|
Posté le 29/05/2011 @ 17:41 |
Petit astucien
|
Bonsoir tout le monde ,
Je possède Windows 7 et internet explorer 8.0 .
Mercredi dernier ,j'ai été infecté par le virus windows 7 recovery.
Mon antivirus Avira n'ayant pas renouvelé sa mise à jour automatique, celui çi l'a detecté mais pas supprimer et a infecté mon systeme pendant que windows update effectuaient ses mise à jour . Et mon parfeu windows ne l'a pas bloqué.
Mes Documents transparents ,plus d'icones sur le bureau et plus de fond d'ecran , pc lent et message d'erreur 33% de cluster defectueux, disque dur deconnecté et me demander de nettoyer les erreurs en donnant mes coordonnées de carte bancaire .
De plus Le virus a interrompu l'installation des mises à jour de windows update à 35% et me laisser 5 mn pour agir avant de redemarrer chaque fois mon pc . J'ai réussi à télécharger 3 logiciels et a les utiliser dans la foulée , Rogue killer (option 1, 2, 6) ,Malwaresbytes et ZHP fix (j'ai omis de l'utiliser )et Unhide (idem) en effectuant des recherches mais j'ai du mal les utiliser. Rogue killer m'a envoyé directement dans une session temporaire avec un tas d'erreurs dans des clusters que j'ai su supprimer en effctuant un scan disk.
Ma session est partie en profil temporaire.Avira s'étant mise à jour ,celui çi m'a supprimé 10 trojan ,malware 3 trojan mais je ne pouvais plus accéder à mon compte administrateur principal car je suis parti dans une session temporaire .Réussissant à creer un nouveau compte utilisateur et à copier les fichiers que je n'avais pas perdu par chance dans mon ancien compte utilisateur ,j'ai pu supprimé ma session temporaire mais pas entièrement et revenir à mes anciens reglages de bureau et retrouver mon systeme comme avant .
Cependant ,il m'est impossible de restaurer mon ordinateur a un etat antérieur car les points de suavegarde sont effacés, ni de formater rapidement mon disque car celui çi ne veut pas.
Mais maintenant ,il m'est impossible de télécharger quoique ce soit sur internet explorer 8.0,ni de regarder une video sur youtube par exemple car j'obtiens le message suivant chaque fois ceçi quand je veux télécharger ou au démarrage windows :
" Internet explorer Moteur de recherche par défaut,
Un programme de votre ordinateur a corrompu le paramètre de votre moteur de recherche par defaut internet explorer."
Mon moteur de recherche par défaut est google Tool barre . J'ai été dans Gerer les moteurs de recherche--->panneau d'affichage---> afficher et gerer les modules complémentaires d'internet explorer.
Je n'ai qu'une barre des taches : Google par defaut, je clique dessus et rechercher des suggestions est desactivé et empêcher des programmes par defaut de suggerer des modifications à mon moteur de recherche coché Mais quand je le ferme , il se décoche automatiquement et les cases par defaut et supprimer sont grisées.
J'ai aussi 9 fois sur 10 quand j'effectue une recherche sur internet explorer, une page affichant celà "les meilleures offres à acheter" et on me renvoit toujours sur une page quand j'effctue une recherche appelée: Gomeo ou il est inscrit au dessus de l'icone "Eyes on the web", page de recherche avec une multitude de publicités !!
Enfin je me suis decidé à utiliser le logiciel ZHP diag car je ne le comprenais pas trop mais après tatonnement ,j'ai réussi à le faire fonctionner .
