FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[8brio78]

pourriez vous m'aider à rétablir mon pc
windows 7 64b

[brio78]

rogue killer

RogueKiller V8.3.1 [Nov 20 2012] par Tigzy
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Website: http://www.sur-la-toile.com/RogueKiller/
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : jfb [Droits d'admin]
Mode : Recherche -- Date : 06/12/2012 10:26:58

¤¤¤ Processus malicieux : 1 ¤¤¤
[RESIDUE] Dropbox.exe -- C:\Users\jfb\AppData\Roaming\Dropbox\bin\Dropbox.exe - TUÉ [TermProc]

¤¤¤ Entrees de registre : 8 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : Google Update ("C:\Users\jfb\AppData\Local\Google\Update\GoogleUpdate.exe" /c) - TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-4231038252-30182709-583723007-1000[...]\Run : Google Update ("C:\Users\jfb\AppData\Local\Google\Update\GoogleUpdate.exe" /c) - TROUVÉ
[TASK][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-4231038252-30182709-583723007-1000UA.job : C:\Users\jfb\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler - TROUVÉ
[TASK][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-4231038252-30182709-583723007-1000Core.job : C:\Users\jfb\AppData\Local\Google\Update\GoogleUpdate.exe /c - TROUVÉ
[TASK][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-4231038252-30182709-583723007-1000Core : C:\Users\jfb\AppData\Local\Google\Update\GoogleUpdate.exe /c - TROUVÉ
[TASK][SUSP PATH] GoogleUpdateTaskUserS-1-5-21-4231038252-30182709-583723007-1000UA : C:\Users\jfb\AppData\Local\Google\Update\GoogleUpdate.exe /ua /installsource scheduler - TROUVÉ
[TASK][SUSP PATH] Update Check : C:\ProgramData\Hewlett-Packard\HP Support Framework\Resources\Updater\HPSFUpdater.exe /s /p 1 - TROUVÉ
[STARTUP][SUSP PATH] Dropbox.lnk @jfb : C:\Users\jfb\AppData\Roaming\Dropbox\bin\Dropbox.exe - TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost
192.168.1.44 brioisjf.homeip.net21
192.168.1.44 brioisjf.homeip.net5000
192.168.1.44 brioisjf.homeip.net5005
192.168.1.44 brioisjf.homeip.net5006
192.168.1.45 brioisjf.homeip.net81
192.168.1.44 brioisjf.homeip.net7000
192.168.1.44 brioisjf.homeip.net7001
192.168.1.44 brioisjf.homeip.net9900
192.168.1.44 brioisjf.homeip.net9901
192.168.1.44 brioisjf.homeip.net8080
192.168.1.44 brioisjf.homeip.net
199.94.163.177 zephyr
199.94.162.150 outside.waters.com
10.2.240.16 sapservice
10.2.240.50 its.waters.com
10.2.240.73 portal.waters.com
10.2.240.226 sapdev1
10.2.240.226 sapdev1.water.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD10EADS-65L5B1 +++++
--- User ---
[MBR] 9713cb078562e905c327c3d97dd98422
[BSP] cbe1a3892920c024e3e7b9efc684338e : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 938704 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 1922466420 | Size: 15162 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :
RKreport[1]_S_06122012_102658.txt

[brio78]

malwarebytes

Malwarebytes Anti-Malware (Essai) 1.65.1.1000
http://www.malwarebytes.org

Version de la base de données: v2012.12.06.04

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
jfb :: JFBHOMECOMPUTER [administrateur]

Protection: Activé

06/12/2012 10:45:48
mbam-log-2012-12-06 (10-45-48).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 248602
Temps écoulé: 4 minute(s), 43 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Users\jfb\AppData\Roaming\hellomoto (Trojan.Ransom.FGen) - Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 4
C:\Users\jfb\Favorites\Free Porn Movies and Hardcore Porn Pics at Pornfairies.com.URL (Rogue.Link) - Mis en quarantaine et supprimé avec succès.
C:\Users\jfb\Favorites\Free Porn Videos - Sex, Porno, Porn Tube, Free XXX Porn - PornFuZe.URL (Rogue.Link) - Mis en quarantaine et supprimé avec succès.
C:\Users\jfb\AppData\Roaming\hellomoto\TujP.dat (Trojan.Ransom.FGen) - Mis en quarantaine et supprimé avec succès.
C:\Users\jfb\AppData\Roaming\hellomoto\BukF.dat (Trojan.Ransom.FGen) - Mis en quarantaine et supprimé avec succès.

