Virus gendarmerie

Bonsoir

Le mode invite de commande ne fonctionne pas,
pour procéder à une restauration?

@+

bonsoir

oui je voulait suivre la procedure pour desinfecter mon pc mais je reviens
automatiquement sur la page du virus
J ai une version vista sur ce pc

Re


On reprend:


Tu procèdes comme pour accéder au mode sans échec mais tu choisis:

Invite de commande en mode sans échec :

Voici ce que tu dois taper (validez avec la touche Entrée à la fin de chaque ligne).

@ pour espace

cd \
cd@windows
cd@system32
rstrui

Pour obtenir :
C : \windows \system32 > rstrui

Cela te permettra d'accéder à la restauration


@+

lorsque je tape sur invite de commande le pc se charge comme en mode normal mon bureau s ouvre et de suite c est a nouveau la page du virus

Re

Et bien lance OTLPE

* une fois le bureau de reatogo chargé , tu lances OTLPE , l'icône jaune

* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", select Yes
* quand demandé "Do you wish to load remote user profile(s) for scanning", select Yes
* vérifier que "Automatically Load All Remaining Users" est sélectionné et press OK
* sous Custom Scan box
1) copie_colle le contenu du cadre ci dessous:

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
disk.sys
ndis.sys
mountmgr.sys
aec.sys
rasacd.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
explorer.exe
winlogon.exe
wininit.exe
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

* copie colle ce texte dans un fichier texte|bloc note que tu enregistres sur clé usb que tu brancheras sous reatogo tu pourras alors facilement le copier\coller.

* 2) Clic Run Scan pour démarrer le scan.
* Une fois terminé , le fichier se trouve là C:\OTL.txt
* Copie_colle le contenu dans ta prochaine réponse.


@+

bonsoir,

voici le rapport de scan que j'ai effectué hier soir

http://pjjoint.malekal.com/files.php?id=OTL_20120121_d138j6i14q15

Re

* Double-clique sur l'icone OTLPE
* quand demandé "Do you wish to load the remote registry", selectionne "Yes"
* quand demandé "Do you wish to load remote user profile(s) for scanning", selectionne "Yes"
* verifier que "Automatically Load All Remaining Users" est sélectionné et presse OK


http://imagesup.org/images6/1272203961-otlpe08.gif

* sous Custom Scan box copie_colle le tout ci dessous et clic RUNFIX



:OTL
O2 - BHO: (no name) - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} - No CLSID value found.
O4 - HKU\TINS_ON_C..\Run: [jgywybxc.exe] C:\Users\TINS\AppData\Roaming\jgywybxc.exe (Don HO don.h@free.fr)

:Files
C:\Users\TINS\AppData\Roaming\jgywybxc.exe


tu conserves le rapport qui s'affiche ; et tu le copies et colles dans ta prochaine réponse


@+

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C}\ not found.
Registry value HKEY_USERS\TINS_ON_C\Software\Microsoft\Windows\CurrentVersion\Run\\jgywybxc.exe not found.
File C:\Users\TINS\AppData\Roaming\jgywybxc.exe not found.
========== FILES ==========
File\Folder C:\Users\TINS\AppData\Roaming\jgywybxc.exe not found.

OTLPE by OldTimer - Version 3.1.48.0 log created on 01212012_222357

Bonjour

As tu lancé deux fois cette manipulation?
Bizarre qu'il ne trouve rien.

Essaye de démarrer normalement

@+

bonjour,
je viens d'allumer l'ordi infecté en demarrage normal et la page du virus ne s'affiche plus. Je ne suis pas rassurée pour autant.

Re

1)* Télécharger sur le bureau RogueKiller(par Tigzy)
* Quitter tous les programmes en cours
* Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
* Sinon lancer simplement RogueKiller.exe
* Lorsque demandé, taper 2 et valider
* Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
* Si le programme a été bloqué, ne pas hésiter a essayé plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe


2)Télécharge Malwaresbytes anti malware ici
http://www.malwarebytes.org/mbam.php

Bouton »Download free version »

* Installe le (choisis bien "français" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : http://www.malekal.com/download/comctl32.ocx

* Potasse le tuto pour te familiariser avec le prg :

http://forum.pcastuces.com/sujet.asp?f=31&s=3

(cela dis, il est très simple d'utilisation).

relance Malwaresbytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

* Lance Malwarebyte's. Sous Vista et Seven (clic droit de la souris « exécuter en tant que administrateur »)

*Procèdes à une mise à jour

*Fais un examen dit "Complet"

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
--> à la fin tu cliques sur "Afficher les résultats" " .
--> Vérifie que tous les objets infectés soient validés, puis clique sur " supprimer la sélection " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwaresbytes, le dernier en date)




Poste les rapports au fur et à mesure;merci

@+

voici le rapport de roguekiller

RogueKiller V6.2.4 [12/01/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur: TINS [Droits d'admin]
Mode: Suppression -- Date : 22/01/2012 16:22:03

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] MediaServerTray.exe -- C:\ProgramData\media center Bouygues Telecom\media center\external\MediaServerTray.exe -> KILLED [TermProc]

¤¤¤ Entrees de registre: 5 ¤¤¤
[SUSP PATH] media center Bouygues Telecom.lnk : C:\ProgramData\media center Bouygues Telecom\media center\external\MediaServerTray.exe -> DELETED
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)
[HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [LOADED] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1 localhost
::1 localhost
127.0.0.1 .supercocklol.com
127.0.0.1 www..webloyalty.com
127.0.0.1 007guard.com
127.0.0.1 www.007guard.com
127.0.0.1 008i.com
127.0.0.1 008k.com
127.0.0.1 www.008k.com
127.0.0.1 00hq.com
127.0.0.1 www.00hq.com
127.0.0.1 010402.com
127.0.0.1 032439.com
127.0.0.1 www.032439.com
127.0.0.1 1001-search.info
127.0.0.1 www.1001-search.info
127.0.0.1 www.100888290cs.com
127.0.0.1 100888290cs.com
127.0.0.1 100sexlinks.com
127.0.0.1 www.100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 4e728343effa764a402cf084f09b35b4
[BSP] 12363dafc8b1110c9583683a9ba0f769 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] FAT16 [HIDDEN!] Offset (sectors): 63 | Size: 57 Mo
1 - [XXXXXX] NTFS [VISIBLE] Offset (sectors): 112640 | Size: 16106 Mo
2 - [ACTIVE] NTFS [VISIBLE] Offset (sectors): 31569920 | Size: 984045 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1].txt >>
RKreport[1].txt

Voilà enfin le rapport de malwarebytes

http://pjjoint.malekal.com/files.php?id=20120122_u13e11c14p8o8

bonjour,

que dois-je faire maintenant, j'ai posté hier les deux rapports demandé,. est-ce que l'infection y est toujours, est-ce que je doit retirer les deux logiciels que vous m'avez fait installer.
Merci

Bonsoir


Procède aux diverses mises à jour;car sinon cela se reproduira.

Pour vérifier les mises à jour logiciels à appliquer sur ton PC
http://secunia.com/vulnerability_scanning/online/
Divers liens te seront proposés pour les logiciels non à jour.


Tiens moi au courant ;et si tu rencontres un problème n'hésites pas .

@+

Bonsoir

Merci beaucoup.
Quelle chance qu'il existe des gens comme vous.