J'ai effectué un scan de celui çi et il a du mal ,s'arretait à 44% mais j'ai réussis à le terminer et voiçi le rapport qu'il m'a donné ( extrait des points obscures de l'analyse !!) :
Rapport de ZHPDiag v1.27.213 par Nicolas Coolman, Update du 24/05/2011
Run by Alexandre at 5/29/2011 4:32:14 PM Web site : http://www.premiumorange.com/zeb-h [...] pdiag.html
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system] EnableLUA: Modified
-\\ Internet Explorer, Démarrage,Recherche,URLSearchHook, Phishing (R0,R1,R3,R4) R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com R0 - HKUS\S-1-5-21-1016556084-3091970497-507946437-1000\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orange.fr R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Extensions Off Page = about:noadd-ons R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Security Risk Page = about:securityrisk R1 - HKUS\S-1-5-21-1016556084-3091970497-507946437-1000\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com
R3 - URLSearchHook: Microsoft Url Search Hook - {CFBFAE00-17A6-11D0-99CB-00C04FD64497} . (.Microsoft Corporation - Navigateur Internet.) (8.00.7600.16385 (win7_rtm.090713-1255)) -- C:\Windows\System32\ieframe.dll R4 - HKLM\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,EnabledV8 = 0 R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 1
--\\ Browser Helper Objects de navigateur (O2) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} Clé orpheline O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} . (.Adobe Systems Incorporated - Adobe PDF Helper for Internet Explorer.) -- C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} . (.Microsoft Corporation - WindowsLiveLogin.dll.) -- C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} . (.Google Inc. - Google Toolbar.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} . (.Google Inc. - GoogleToolbarNotifier.) -- C:\Program Files\Google\GoogleToolbarNotifier\5.2.4204.1700\swg.dll O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} . (.Google Inc. - Fast Search.) -- C:\Program Files\Google\Google Toolbar\Component\fastsearch_B7C5AC242193BB3E.dll O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Free Download Manager\iefdm2.dll
---\\ Trojan Driver Search Data (HKLM) (O52) O52 - TDSD: \Drivers32\"msacm.l3acm"="C:\Windows\System32\l3codeca.acm" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Layer-3 Audio Codec for MSACM.) -- C:\Windows\System32\l3codeca.acm O52 - TDSD: \Drivers32\"vidc.cvid"="iccvid.dll" . (.Radius Inc. - Codec Cinepak®.) -- C:\Windows\System32\iccvid.dll O52 - TDSD: \Drivers32\"msacm.ac3filter"="ac3filter.acm" . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\ac3filter.acm O52 - TDSD: \Drivers32\"vidc.XVID"="xvidvfw.dll" . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\xvidvfw.dll O52 - TDSD: \Drivers32\"VIDC.FFDS"="ff_vfw.dll" . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\ff_vfw.dll O52 - TDSD: \Drivers32\"msacm.avis"="ff_acm.acm" . (.Pas de propriétaire - ffdshow Audio Decoder.) -- C:\Windows\System32\ff_acm.acm O52 - TDSD: \drivers.desc\"C:\Windows\System32\l3codeca.acm"="Fraunhofer IIS MPEG Layer-3 Codec" . (.Fraunhofer Institut Integrierte Schaltungen - MPEG Layer-3 Audio Codec for MSACM.) -- C:\Windows\System32\l3codeca.acm O52 - TDSD: \drivers.desc\"ac3filter.acm"="AC3Filter ACM codec" . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\ac3filter.acm O52 - TDSD: \drivers.desc\"ff_vfw.dll"="ffdshow video encoder" . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\ff_vfw.dll O52 - TDSD: \drivers.desc\"xvidvfw.dll"="Xvid MPEG-4 Video Codec" . (.Pas de propriétaire - Pas de description.) -- C:\Windows\System32\xvidvfw.dll O52 - TDSD: \drivers.desc\"ff_acm.acm"="ffdshow ACM codec" . (.Pas de propriétaire - ffdshow Audio Decoder.) -- C:\Windows\System32\ff_acm.acm
--\\ Scan Additionnel (O88) Database Version : 8248 - (24/05/2011) Clés trouvées (Keys found) : 5 Valeurs trouvées (Values found) : 1 Dossiers trouvés (Folders found) : 1 Fichiers trouvés (Files found) : 0
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] =>Toolbar.Agent [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] =>Adware.AskSBar [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}] =>Adware.AskSBar [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440} =>Adware.AskSBar C:\Users\Alexandre\Appdata\Local\Temp\AskSearch =>Adware.AskBarDis
-\\ Scan Additionnel (O88) Database Version : 8248 - (24/05/2011) Clés trouvées (Keys found) : 5 Valeurs trouvées (Values found) : 1 Dossiers trouvés (Folders found) : 1 Fichiers trouvés (Files found) : 0
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}] =>Toolbar.Agent [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}] =>Adware.AskSBar [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}] =>Adware.AskSBar [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{D4027C7F-154A-4066-A1AD-4243D8127440} =>Adware.AskSBar
C:\Users\Alexandre\Appdata\Local\Temp\AskSearch =>Adware.AskBarDis ---\\ Recherche Master Boot Record Infection (MBR)(O80) Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net Run by Alexandre at 5/29/2011 4:34:00 PM
device: opened successfully user: MBR read successfully
Disk trace: called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8725C1ED]<< 1 nt!IofCallDriver[0x8307FED0] -> \Device\Harddisk0\DR0[0x871EF030] 3 CLASSPNP[0x8CA1059E] -> nt!IofCallDriver[0x8307FED0] -> \Device\Ide\IAAStorageDevice-1[0x8679B028] kernel: MBR read successfully user & kernel MBR OK
---\\ Recherche Master Boot Record Infection (MBRCheck)(O80) Written by ad13, http://ad13.geekstog Run by Alexandre at 5/29/2011 4:34:02 PM
********* Dump file Name ********* C:\PhysicalDisk0_MBR.bin
---\\ Liste des émulateurs de CD/DVD (Hook du MBR) O58 - SDL:[MD5.18000000000000000000000064EF1200] - 8/9/2010 - 12:00:00 AM ---A- . (...) -- C:\Windows\system32\drivers\sptd.sys [691696]
End of the scan (1158 lines in 48mn AMs)(0)
Cependant il ya le logiciel ZHP fix aussi avec une icone de piqure mais je préfère vous demander avant de faire une erreur. Visiblement ,je suis toujours infecté !!