(fin)

[brio78]

lzhap report

http://cjoint.com/?3LhgjU93vGn

[Invité]

UP

Ce poste est celui de
http://www.forum-entraide-informatique.com/u885stats

[roro04]

Bonjour,

Bonjour,

Afin que votre sujet ai plus de chances d'avoir des réponses, et par simple courtoisie, veuillez ne pas oublier d'utiliser des formules de politesse (Bonjour, merci d'avance, bonne journée, etc...).

N'oubliez pas que les personnes qui vous réponde sont bénévoles, et elles apprécient lorsque la politesse est là !

Cordialement.

À bientôt sur FEI !


Ensuite,

On va faire un diagnostique de ton pc.

• Télécharges ZHPDiag (de Nicolas coolman) sur ton bureau.
• Une fois le téléchargement terminé, double cliques sur ZHPDiag.exe et suis les instructions d'installation. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7).
• Coches la case Créer une icône sur le bureau lors de l'installation.
• A la fin de l'installation, ZHPDiag va se lancer tout seul.
• Cliques sur l'icône représentant une loupe.
• En fin de scan, enregistres le rapport sur ton Bureau. Pour cela, clique sur l’icône représentant une disquette.
• Héberge le rapport sur Cjoint puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Bonne soirée
@+

[brio78]

Merci beaucoup de m'aider
voici le rapport demandé
à bientôt
jf briois

http://cjoint.com/?3LhgjU93vGn

[roro04]

Re,

Désolé pour ce matin j'ai eu un empêchement.

Lance la suppression de RogueKiller.

Ensuite :

• Télécharge RansomFix (de Xplode) sur ton bureau.
• Lance le (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
• Rien ne va s'afficher, c'est normal.
• Poste le rapport contenu sous C:\RansomFix_XXXX.txt ( XXXX correspond à la date et l'heure de création du rapport ) précédemment hébergé sur http://www.cjoint.com

Ensuite refais un ZHPDiag.

Bonne soirée
++

[brio78]

bonsoir roro04
j'ai lancé roguekiller et fait supression
je vais a l'adresse indiquée pour downloader ransomfix mais il n'est pas disponible au telechargement, que dois je faire ?
merci pour ton aide précieuse
jf briois

[roro04]

Re,

Laisse tomber ransomfix, le développeur a abandonné l'outils.

Quels sont les symptômes du PC? Peux-tu me refaire un ZHPDiag?

Bonne journée
++

[brio78]

roro04 merci de me repondre
rien n'a changé car j'attend des instructions avant de faire quoi que ce soit

voici le rapport ZHPDIAG :

http://cjoint.com/?3LjmQrMTk3Y

s'il te plait essaye de repondre vite car j'ai besoin du pc vite
merci d'avance
jf briois

[roro04]

Re,

Je suis BENEVOL alors soit tu attends que je sois disponible, soit on arrête la désinfection. J'ai une vie privée à côté du forum ! Merci.

• On va créer un LiveCD permettant de supprimer les Malwares ou autres, empêchant le démarrage d'un système.
  
• Sur un pc fonctionnel:
• Télécharge OTLPEnet sur ton bureau.
• Lance-le (Clique droit/Exécuter en tant qu'administrateur pour Vista/7) et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
• Une fenêtre va s'ouvrir pour te demander si tu souhaites graver le CD, clique sur le bouton Oui.
• Patiente le temps de la décompression et de la gravure du CD.

[*]Sur le PC infecté

[*]Clique sur MyComputer.
[*]Rends-toi dans le disque dur où se trouve les données.
[*]Insère une clé USB précédemment vacciné grace au logiciel USBFix (Lance le logiciel et clique sur Vacciner)
[*]Copie toute tes données importantes dessus sauf les fichier exécutables (*.exe/*.msi/*.bat)

• Clique sur le bouton en bas à gauche de la barre des tâches.
• Clique sur Run et tape regedit.
• Rends toi dans HKEY_MOCAL_MACHINE\SOFTWARE_ON_C\Microsoft\Windows NT\Current Version\Winlogon
• Dis moi le contenu de la colonne Data en face de Shell et Userinit.

