Forum d'Entraide Informatique (FEI)

bonjour,
j'espère que tout le monde va bien et vous remercie d'avance pour le temps que vous passerez sur mon problème!
Je vous explique, mon ami a un pc (hp) sur Windows 8. Sur le bureau, il y a un virus interpol (la variante reventon sur ce site : http://www.malekal.com/2012/01/10/virus ... ral-lutte/ ) je n'arrive pas à passer en mode sans echec, je fais la manip shift+redémarrer ensuite paramètre... mais quand le pc redémarre et que je choisis le mode sans échec simple ou avec prise en charge réseau ou avec invité de commande, le pc redémarre mais en mode normal avec le virus activé.
J'ai créer un live cd malekal le win8PE (avec support uefi) je boot sur le cd; je lance Roguekiller et le rapport de scan qu'il me fournit est en fin de message.
Je vous prie de bien vouloir m'apporter votre aide et dans l'attente de vous lire je vous remercie par avance .


RogueKiller V8.5.1 [Feb 12 2013] by Tigzy
mail : tigzyRKgmailcom
Feedback : http://www.geekstogo.com/forum/files/fi ... guekiller/
Website : http://tigzy.geekstogo.com/roguekiller.php
Blog : http://tigzyrk.blogspot.com/

Operating System : Windows 8 (6.2.9200 ) 64 bits version
Started in : Normal mode
User : SYSTEM [Admin rights]
Mode : Scan -- Date : 05/26/2014 11:34:42
| ARK || FAK || MBR |

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 19 ¤¤¤
[RUN][PREVRUN] HKLM\[...]\RunOnce : ASYNCMAC (rundll32.exe streamci,StreamingDeviceSetup {eeab7790-c514-11d1-b42b-00805fc1270e},asyncmac,{ad498944-762f-11d0-8dcb-00c04fc3358c},X:\windows\INF\netrasa.inf,Ndis-Mp-AsyncMac) [x] - FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) - FOUND
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) - FOUND
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - FOUND
[RUN][BLPATH] [ON_C:]HKLM\Software[...]\Wow6432Node\Run : tuto4pc_fr_42 ("C:\Program Files (x86)\tuto4pc_fr_42\tuto4pc_fr_42.exe") [-] - FOUND
[RUN][SUSP PATH] [ON_C:]HKLM\Software[...]\Wow6432Node\RunOnce : upstv_fr_3.exe (C:\Users\LAURENT\AppData\Local\startertv_fr_3\upstv_fr_3.exe -runonce) [-] - FOUND
[RUN][SUSP PATH] [ON_C:LAURENT]HKCU[...]\Run : Software updater ("C:\Users\LAURENT\AppData\Roaming\FreeSoftwareUpdater\updater.exe" -h hxxp://neoupdater.com/) [-] - FOUND
[RUN][PREVRUN] [ON_C:LAURENT]HKCU[...]\Run : NextLive (C:\Windows\SysWOW64\rundll32.exe "C:\Users\LAURENT\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l) [-] - FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [NOT LOADED] ¤¤¤

¤¤¤ Extern Hives: ¤¤¤
- C:\windows\system32\config\SOFTWARE
- C:\windows\system32\config\SYSTEM
- C:\Users\Default\NTUSER.DAT
- C:\Users\Default User\NTUSER.DAT
- C:\Users\LAURENT\NTUSER.DAT

¤¤¤ Infection : Rogue.ProgFiles ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
-- X:\windows\system32\drivers\etc\hosts



¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MQ01ABD075 SATA Disk Device +++++
--- User ---
[MBR] 768afa554d0d5d623d9ff58669fe5779
[BSP] e7768aeaa3d99c702368c4cf0cd838f6 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 715404 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: SanDisk U3 Cruzer Micro USB Device +++++
--- User ---
[MBR] 7b126b3a4afcc5b673f2f6570e9917a9
[BSP] 4ffab8e3b7d54a95daac057c3f1e3ec8 : MBR Code unknown
Partition table:
0 - [ACTIVE] FAT16 (0x06) [VISIBLE] Offset (sectors): 129 | Size: 1907 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Finished :
RKreport[1]_S_05262014_02d1134.txt

Bonjour,



Passe RogueKiller en Suppression et poste le rapport.