Désolé encore pour la longueur du post , j'ai voulu être le plus précis possible pour vous aiguiller mais celà fait 5 jours que je suis dessus et j'en peux plus , j'en dors pas !!
Pouvez vous m'aider pour resoudre ce problème de barre des taches sur internet explorer et supprimer ce maudit trojan svp ?
Je vous remercie d'avance .
Modifié par Ishitogi le 29/05/2011 19:36
|
|
|
|
|
|
Posté le 30/05/2011 à 11:09 |
|
Je vais tenté de t'aider.
Dans le pire des cas possèdes tu tes cd's de recovery usine?.
Ne fais pas autre chose que ce qui est noté ci-dessous. Tu fais tout dans l'ordre sans t'arrêter, c'est dire roggue killer malwarebyte et zhpdiag puis tu postes les rapports quand tout est fini.
1/ Télécharger Rogue Killer par Tigzy sur le bureau Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur Si le programme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous.. Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe Quittez tous tes programmes en cours et lancez le Quand on vous le demande, tapez 1 et valider Un rapport (RKreport.txt) apparait sur le bureau montrant les processus infectieux tués Nettoyage du registre Passer en Mode 2 Si votre fichier HOSTS est corrompu (Section HOSTS du rapport), relancer RogueKiller en mode 3 pour en restaurer une copie saine Pour supprimer un proxy Passer en Mode 4 Pour corriger les Dns Passer en Mode 5 Si vos raccourcis et dossiers du bureau/menu démarrer/etc ont diparu, relancer en Mode 6 Copier/Coller le contenu des rapports dans la réponse
Utilise les Options 1 - 2 et 6
2/ Malwarebytes
Installe Malwarebytes puis met le à jour, enfin fais un scan rapide. Tuto (merci nico_dodo)
3/ Zhpdiag
suivre ce guide (Merci à Fill)
Pour les options faire comme ceci
Clique sur le et clique sur "Tous"
les rapports
- rogue killer 1 - 2 et 6
- malwarebytes
- zhpdiag le tien est très incomplet
labougie Modifié par Labougie le 30/05/2011 11:10 |
|
Posté le 30/05/2011 à 12:27 |
Petit astucien
| Bonjour Labougie,
Merçi beaucoup de vouloir m'aider .
Je vais tenté de t'aider.
Dans le pire des cas possèdes tu tes cd's de recovery usine?.
Et bien je ne les ai pas eu quand j'ai acheté mon ordinateur portable samsung r620 .
Mais j'ai créé un disque de réparation système qui n'a pas marcher parce que peut être je l'ai mal utilisé.
Aussi , je possède le logiciel Samsung Recovery qui a créé une sauvegarde initial de l'ordinateur mais le point de restauration n'est il pas infecté aussi ?
Car j'avais perdu tous ceux de windows 7 en tout cas à cause de ce virus.
Cependant j'ai racheté recemment un ordinateur fixe pour chez moi (Medion) et ils m'ont offert le cd recovery de Windows 7 edition familiale. Mais la clé d'installation est différente du samsung biensur .
« Citation inutile supprimée par la modération »
C'est d'accord ,je vais effectuer la procédure que tu me conseilles car il me reste sur mes 3 dvd de sauvegarde de "Mes documents" mais j'ai les logiciels que tu m'as cités dessus : Rogue Killer, MalwaresBytes et ZHP Diag et Unhide heureusement.
Je sais que ce n'était pas conseillé d'enregistrer mes documents en étant infecté mais ayant peur de perdre tout mes fichiers , j'ai préféré les sauvegarder sur 3 dvd et les ai passés au crible avec antivira qui n'a rien detecté .
Mais il m'est impossible de télécharger quoique ce soit sur internet explorer ni ggogle ,rien en ce moment.
Je vais effectuer la procédure que tu me me recommandes et je te posterais le rapport quand ce sera fini . |
|
Posté le 30/05/2011 à 12:34 |
Petit astucien
| C'est étrange quand je lance Rogue killer sur mon pc ,il m'annonce que ma version est périmée et en télécharger une version récente et me demande si je veux continuer avec celle ci ,c'est la version (5.1.6) .
Est ce que je peux continuer avec cette version et ne va t-elle pas me poser des problèmes Labougie ? |
|
Posté le 30/05/2011 à 12:41 |
| je viens de charger la version sur le lien donné.
Clique droit / propriétés / détails la version courante est : 5.1.9.0
vérife et lance l'outil
labougie |
|
Posté le 30/05/2011 à 14:48 |
Petit astucien
| |
|
Posté le 30/05/2011 à 20:58 |
| Bonsoir,
Pour rogue killer prends cette version (modifiée, ne t'inquiète pas de la couleur ou forme de l'icône, c'est normal).