++

[brio78]

roro04 merci encore pour ton aide
j'ai sauvegardé toutes mes données sur un disque externe et j'ai aussi une sauvegarde sur un serveur

mon pc démarre normalement mais pas à tous les coups
là je l'ai démarré en mode sans échec et il tourne en permanence tant que les problèmes ne sont pas réglés

j'ai regardé ce que tu me demandes et je trouve
shell explorer.exe
userinit c:\windows\system32\userinit.exe

je ne sais pas si c'est important mais mon système utilise windows 7 et pas windows NT

merci encore de m'aider car je suis bien embêté
à bientôt
jf briois

[roro04]

Re,

Ok, en mode sans échec.

• Télécharge ComboFix (de sUBs) sur ton bureau et pas à un autre endroit. Avant de l'enregistrer, renomme le en fei.exe
  
  /!\ Ferme toutes les fenêtres ouvertes /!\
  /!\ Attention, combofix est un programme puissant à ne pas utiliser sans prescription par une personne qualifier /!\
• Double clique sur fei.exe afin de le lancer. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
• Clique sur Oui.
• Si tu es sous Windows XP, il va te demander d'installer la console de récupération : tu dois absolument accepter.
  
  /!\ Déconnecte-toi du net APRES l'installation de la console de récupération /!\
• Si tu as installé la console de récupération, répond Oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
  
  /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes, je touche même pas à la souris et au clavier, ça pourrait figer ton PC /!\
• Lorsque la recherche sera terminée, un rapport apparaîtra. Poste ce rapport (C:\Combofix.txt) dans ta prochaine réponse.

Ensuite refais un ZHPDiag.

++

[brio78]

roro04 voici le rapport commbofix

http://cjoint.com/?3LjoU7kkoxa

merci encore pour ton aide
je lance le ZHPdiag et poste le report
à bientôt merci
jf briois

[brio78]

roro04 voici le rappor ZHPdiag

http://cjoint.com/?3Ljo2gHLiIC

merci encore pour ton aide
à bientôt
jf briois

[brio78]

roro04 que dois je faire ensuite
merci encore pour ton aide
jf briois

[roro04]

Poster le ZHPDiag

[brio78]

roro04 merci encore pour ton aide
voici le rapport ZHdiag demande

http://cjoint.com/?3LjuIChne5p

à bientôt
jf briois

[roro04]

Re,

Est-ce que ton PC démarre normalement?

On va supprimer quelques lignes manuellement
/!\ Le script proposé ci-dessous n'est valable que pour l'helpé en cours /!\

• Clique sur l'icône ZHPFix présente sur ton bureau. (Clique droit/Exécuter en tant qu'administrateur pour Vista/7)
• Copie le texte contenu dans le lien ci-dessous.
  
  https://dl.dropbox.com/u/25938013/Nouve ... te%202.txt
• Clique sur l'icone (Coller le presse papier)
• Clique sur Go.
• Poste le rapport qui s'affiche.

++

[brio78]

roro04 merci encore pour ton aide
oui mon pc demarre normalement
j'ai fait la procedure zhpfix et voici le rapport : http://cjoint.com/?3LjvjB6gybl

merci a nouveau et que dois je faire maintenant
jf briois

[brio78]

roro04 merci encore pour ton aide
oui mon pc demarre normalement
j'ai fait la procedure et voici le report : http://cjoint.com/?3LjvjB6gybl
que faut il faire meintenant
merci a nouveau
jf briois

[roro04]

Refais un ZHPDiag s'il te plait

++

[brio78]

roro04 merci de ta persévérence, mon pc ne redémarre pas à tous les coups en mode normal et j'ai été obligé de le faire en mode sans échec.
voici le rapport ZHdiag

http://cjoint.com/?3LltPK81jKH


merci de continuer à m'aider quand tu as le temps, je ne fais ien d'autre et j'attends tes instructions
à bientôt
jf briois

[roro04]

Ok, j'analyse ton rapport demain

++

[roro04]

Salut !

Peux-tu fixer ces lignes avec ZHPFix?


