ]
[2014/05/22 21:33:47 | 000,018,432 | ---- | C] () -- C:\Documents and Settings\bertrand\english.dll
[2009/12/21 19:11:56 | 000,000,016 | ---- | C] () -- C:\Documents and Settings\jacques\Application Data\fvgqad.dat
[2009/12/21 19:11:51 | 000,000,004 | ---- | C] () -- C:\Documents and Settings\jacques\Application Data\avdrn.dat
[2013/12/27 00:42:03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\bertrand\Application Data\PriceGong
[2009/03/02 20:33:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\jacques\Application Data\EoRezo
[2013/04/29 13:53:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\jacques\Application Data\PriceGong
[2010/11/25 23:39:10 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\2ACA5CC3-0F83-453D-A079-1076FE1A8B65
[2010/11/27 12:08:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\ClickPotatoLiteSA
[2013/12/26 20:25:25 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Conduit

:reg
[HKLM\Software\Microsoft\Windows\CurrenVersion\Run]
"Alcmtr"=-
"NeroFilterCheck"=-
"NWEReboot"=-
"QuickTime Task"=-
[-HKEY_CURRENT_USER\Software\clickpotatolitesa]
[-HKEY_CURRENT_USER\Software\Conduit]
[-HKEY_CURRENT_USER\Software\ConduitSearchScopes]
[-HKEY_CURRENT_USER\Software\EoRezo]
[-HKEY_CURRENT_USER\Software\PriceGong]
[-HKEY_CURRENT_USER\Software\Tbccint_HKLM]
[HKLM\Software\Microsoft\Command Processor]
"AutoRun"=-

:files
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*
C:\WINDOWS\Temp\*
C:\WINDOWS\system32\config\systemprofile\Local Settings\Temp\*


ensuite retire le cd et clique sur "extinxtion" le bouton rouge sur le bureau puis redemarre ton pc normalement.

Avant de te reconnecter à Internet , desinstalle tout java

[calimeroperdu]

bonjour
je regarde pour faire la manip mais estce que je dois conserver les même parametres ?

A la question « Do you wish to load remote user profile(s) for scanning ? » = oui
Cocher la case « Automatically Load All Remaining Users ? » puis cliquer sur OK
OTLPE s’ouvre… Mettez juste les 4 cases de gauche sur « All » et ne touchez à rien d’autre.

et quel est le bouton correction ?

à bientot

merci de votre aide

[g3n-h@ckm@n]

coucou

oui pour tout

pour correction c'est "RunFix" désolé j'avais zappé que c'était en anglais sur le live ^^

[calimeroperdu]

pas de probleme
c est moi aussi qui ne connait pas grand chose de tout ca
je vais faire ces manip
merci encore

[g3n-h@ckm@n]

même si ton pc demarre normalement par la suite on aura pas fini

[calimeroperdu]

Ok la manip avec otl est en cours

[calimeroperdu]

Voilà opération. Ok
Et l ordinateur à redémarrer normalement
Par contre aucun fichier " java uninstall" dans le dossier c:\Windows\java

[g3n-h@ckm@n]

non c'est pas là qu'il est ^^

• Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !
  
  Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
• Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( Aide )
• Télécharge Pre_Scan sur ton bureau !
• Si le lien n'est pas fonctionnel :
• #ICI (renommé winlogon)

[*]Si l'outil est bloqué par l'infection essaye avec d'autres extensions :

[*]#SCR
[*]#PIF
[*]#COM

[*]Si des Proxy sont détectés et que tu n'en as pas installé :

[*]Clique sur Supprimer le Proxy

[*]A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
[*]Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com puis donne le lien

[calimeroperdu]

Je n ai pas trouvé pour supprimer java

[g3n-h@ckm@n]

pas grave on s'en occupera après

[calimeroperdu]

Ok mais je peux quand même remette Internet pour télé charger pré scan ?

[g3n-h@ckm@n]

bien sur

[calimeroperdu]

voila le scan avec pré scan effectué
et mon pc a redémarré automatiquement a la fin du scan
voici le rapport de ce scan
http://cjoint.com/?DFhxODmhe1k

[g3n-h@ckm@n]

bien

ca l'air cool

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\Install /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[calimeroperdu]

bonjour voila les liens pour les deux rapports
http://upload.sosvirus.net/www/?a=di=kQsIw8Q33F
http://upload.sosvirus.net/www/?a=di=o0dAs8D4gS

[g3n-h@ckm@n]

yop reste quelques bricoles ^^

• Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.
• Télécharge Shortcut_Module sur ton bureau.
  
  Note : Enregistrer votre travail avant de continuer !
• Lance Shortcut_Module,
• Clic sur Nettoyer
  
  
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

[calimeroperdu]

bonsoir
voila le rapport apres shortcut
http://upload.sosvirus.net/www/?a=di=iiGybrtg2j
j ai du passer le prog plusieur fois car le pc plantait

[g3n-h@ckm@n]

re

il est vide ton fichier apparemment

( tu peux preciser (le pc plantait" ? )

[calimeroperdu]

Bonsoir
le pc s est arreté à 3 reprises en cours d execution du prog shortcut donc j etais obligé de redemarrer et relancer shortcut

[g3n-h@ckm@n]

re

il chauffe trop faut faire la poussière sous le ventilo

[calimeroperdu]

ok
je vais l ouvrir et souffler la poussiere
et il faudra que je repasse le prog shortcut apres ?

[g3n-h@ckm@n]

re

ou me fournir un rapport contenant quelque chose ^^

[calimeroperdu]

bonsoir
je suis de retour enfin
j ai nettoyé le pc effectivement il y en avait besoin
pour la suite il faut que je vous repasse le lien avec le rapport ?

[g3n-h@ckm@n]

ok relance l'outil , il va se mettre à jour et fais un nettoyage