Options 1 - 2 (si tes fichiers sont toujours absents alors 6).
Je regarde tes rapports dans la soirée.
Pour malwarebytes, mets le sur le forum car tu t'es trompé, tu n'a pas fournis le bon .
Pour zhpdiag, j'aviserai en soirée.
Tes problèmes viennent du téléchargement, tu as toute la panoplie . . .
labougie |
|
Posté le 30/05/2011 à 22:23 |
Petit astucien
| Bonsoir Labougie,
Pour rogue killer prends cette version (modifiée, ne t'inquiète pas de la couleur ou forme de l'icône, c'est normal).
Options 1 - 2 (si tes fichiers sont toujours absents alors 6).
Je ne peux pas télécharger sur internet ,c'est impossible .Les panneau de téléchargement s'efface à 0% sur chaque lien .
Je regarde tes rapports dans la soirée.
Merçi beaucoup !!
Pour malwarebytes, mets le sur le forum car tu t'es trompé, tu n'a pas fournis le bon
J'ai les 3 rapports mais je ne peux pas les mettre sur ci joint , je les poste içi :
-celui du 26/05/2011:
Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org
Version de la base de données: 6679
Windows 6.1.7600 Internet Explorer 8.0.7600.16385
26/05/2011 02:16:49 mbam-log-2011-05-26 (02-16-49).txt
Type d'examen: Examen complet (C:\|) Elément(s) analysé(s): 161266 Temps écoulé: 39 minute(s), 12 seconde(s)
Processus mémoire infecté(s): 1 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 4
Processus mémoire infecté(s): c:\programdata\33283832.exe (Rogue.FakeHDD) -> 1256 -> Unloaded process successfully.
Module(s) mémoire infecté(s): (Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté)
Dossier(s) infecté(s): (Aucun élément nuisible détecté)
Fichier(s) infecté(s): c:\programdata\33283832.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully. c:\programdata\tkbegfnootvpbn.exe (Trojan.FakeMS) -> Quarantined and deleted successfully. c:\Users\alexandre\Desktop\rk_quarantine\33283832.exe.vir (Rogue.FakeHDD) -> Quarantined and deleted successfully. c:\Users\alexandre\Desktop\rk_quarantine\tkbegfnootvpbn.exe.vir (Trojan.FakeMS) -> Quarantined and deleted successfully.
- celui du 29/05/2011:
Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org
Version de la base de données: 6710
Windows 6.1.7600 Internet Explorer 8.0.7600.16385
29/05/2011 12:30:42 mbam-log-2011-05-29 (12-30-42).txt
Type d'examen: Examen complet (C:\|) Elément(s) analysé(s): 285050 Temps écoulé: 49 minute(s), 6 seconde(s)
Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0
Processus mémoire infecté(s): (Aucun élément nuisible détecté)
Module(s) mémoire infecté(s): (Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté)
Dossier(s) infecté(s): (Aucun élément nuisible détecté)
Fichier(s) infecté(s): (Aucun élément nuisible détecté)
- celui du 30/05/2011:
Malwarebytes' Anti-Malware 1.50.1.1100 www.malwarebytes.org
Version de la base de données: 6710
Windows 6.1.7600 Internet Explorer 8.0.7600.16385
30/05/2011 15:59:52 mbam-log-2011-05-30 (15-59-52).txt
Type d'examen: Examen rapide Elément(s) analysé(s): 162598 Temps écoulé: 3 minute(s), 20 seconde(s)
Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 0
Processus mémoire infecté(s): (Aucun élément nuisible détecté)
Module(s) mémoire infecté(s): (Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté)
Dossier(s) infecté(s): (Aucun élément nuisible détecté)
Fichier(s) infecté(s): (Aucun élément nuisible détecté)
Pour zhpdiag, j'aviserai en soirée.
Merçi beaucoup !!
Tes problèmes viennent du téléchargement, tu as toute la panoplie . . .
Aie !! |
|
Posté le 30/05/2011 à 23:32 |
|
Je ne peux pas télécharger sur internet ,c'est impossible .Les panneau de téléchargement s'efface à 0% sur chaque lien .
As tu un scd pc, si oui, ben charge à partir de celui-ci, mais auparavant sur ce second pc fais ceci
Usbfix Recherche
Télécharge UsbFix (de C_XX) sur ton Bureau.
http://www.teamxscript.org/usbfixTelechargement.html
- Lance l'installation avec les paramètres par défaut.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
- Double-clique sur le raccourci UsbFix sur ton Bureau.
- Choisis l'option Recherche.
- Après redémarrage, poste le rapport UsbFix.txt
- il se trouve => c:\usbfix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque. c:\usbfix.txt
Aide en image (Merci à C_XX)
Et tu me postes le rapport ne fais rien d'autre, mais insert bien tes supports USB, Ok. Si infection nous le traiterons ensuite.