O4 - Global Startup: C:\Users\jfb\Desktop\The Owl.lnk . (...) -- C:\Windows\Installer\{0169A8FA-821F-4403-B414-C85F75B8BDCE}\_93B0354026BC42A4567073.exe
O43 - CFD: 25/02/2012 - 10:36:48 - [8,309] ----D C:\Program Files (x86)\2SE
O43 - CFD: 19/09/2012 - 16:04:16 - [2,775] ----D C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
O43 - CFD: 05/09/2012 - 16:53:24 - [0,163] ----D C:\ProgramData\ksrirdyoezyeuqj
O43 - CFD: 27/02/2012 - 09:27:34 - [0,177] ----D C:\Users\jfb\AppData\Local\IFM38
O43 - CFD: 25/02/2012 - 10:02:27 - [21,493] ----D C:\Users\jfb\AppData\Local\IFM39
O44 - LFC:[MD5.10335BD812788D1D01C4B600AF8D6E44] - 06/12/2012 - 21:54:16 ---A- . (...) -- C:\{C5074951-381F-487B-83C4-D5BA1C56E7DA} [3656]
O44 - LFC:[MD5.37F58F364A3B65F6D9A24CAD7EBCEFA3] - 06/12/2012 - 21:52:56 ---A- . (...) -- C:\{AD1B26B7-89CF-4AE3-9275-9E0DB0882E0A} [3904]
O44 - LFC:[MD5.8DC9ABEDAE5C8F20E6F9FDE45588FFE8] - 06/12/2012 - 20:50:30 ---A- . (...) -- C:\{7C8D9E5F-623B-4307-A2B4-4BAD8BBDE21B} [4024]
O43 - CFD: 21/10/2011 - 20:10:26 - [45,266] ----D C:\ProgramData\{D3B41B92-9BC2-43EB-916A-4FA9E8191837}
O43 - CFD: 09/12/2012 - 15:29:35 - [0] ----D C:\Users\jfb\AppData\Local\{147870A5-3B1F-43D9-939C-0E529F82BB81}
O43 - CFD: 10/12/2012 - 17:28:44 - [0] ----D C:\Users\jfb\AppData\Local\{F8453B2E-3A03-412A-8327-602CFC3A3A44}
O44 - LFC:[MD5.211962EE4F0245E0A47384F29E37A9ED] - 11/12/2012 - 19:20:48 ---A- . (...) -- C:\ndsvc.log [3219]


Ensuite refais un ZHPDiag, on arrive au bout.

++

[brio78]

rooro04 merci
j'ai fait la manoeuvre et voici le rapport ZHdiag

http://cjoint.com/?3LmpzST8RsK

merci encore
à bientôt
jf briois

[roro04]

Je voudrais bien le rapport de ZHPFix avant s'il te plait

[brio78]

ror04 voici le rapport ZHPfix

apport de ZHPFix 1.3.01 par Nicolas Coolman, Update du 22/09/2012
Fichier d'export Registre :
Run by jfb at 12/12/2012 15:18:35
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : http://nicolascoolman.skyrock.com/



========== ==========
SUPPRIME Folder: C:\Program Files (x86)\2SE
SUPPRIME Folder: C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
SUPPRIME Folder: C:\ProgramData\ksrirdyoezyeuqj
SUPPRIME Folder: C:\Users\jfb\AppData\Local\IFM38
SUPPRIME Folder: C:\Users\jfb\AppData\Local\IFM39
SUPPRIME Folder: C:\ProgramData\{D3B41B92-9BC2-43EB-916A-4FA9E8191837}
SUPPRIME Folder: C:\Users\jfb\AppData\Local\{147870A5-3B1F-43D9-939C-0E529F82BB81}
SUPPRIME Folder: C:\Users\jfb\AppData\Local\{F8453B2E-3A03-412A-8327-602CFC3A3A44}

========== ==========
SUPPRIME c:\users\jfb\desktop\the owl.lnk
SUPPRIME c:\windows\installer\{0169a8fa-821f-4403-b414-c85f75b8bdce}\_93b0354026bc42a4567073.exe
SUPPRIME c:\{c5074951-381f-487b-83c4-d5ba1c56e7da}
SUPPRIME c:\{ad1b26b7-89cf-4ae3-9275-9e0db0882e0a}
SUPPRIME c:\{7c8d9e5f-623b-4307-a2b4-4bad8bbde21b}
SUPPRIME c:\ndsvc.log