Gabriel.

re,
Merci de la réponse rapide, dès que je clique sur delete il m'affiche une fenetre "crash" qui dit: "oops! The program has crashed. Please restart it to generate a debug log."
je poste en fin de message le debug log.
Merci bien!
http://cjoint.com/?DEAmCPS7UuL

Re,

Alors essaye de passer Pre_Scan : http://www.forum-entraide-informatique. ... n-tutoriel

Gabriel.

passer prescan depuis le live cd ou alors depuis windows 8 sur le DD?
si c'est depuis le live cd alors ça m'affiche une erreure de registre not found si c'est depuis windows 8 sur le DD alors je ne vois pas comment faire sachant que je n'ai pas accès au bureau?
merci

Re,

Depuis le live CD. Cela te met aussi une erreur pour Pre_Scan ?

Gabriel.

re,
oui effectivement avec pre_scan j'ai une fenêtre qui m'affiche
Autolt Error
Line8908 (File"X:\User\default\desktop\pres_can.exe")
Error: Variable must be of type "Object". (pour prescan)
puis avec minlogon.exe cela m'affiche:
Error
No registry files found to save for the selected option
et une seconde fenetre identique à la premiere

une solution?  

Re,

Y'a MBAM aussi sur le CD, tu peux essayer de le passer ? Comme ceci : http://www.forum-entraide-informatique. ... m-tutoriel

Gabriel.

re,
ça m'affiche encore et toujours une erreure, est-ce du au dvd que j'ai gravé?
voilà les erreurs:
première fenêtre:
The malwarebytes antimalware database is missing or corrupt. would you like to download a new copy? (je choisis Yes)(pc connecté en ethernet et fonctionnel..)
puis seconde fenêtre:
runtime error '372'
failed to load control cbagrid from vbalsgrid6.ocx, your version of vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provideed with your application.
et si je choisis no à la première fenêtre:
Product files are missing or corrupt. Please reinstall the product.
PROGRAM_ERROR_LOAD_DATABASE (0,2,SDKCreate)
puis une troisième fenêtre:
runtime error '372'
failed to load control cbagrid from vbalsgrid6.ocx, your version of vbalsgrid6.ocx may be outdated. Make sure you are using the version of the control that was provideed with your application.

Merci pour les réponses!

re,
j'ai ré-esseyé Rogue killer, et ça a fonctionné je met le rapport de scan en fin de message et le rapport de delete en cjoint : http://cjoint.com/14mi/DEAovimuob7.htm
Merci d'y jeter un oeil et de me donner la marche a suivre s'il vous plait

RogueKiller V8.5.1 [Feb 12 2013] by Tigzy
mail : tigzyRKgmailcom
Feedback : http://www.geekstogo.com/forum/files/fi ... guekiller/
Website : http://tigzy.geekstogo.com/roguekiller.php
Blog : http://tigzyrk.blogspot.com/

Operating System : Windows 8 (6.2.9200 ) 64 bits version
Started in : Normal mode
User : SYSTEM [Admin rights]
Mode : Scan -- Date : 05/26/2014 14:15:01
| ARK || FAK || MBR |

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 19 ¤¤¤
[RUN][PREVRUN] HKLM\[...]\RunOnce : ASYNCMAC (rundll32.exe streamci,StreamingDeviceSetup {eeab7790-c514-11d1-b42b-00805fc1270e},asyncmac,{ad498944-762f-11d0-8dcb-00c04fc3358c},X:\windows\INF\netrasa.inf,Ndis-Mp-AsyncMac) [x] - FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) - FOUND
[HJ] HKLM\[...]\Wow6432Node\System : EnableLUA (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) - FOUND
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) - FOUND
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - FOUND
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) - FOUND
[RUN][BLPATH] [ON_C:]HKLM\Software[...]\Wow6432Node\Run : tuto4pc_fr_42 ("C:\Program Files (x86)\tuto4pc_fr_42\tuto4pc_fr_42.exe") [-] - FOUND
[RUN][SUSP PATH] [ON_C:]HKLM\Software[...]\Wow6432Node\RunOnce : upstv_fr_3.exe (C:\Users\LAURENT\AppData\Local\startertv_fr_3\upstv_fr_3.exe -runonce) [-] - FOUND
[RUN][SUSP PATH] [ON_C:LAURENT]HKCU[...]\Run : Software updater ("C:\Users\LAURENT\AppData\Roaming\FreeSoftwareUpdater\updater.exe" -h hxxp://neoupdater.com/) [-] - FOUND
[RUN][PREVRUN] [ON_C:LAURENT]HKCU[...]\Run : NextLive (C:\Windows\SysWOW64\rundll32.exe "C:\Users\LAURENT\AppData\Roaming\newnext.me\nengine.dll",EntryPoint -m l) [-] - FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [NOT LOADED] ¤¤¤