/////
26/05/2011 02:16:49 mbam-log-2011-05-26 (02-16-49).txt
montre déjà ceci
Fichier(s) infecté(s): c:\programdata\33283832.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully. c:\programdata\tkbegfnootvpbn.exe (Trojan.FakeMS) -> Quarantined and deleted successfully. c:\Users\alexandre\Desktop\rk_quarantine\33283832.exe.vir (Rogue.FakeHDD) -> Quarantined and deleted successfully. c:\Users\alexandre\Desktop\rk_quarantine\tkbegfnootvpbn.exe.vir (Trojan.FakeMS) -> Quarantined and deleted successfully.
c'est que tu as déjà utilisé rogue killer, raison pour laquelle il t'inque que ta version est obsolète . Mais passe l'option 4. Pas bien de me cacher des choses.
En as tu cacher d'autres?
donne moi les rapports de rogue killer (ceux que tu as ontenus)
avant d'aller plus loin je souhaite avoir tes rapports de rogue killer,
labougie Modifié par Labougie le 31/05/2011 00:00 |
|
Posté le 30/05/2011 à 23:52 |
| Sur ton pc infecté,je voudrais que tu fasses ceci.
- démarrer / clique droit sur démarrer / proprièté /
- onglet menu "démarrer" / "personnaliser"
- dans la liste coche "exècuter"
fais démarrer /exécuter et tape "regedit" puis "entrée"
pour naviguer il faut cliquer sur les + et être très prudent surtout, je suis hyper sérieux OK
navigue jusqu'a cette clé
HKey_Current_User\Software\Microsoft\Internet Explorer\Download
dans le cadre de droite tu as ceci
Clique droit sur "CheckExeSignatures" "modifier" est remplace le "no" par "yes"
Ferme toutes les fenêtres et redémarre, tu doit pourvoir charger maintenant.
Tiens moi informé
labougie
|
|
Posté le 31/05/2011 à 17:13 |
Petit astucien
| Bonjour labougie,
As tu un scd pc, si oui, ben charge à partir de celui-ci, mais auparavant sur ce second pc fais ceci
Usbfix Recherche
Oui j'ai un cd pc du deuxième ordinateur (le medion fixe) mais pas sur le portable samsung .
Cependant, le deuxième pc, je ne peux pas l'utiliser car je n'ai pas d'ecran ,ni de haut parleurs ,je n'ai que l'unité centrale achetée depuis février et je dois choisir l'ecran LCD pour le pc mais depuis février ,j'ai du mal à effectuer un choix pour l'ecran LCD .
Entre temps ,j'ai eu des projets professionnels qui m'ont pris beaucoup de temps à effectuer et j'ai du reporter ce choix à faire avant que le virus vienne et que je ne peux plus rien choisir .
As tu un scd pc, si oui, ben charge à partir de celui-ci, mais auparavant sur ce second pc fais ceci
Usbfix Recherche
Télécharge UsbFix (de C_XX) sur ton Bureau.
http://www.teamxscript.org/usbfixTelechargement.html
- Lance l'installation avec les paramètres par défaut.
- Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.
- Double-clique sur le raccourci UsbFix sur ton Bureau.
- Choisis l'option Recherche.
- Après redémarrage, poste le rapport UsbFix.txt
- il se trouve => c:\usbfix.txt
Note : le rapport UsbFix.txt est sauvegardé à la racine du disque. c:\usbfix.txt
Aide en image (Merci à C_XX)
Et tu me postes le rapport ne fais rien d'autre, mais insert bien tes supports USB, Ok. Si infection nous le traiterons ensuite.
/////
Donc je ne peux pas télécharger ce logiciel
c'est que tu as déjà utilisé rogue killer, raison pour laquelle il t'inque que ta version est obsolète . Mais passe l'option 4. Pas bien de me cacher des choses.
En as tu cacher d'autres?
Oui j'avais déjà téléchargé et utilisé ces 3 logiciels quand j'étais en session temporaire et que ej pouvais encore télécherger sur internet explorer mais j'ai effacé les rapports de Rogue killer et quand je suis arrivé à sortir de la session temporaire et bien impossible de télécharger sur internt explorer .
Par contre j'ai réussi à trouver les rapports de Malwares bytes que je n'avais pas effcé quand je l'ai réinstallé dans la session normale.Ne t'inquiète pas ,je ne suis pas cachotier ,seulement poisseux !!
avant d'aller plus loin je souhaite avoir tes rapports de rogue killer,
labougie
Je peux pas ,je les retrouve plus, je les ai mis dans ma corbeille et supprimer .Je pensais que c'était des virus contenus en quarantaine , désolé ...Si tu as une astuce pour me les faire récupérer ,je suis preneur .
Sur ton pc infecté,je voudrais que tu fasses ceci.
