FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[g3n-h@ckm@n]

Au début des problèmes j'avais comme page de démarrage "qvo6", même après désinstallation et changement de l'adresse de la page de démarrage dans IE et Mozilla ce très cher "qvo6" revenait.
Aujourd'hui il s'agit de "v9.com".
J'ai sans arrêt des nouvelles pages qui s'ouvrent, des pub qui apparaissent dans tous les sens, enfin bref, la navigation est compliquée et je voudrais éviter de formater, pas trop le temps en ce moment de réinstaller.


http://cjoint.com/?DFCjhXNeeoZ
http://cjoint.com/?DFCjjw5hzzD

ce pc ne démarre pas en mode normal ?

[Buzz49]

Merci pour avoir créé un nouveau post g3n.
Si si, mon PC démarre très bien et c'est depuis celui çi que je viens sur le forum.
J'ai oublié, il y a "Yontoo" aussi qui fait des siennes.
Une belle écurie de Troie.

[g3n-h@ckm@n]

ok on va tout faire sauter

Laisser travailler l'outil même s'il parait bloqué

Désactiver temporairement l'antivirus , ou les agents de protection qu'il contient.
Télécharger Shortcut_Module ici :
http://www.telecharger.sosvirus.net/dow ... ut_module/
L' enregistrer sur le bureau, et le lancer



cliquer sur "Nettoyer" puis laisser tourner le scan :



Attention : il fermera les programmes en cours d'utilisation tels que IE, Firefox, Word etc...

Si l'outil détecte un proxy et qu'aucun n'a été installé et qu'il n'y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy
Il donnera un rapport en fin d’exécution , dans C:\Shortcut_Module_xx_xx_xx_xx_xx_xx.txt (les "x" étant des chiffres)
le pc va redemarrer
Héberger le rapport sur http://cjoint.com puis fournir le lien obtenu

Note : En fin de désinfection (ET PAS AVANT) relancer l'outil et cliquer sur le pett "u" en bas à droite pour le desinstaller totalement

[Buzz49]

Bon, j'ai fait une conn***e!

J'ai désinstaller avant de poster le fichier, il a donc été supprimé!
  

De mémoire il y avait environ 124 fichiers modifiés et 328 infectés.


Voici le rapport de la seconde désinfection:
http://cjoint.com/?3FDmT18zvwg

[g3n-h@ckm@n]

c'est pourtant bien écrit en fin de desinfection et pas avant.......

[Buzz49]

c'est pourtant bien écrit en fin de desinfection et pas avant.......   

Je dois faire quoi maintenant?

[g3n-h@ckm@n]

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\*. /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[Buzz49]

Pour le ficher OTL c'est ici:
http://upload.sosvirus.net/www/?a=di=ThoqWN5HJJ

Pour le fichier Extras c'est là:
http://upload.sosvirus.net/www/?a=di=0mARMGwpSJ

  

[g3n-h@ckm@n]

re

colle ca en bas d'OTL puis clique sur correction , ensuite poste le nouveau rapport

:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,BrowserMngr Start Page = http://www.google.com/
IE - HKLM\..\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}: "URL" = http://www.bing.com/search?q={searchTerms}FORM=IE8SRC
IE - HKU\S-1-5-21-2663676625-351173499-4100330653-1001\..\SearchScopes,DefaultScope = {0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}
FF - prefs.js..extensions.enabledAddons: plugin%40yontoo.com:1.20.02
[2013/02/23 17:15:25 | 000,021,487 | ---- | M] () (No name found) -- C:\Users\Quimine\AppData\Roaming\Mozilla\Firefox\Profiles\snvbw0nm.default\extensions\plugin@yontoo.com.xpi
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files (x86)\iTunes\iTunesHlper.exe (Apple Inc.)
O4 - HKU\S-1-5-21-2663676625-351173499-4100330653-1001\..\Run: [AdobeBridge] File not found
[2013/01/13 14:33:33 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{A0C9DF2B-89B5-4483-8983-18A68200F1B4}
[2013/01/13 14:33:36 | 000,000,000 | ---D | M] -- C:\Windows\Installer\{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D}