¤¤¤ Extern Hives: ¤¤¤
- C:\windows\system32\config\SOFTWARE
- C:\windows\system32\config\SYSTEM
- C:\Users\Default\NTUSER.DAT
- C:\Users\Default User\NTUSER.DAT
- C:\Users\LAURENT\NTUSER.DAT

¤¤¤ Infection : Rogue.ProgFiles ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
-- X:\windows\system32\drivers\etc\hosts



¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MQ01ABD075 SATA Disk Device +++++
--- User ---
[MBR] 768afa554d0d5d623d9ff58669fe5779
[BSP] e7768aeaa3d99c702368c4cf0cd838f6 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 715404 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished :
RKreport[1]_S_05262014_02d1353.txt ; RKreport[2]_S_05262014_02d1415.txt

Et voilà le rapport de scan après delete, je me suis dit que ça pourrait peut-être t'aider à y voir plus clair...

RogueKiller V8.5.1 [Feb 12 2013] by Tigzy
mail : tigzyRKgmailcom
Feedback : http://www.geekstogo.com/forum/files/fi ... guekiller/
Website : http://tigzy.geekstogo.com/roguekiller.php
Blog : http://tigzyrk.blogspot.com/

Operating System : Windows 8 (6.2.9200 ) 64 bits version
Started in : Normal mode
User : SYSTEM [Admin rights]
Mode : Scan -- Date : 05/26/2014 14:32:40
| ARK || FAK || MBR |

¤¤¤ Bad processes : 1 ¤¤¤
[RESIDUE] lsass.exe -- X:\Windows\System32\lsass.exe [x] - KILLED [TermProc]

¤¤¤ Registry Entries : 1 ¤¤¤
[SHELL][HJNAME] HKLM\[...]\Winlogon : Userinit (X:\windows\system32\userinit.exe,) [x] - FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [NOT LOADED] ¤¤¤

¤¤¤ Extern Hives: ¤¤¤
- C:\windows\system32\config\SOFTWARE
- C:\windows\system32\config\SYSTEM
- C:\Users\Default\NTUSER.DAT
- C:\Users\Default User\NTUSER.DAT
- C:\Users\LAURENT\NTUSER.DAT

¤¤¤ HOSTS File: ¤¤¤
-- X:\windows\system32\drivers\etc\hosts



¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 768afa554d0d5d623d9ff58669fe5779
[BSP] e7768aeaa3d99c702368c4cf0cd838f6 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0xee) [VISIBLE] Offset (sectors): 1 | Size: 715404 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Finished :
RKreport[1]_S_05262014_02d1353.txt ; RKreport[2]_S_05262014_02d1415.txt ; RKreport[3]_D_05262014_02d1415.txt ; RKreport[4]_S_05262014_02d1432.txt

Re,

Vu que t'as réussi le RogueKiller en Suppression, tu peux retenter de démarrer en mode normal voir ?

Gabriel.

re,
alors je ne sais pas si cela a un rapport mais le virus a mis plus de temps à se lancer et il y a my pc optimizer qui s'est lancé et le virus hadopi est revenu...

optimizer pro pardon

et my pc backup

Re,

Même en mode sans échec ?

Gabriel.

je lance le mode sans echec même si le virus s'est lancé ou je refais un delete avec rogue killer?

c'est fait le mode sans echec n'a pas fonctionné...je re-delete avant de continuer?

salut voir pre_scan en local

bonjour,
la désinfection s'arrête là car le propriétaire du PC, étant pressé, l'a ramené dans un cyber cafe pour réparation. Je vous remercie de la suite que vous avez apporté à mon cas vous faites vraiment du boulot super, merci beaucoup et au plaisir de vous lire!
Bon dimanche!

salut ok dans ce cas on ferme , bonne continuation
et si souci , reviens quand tu veux


Si vous aussi êtes infectés ou avez des problèmes similaires merci d'ouvrir un nouveau sujet en cliquant sur ce lien : http://www.forum-entraide-informatique. ... e=newtopic