- démarrer / clique droit sur démarrer / proprièté /
- onglet menu "démarrer" / "personnaliser"
- dans la liste coche "exècuter"
fais démarrer /exécuter et tape "regedit" puis "entrée"
pour naviguer il faut cliquer sur les + et être très prudent surtout, je suis hyper sérieux OK
navigue jusqu'a cette clé
HKey_Current_User\Software\Microsoft\Internet Explorer\Download
dans le cadre de droite tu as ceci
Sur ton pc infecté,je voudrais que tu fasses ceci.
- démarrer / clique droit sur démarrer / proprièté /
- onglet menu "démarrer" / "personnaliser"
- dans la liste coche "exècuter"
fais démarrer /exécuter et tape "regedit" puis "entrée"
pour naviguer il faut cliquer sur les + et être très prudent surtout, je suis hyper sérieux OK
navigue jusqu'a cette clé
HKey_Current_User\Software\Microsoft\Internet Explorer\Download
dans le cadre de droite tu as ceci
C'est d'accord j'effectue la procédure et je te dis quoi mais avant tout ,je veille bien à faire attention à ne pas effectuer n'importe quoi dans le registre, surtout le registre ,l'élément le plus dangereux en cas de fausses manoeuvres.
Je te tiens informé .
|
|
Posté le 31/05/2011 à 19:04 |
Petit astucien
| J'ai utilisé Rogue killer en option 4 (celui de mon cd) et il ne veut pas marcher et il se ferme avec un message d'erreur .
Pour la manipulation dans le registre, la clé Checkexesignatures était déjà sur yes.
Par contre il est noté en dessous RunInvalidsignature Reg word 0x00000000(0).
Il n'y a rien qui marche, pas de internet explorer !! |
|
Posté le 31/05/2011 à 22:15 |
|
Désolé pour l'attente.
Nous alons faire un reset d'internet explorer.
- Démarrer / panneau de config / options internet
- onglet "Avancé"
- en bas à droite "réinitialiser"
- dans la nouvelle fenêtre "réinitailiser"
si toutefois cela ne fonctionne pas, il faut renommer rogue killer.exe en Firefox.pif
si tu ne sais pas afficher les extensions de fichiers indique le.
labougie |
|
Posté le 01/06/2011 à 11:56 |
Petit astucien
| Bonjour Labougie,
J'ai essayé de réinitialiser avec internet explorer et devine , ça ne marche pas .
Par contre ,je suis trop idiot !!
Juste à l'instant ,j'ai eu l'idée de copier Rogue killer que je faisais marcher sur mon DVD sur mon bureau et là il marche donc je vais pouvoir refaire les options de Rogue Killer que tu m'as conseillé! Yes !!!
Et je te psoterais les rapports de celui çi ,on va pouvoir y arraiver , j'espère !!
Rogue Killer option 1, premier rapport:
RogueKiller V5.1.6 [21/05/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRK<at>gmail<dot>com Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur: Alexandre [Droits d'admin] Mode: Recherche -- Date : 01/06/2011 11:58:01
Processus malicieux: 0
Entrees de registre: 2 [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
Fichier HOSTS: 127.0.0.1 localhost
Termine : << RKreport[1].txt >> RKreport[1].txt
Option 2 , rapport n°2 effectué :
RogueKiller V5.1.6 [21/05/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRK<at>gmail<dot>com Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur: Alexandre [Droits d'admin] Mode: Suppression -- Date : 01/06/2011 12:05:29
Processus malicieux: 0
Entrees de registre: 2 [HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2) [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
Fichier HOSTS: 127.0.0.1 localhost
Et tout de suite ,je viens de recevoir un message m'indiquant :Vous devez redémmarrer votre ordinateur pour activer le controle de votre compte utilisateur :
redémarrer maintenant ou ultièreurement.
Je le redémmarre tout de suite .
Maintenant ,j'ai effectué l'option 6 de Rogue Killer qui m'a donné le rapport suivant:
RogueKiller V5.1.6 [21/05/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRK<at>gmail<dot>com Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur: Alexandre [Droits d'admin] Mode: Raccourcis RAZ -- Date : 01/06/2011 12:19:06
Processus malicieux: 0
Attributs de fichiers restaures: Bureau: Success 1 / Fail 0 Lancement rapide: Success 1 / Fail 0 Programmes: Success 3 / Fail 0 Menu demarrer: Success 0 / Fail 0 Dossier utilisateur: Success 31 / Fail 5919 Mes documents: Success 0 / Fail 143 Mes favoris: Success 0 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 124 / Fail 25503 Sauvegarde: [FOUND] Success 0 / Fail 7
Termine : << RKreport[3].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt
Mais nouvelle erreur quand j'effectue une recherche sur internet ,j'obtiens une page suivante :
http://clickbattery.org/go.php?id=c7db59ff1fb3822e6d3e61aa1837eabb&aid=520&said=direc10&lastpage=BxsbH1VAQBgYGEEIAAAIAwpBDAACQBwKDh0MB1AcABodDAoGC1IGClhJHlIbSixcSi5WA0osXEouVgwHDh0ICh1BDAACSR0DHFIMAAJBAgYMHQAcAAkbVQkdVSYqQjwKDh0MBy0AF0kGClI6OylCV0kAClI6OylCV0kdAxVSXiZYPCI8ITAJHTAwMCk9XFlY
erreur 502 bad gateway ,qu'est ce que celà veut dire ?