:reg
[-HKEY_CURRENT_USER\Software\Doko-Toolbar]
[-HKEY_LOCAL_MACHINE\Software\5e6dddfb034ed44]
[-HKEY_LOCAL_MACHINE\Software\Doko-Toolbar]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0

:commands
[emptytemp]

[Buzz49]

Nouveau fichier OTL
http://upload.sosvirus.net/www/?a=di=q9iddLLDfy

Nouveau fichier Extras
http://upload.sosvirus.net/www/?a=di=cPeKcHkbbh

  

[g3n-h@ckm@n]

non en fait c'est C:\_OTL\Moved Files\date_heure.log ^^

[Buzz49]

Je ne retrouve pas ce fichier, ni même les dossiers   

[g3n-h@ckm@n]

donc tu n'as pas cliqué sur correction sur OTL ^^

[Buzz49]

puis clique sur correction
donc tu n'as pas cliqué sur correction sur OTL ^^
Après je dis que je me fais engueuler au boulot!!!

  

http://upload.sosvirus.net/www/?a=di=P3S5c6SqPt

[Buzz49]

Ca semble parfait      

[g3n-h@ckm@n]

d'ac , si plus de soucis avec celui-ci on fait le grand ménage

[Buzz49]

Salut G3n, comment vas tu?

Moi pas trop mal, mon PC un peu moins bien   

Je pense à un pilote qui m**de ou peut être à la RAM.

Voici le sujet:
http://www.forum-entraide-informatique. ... een#139106

Peux tu faire quelque chose pour moi?

Bon après midi ;-)

[g3n-h@ckm@n]

hello ben vu que t'as pas répondu on a même pas fini avec le menage alors....

[Buzz49]

Je suis un sacré gros lourd, j'avais cru lire "on a fait le grand ménage"...

Tu crois que c'est un virus?

[g3n-h@ckm@n]

le ménage c'st ca :

http://gen-hackman.purforum.com/t50-fin-de-desinfection

[Buzz49]

Merci G3n, je vais tenter de suivre la démarche correctement   

[Buzz49]

Voici le rapport DelFix

http://upload.sosvirus.net/www/?a=di=Hn0MJHE2NT

[Buzz49]

J'ai un SSD comme disque système, est ce que je dois quand même "nettoyer l'espace libre" sur ce disque.
Pour l'instant je n'ai pas coché l'option.

[g3n-h@ckm@n]

heyyy...... en fait je sais pas trop pour le ssd je voudrais pas te dire de bêtise j'ai jamais utilisé de disque comme ca... dans le doute , ne le fais pas et renseigne-toi

[Buzz49]

Bon, il semble qu'au même titre qu'il est déconseillé de défragmenter ces "disques" il l'est de nettoyer la MFT.

Avant de procéder au "grand ménage" j'avais essayé de démarrer en mode sans échec, cela fonctionnait, en mode sans échec à réseau, ok mais dès que j'ai lancé Mozilla, couack! page bleue et redémarrage.

Depuis Ton grand ménage R.A.S.

Merci encore G3n.

  

[Buzz49]

J'ai écrit trop vite, Bleue screen est de retour
;-)

[g3n-h@ckm@n]

Télécharge ici : http://www.nirsoft.net/utils/bluescreenview.zip Blue screen View
Décompresse l'archive sur ton Bureau.
Double clique sur le fichier BlueScreenView.exe pour le lancer. (Clic droit Executer en tant qu'administrateur sous Vista/Seven)

A la fin du scan, , clique sur Edit puis Select All.
Puis Go File et Save Selected Items.
Sauve le rapport sous BSOD.txt.
Ouvre BSOD.txt dans le Bloc-notes, copie son contenu et poste le dans ta réponse.