========== ==========
8 :
6 :


End of clean in 00mn 05s

========== ==========
C:\ZHP\ZHPFix[R1].txt - 09/12/2012 21:06:24 [114868]
C:\ZHP\ZHPFix[R2].txt - 12/12/2012 15:18:35 [1280]



merci encore pour ton aide
jf briois

[brio78]

roro04 windows me semble avoir des problèmes sur mon pc, est ce que je peux reinstaller windows 7 depuis le cd sans perdre ma configuration ?
merci pour ton aide
à bientôt
jf briois

[roro04]

Hello !

Quels genres de problèmes? Sans perdre ta configuration c'est à dire?

++

[brio78]

roro04 j'ai des icones ou des boutons qui ne marchent plus, j'obtiens "une erreur s'est produite lors de l'envoi d'une commande au programme" quand je cliques sur l'icone ou sur le menu windows. Ce comportement est rès génant
d'autre part windows live mail et windows messenger se figent et au bout de 10 a 20 minutes j'obtiens "windows live communication platform a cessé de fonctionner" ensuite je peux ouvrir windows live mail et windows messenger.
j'ai vu dans des messages disanr qu'une attaque "zero access" produirai des choses de ce genre ou peut etre est ce du a trojan ransom fgen.

je me demande si je ne pourrai pas recharger windows7 sans perdre les programmes installés avec leur config et les données. J'ai de toute facon une sauvegarde des données donc le plus génant serai de perdre les programmes installés avec leur config. Je sais bien que j'espère beaucoup et qu'il me faudra m'adapter au possible.

il y a peut etre eu 2 virus.
merci de continuer à m'aider

merci encore de me consacrer du temps
à bientôt
jf briois

[roro04]

Hello !

Oui tu auras de toutes façons des problèmes, un PC touché par zeroaccess n'est jamais stable après.

Pour tes programmes, il y a de fortes chances que ce soit impossible de sauvegarder la config.

Quels programmes voudrais-tu sauver la config???

Bonne soirée
++

[brio78]

roro04 merci pour tes reponses
quelle est la meilleures facon de redemarrer pour moi
recharger windows7 sp1(mon disque date de 3 ans et n'est donc pas windows 7 sp1), il me faudrait acheter windows7 sp1, dans ce cas vais je garder lotus notes et sa configuration
ou formater et repartir du disque originel de mon pc et donc tout perdre
y a t'il une autre solution
que faut il faire dans mon cas

merci pour ton aide
jf briois

[roro04]

Hello !

Tu peux essayer une réparation avec le CD de Windows 7... Tu veux que je t'aide pour cette procédure?

++

[brio78]

roro04, j'ai réussi à faire une réinstallation de windows 7 avec mon cd d'upgrade après avoir désinstallé sp1
les choses semblent revenues à la normale
dois je faire du nettoyage particulier
quel logiciel dois je utiliser pour me protéger en continu des malwares (un soft gratuit qui surveille en continu)
merci pour ton aide
à bientôt
jf briois

[:-) onailuiG naS]

Bonjour ...

En attendent que roro revienne je t'invite a télécharger ca (il est gratuit)
http://www.commentcamarche.net/download ... lwarebytes
Mais pour une surveillance en continue il est payant.


Installe le, fait une mise a jour, et scan ton PC, si il te trouve des virus ne fait rien et poste ton rapport a roro qui te dira quoi faire.

Il te faut un antivirus aussi bien sur celui la par exemple, il fait l'unanimité.
http://www.commentcamarche.net/download ... -151-avast

Surtout ne fait pas scanner les deux logiciels en même temps.

Vérifie aussi que ton Windows tout neuf soit bien a jour.

Tu verras roro sera de mon avis.

San Giuliano.

[roro04]

Hello !

Salut San (?) quel beau pseudo T'as changé de pseudo ?

brio78, fais moi un ZHPDiag quand même, histoire de voir si des trucs ne sont pas revenus.

Ensuite, installe AVAST et Malwarebytes APRÈS avoir désinstaller toutes tes protections existantes.

++