Que dois je effectuer maintenant ?
Modifié par Ishitogi le 01/06/2011 12:28 |
|
Posté le 01/06/2011 à 20:09 |
| Hello,
tu te débrouille bien .
c'est un paramètre proxy qui dois gêner.
Lance l'option 4 (proxy raz).
Il serait jusdicieux de pouvoir lancer une version à jour de l'outil.
Certaines de tes données sont récupérées mais beaucoup trop sont encore masquées .
labougie |
|
Posté le 01/06/2011 à 21:41 |
Petit astucien
|
Hello,
tu te débrouille bien .
c'est un paramètre proxy qui dois gêner.
Lance l'option 4 (proxy raz).
Il serait jusdicieux de pouvoir lancer une version à jour de l'outil.
Certaines de tes données sont récupérées mais beaucoup trop sont encore masquées .
labougie
Bonsoir labougie,
J'ai pas de proxy , je suis sur adsl 1 MG bits.
J'ai effectué l'option 4 de Rogue Killer, voiçi le rapport :
RogueKiller V5.1.6 [21/05/2011] par Tigzy contact sur http://www.sur-la-toile.com mail: tigzyRK<at>gmail<dot>com Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Systeme d'exploitation: Windows 7 (6.1.7600 ) 32 bits version Demarrage : Mode normal Utilisateur: Alexandre [Droits d'admin] Mode: Proxy RAZ -- Date : 01/06/2011 21:29:48
Processus malicieux: 0
Entrees de registre: 0
Termine : << RKreport[4].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt
Ca n'a rien fait et je ne peux toujours rien télécharger sur internet explorer donc aucune mise à jour sur Rogue Killer.
Maintenant que tu as eu les rapports de Rogue Killer, que faut il copier dans le logiciel ZHP fix dans les colonnes Help ?
|
|
Posté le 02/06/2011 à 00:10 |
|
Nous allons faire un reset des DNS de la machine, la connexion au net prime à mon avis sur les infections.
Reset Proxy Firefox
Firefox
clique droit sur outil \ options \ onglet \ avancé \ sous onglet réseau \
Connexion
"Configurer la façon dont Firefox se connecte à internet" \ paramètres \ pas de proxy \ ok
ferme Firefox et refais une connexion net
Reset proxy Internet Explorer
Internet Explorer
Démmarer / panneau de configuration / Option Internet / onglet connexion / En bas à droite "Paramètres réseau"
Dans la fenêtre " Paramètres du réseau local" rien ne doit être coché / clique sur OK et ferme toutes les fenêtres.
///
Reset des DNS
Démarre \ Exécuter \ tape cmd.exe puis entrée
Ensuite dans la fenêtre noire tapes les commandes suivantes.
- Ipconfig /flushdns puis entrée
- ipconfig /release puis entrée
- ipconfig /renew puis entrée
- exit pour sortir ou ferme en cliquant avec la croix
Redémarre ton pc, et tente une connexion web.
Si cela échouais, il faut alors utiliser un poind restauration antérieur à l'infection.
///
Ta connexion est elle wifi, filaire.
Si wifi, ta clé wep ou wpa est elle correcte? il faut vérifier. stp.
///
Faire une restauration machine avec un point de restauration antérieur à l'infection.
Utilisation d'un point de restauration :
- Clique droit sur poste de travail \ ordinateur
- Choisir Propriété
- Clique sur "Paramètres systéme avancés"
- Une fenêtre d'alerte Vista va apparaître, clique sur continuer
- Clique sur l'onglet "Protection système"
- Dans cette fenêtre clique "Restauration du système",
- Choisir "un autre point de restauration",
- faire "Suivant",
- Coche la case "afficher les points de restauration de plus de 5 jours",
- sélectionne une date avant l'infection,
- faire "suivant"
patiente cela prend un certain temps, c'est normal. Aucune données ne sera perdue.
Réfléchis au jour de l'infection, puis restore 3 ou 4 jours avant. Patiente, et redémarre le pc.
Au reboot,
- faire une connexion net,
- lance malware bytes,
- mets le à jour et scan rapide,
- lance un nouveau zhpdiag toutes options
les rapports
malwarebytes
zhpdiag Modifié par Labougie le 02/06/2011 00:11 |
|
Posté le 02/06/2011 à 12:46 |
Petit astucien
| Bonjour Labougie,
Internet Explorer
Démmarer / panneau de configuration / Option Internet / onglet connexion / En bas à droite "Paramètres réseau"
Dans la fenêtre " Paramètres du réseau local" rien ne doit être coché / clique sur OK et ferme toutes les fenêtres.
///
J'ai effectué celà mais aucun changement non plus .
Par contre :
Redémarre ton pc, et tente une connexion web.
Si cela échouais, il faut alors utiliser un poind restauration antérieur à l'infection.
///
Faire une restauration machine avec un point de restauration antérieur à l'infection
Faire une restauration machine avec un point de restauration antérieur à l'infection.
Utilisation d'un point de restauration :
Je l'ai déjà dis ,je n'ai aucun points de restauration.Tous ceux antérieur au virus ont été effacés .
Dois je effectuer quand même cette procédure ?
Modifié par Ishitogi le 02/06/2011 12:50 |
|
Posté le 02/06/2011 à 17:06 |
Petit astucien
| Re Labougie,
Je ne pense pas que les conseils que tu m'as donné comme réinitialiser mes paramètres DNS et de configuration d'IP pourront éradiquer complétement cette menace sans téléchargement de correctifs sur internet explorer. Celà est chose vain et ça fait plus d'une semaine que je suis dessus et j'en ai marre ,c'est trop long .
J'ai effectué une restauration initial avec le logiciel samsung recovery et tout effacer.
C'est ce que j'avais annoncé dès le début si celà ne se resolvait pas et c'est bon ,le virus a été complétement supprimé et je peux retélécharger comme avant!!
Merçi encore d'avoir essayer de résoudre mon problème mais si je n'aurais pas effectué cette restauration , on n'y serais jamais arrivé sans téléchargement de logiciels de suppression.
Maintenant, le plus difficile va être de reprendre ce que j'ai laissé de coté depuis février pour mon deuxième pc fixe : prendre une décision pour effectuer le choix d'un ecran LCD 17 ou 19 pouces de resolution 1280x1024 à acheter et celà n'est pas une mince décision à prendre pour moi ...
Modifié par Ishitogi le 02/06/2011 20:36 |
|
Posté le 03/06/2011 à 00:15 |
| Bonsoir,
Merçi encore d'avoir essayer de résoudre mon problème
Je fais la maximum, mais avant de donner certaines solutions, je teste
mais si je n'aurais pas effectué cette restauration , on n'y serais jamais arrivé sans téléchargement de logiciels de suppression.
Si il y avait encore une chose à réaliser.
Installation d'un live cd, pour charger les outils dans un répertoire spécial, puis ensuite les utiliser afin de désinfecter la machine.
Je constaste que ta restauration usine c'est bien déroulé, et je comprends la galère à l'utilisation, parfois c'est aussi la bonne méthode.
Là tu as été radicale, et mes tardives réponses ont fait que tu as du faire un choix.
Windows 7 recovery est une véritable poisse, mais solutionnable quand une clé usb peux apporter dans outils, mais faut il encore possèder une autre machine.
labougie
|
|
Posté le 03/06/2011 à 19:53 |
Petit astucien
| Bonjour Labougie,
Je fais la maximum, mais avant de donner certaines solutions, je teste
C'est une bonne résolution de ta part !!
Si il y avait encore une chose à réaliser.
Installation d'un live cd, pour charger les outils dans un répertoire spécial, puis ensuite les utiliser afin de désinfecter la machine.
Je ne sais pas si celà aurait marcher car samsung ne m'a jamais passé le cd original de windows 7 à l'achat .
Par contre ,sur le deuxième ordinateur oui mais j'avais pas d'écran et je ne sais pas si j'aurais pu utiliser ce cd sur le portable samsung ?
Je constaste que ta restauration usine c'est bien déroulé, et je comprends la galère à l'utilisation, parfois c'est aussi la bonne méthode.
Là tu as été radicale, et mes tardives réponses ont fait que tu as du faire un choix.
En effet , j'ai du effectuer un choix car je dois acheter un nouvel ecran pour mon ordinateur fixe déjà depuis février et que j'ai tardé à cause de projets professionnels dans celà et surtout aussi parce que j'ai du mal à prendre une décision pour le choix entre un écran 17 pouces ou 19 pouces 1280x1024 par rapport à sa qualité, à sa distance d'utilisation et à ma vue aussi !!
Windows 7 recovery est une véritable poisse, mais solutionnable quand une clé usb peux apporter dans outils, mais faut il encore possèder une autre machine.
labougie
En effet je l'ai constaté ,c'est une veritable s........ !!Et j'ai remarqué qu'il a existé sur windows XP, Vista et mainteant Seven et qu'il est de plus en plus complexe à éliminer .Je me demande vraiment d'ou vient ce genre de menace et par qu'il a été créé .
D'ailleurs après avoir restauré mon ordinateur par samsung ,je n'ai plus hésité à ne pas réinstaller Avira qui ne m'a aps réllémement protéger de cette menace et j'ai décidé de prendre un autre antivirus gratuit :AVG qui sera je l'espère plus efficace .
Le principal, c'est que tout celà a été résolu et merçi encore d'avoir essayé de m'aider . |
|