Se connecter / S'enregistrer
Votre question
Résolu

Virus gendarmerie bloque pc et démarrage sans echec impossible

Tags :
  • PC
  • Virus
  • Demarrage
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Octobre 2012 01:25:19

Mon pc a attrapé le fameux virus ukash gendarmerie, il m'empeche de faire toute manipulation après démarrage car l'écran blanc de la gendarmerie s'affiche et il est impossible de démarrer en mode sans echec. J'ai téléchargé Reatogo et je l'ai gravé sur cd vierge, mon pc démarre avec ce cd et je tombe sur le bureau reatogo, j'ai maintenant besoin de votre aide pour la suite des manipulation. merci d'avance.
ps: mon pc est sous windows XP

Autres pages sur : virus gendarmerie bloque demarrage echec impossible

26 Octobre 2012 01:31:00

tutu47 a dit :
Mon pc a attrapé le fameux virus ukash gendarmerie, il m'empeche de faire toute manipulation après démarrage car l'écran blanc de la gendarmerie s'affiche et il est impossible de démarrer en mode sans echec. J'ai téléchargé Reatogo et je l'ai gravé sur cd vierge, mon pc démarre avec ce cd et je tombe sur le bureau reatogo, j'ai maintenant besoin de votre aide pour la suite des manipulation. merci d'avance.
ps: mon pc est sous windows XP


il faut redemarrer ton PC en mode sans echec sans prise en charge reseau
prepare une clé usb avec un antivirus portable
tu scan ton pc en session administrateur du mode sans echec et ça enlevera le virus ;) 
m
0
l
26 Octobre 2012 08:19:57

Marwein Bouallous a dit :
tutu47 a dit :
Mon pc a attrapé le fameux virus ukash gendarmerie, il m'empeche de faire toute manipulation après démarrage car l'écran blanc de la gendarmerie s'affiche et il est impossible de démarrer en mode sans echec. J'ai téléchargé Reatogo et je l'ai gravé sur cd vierge, mon pc démarre avec ce cd et je tombe sur le bureau reatogo, j'ai maintenant besoin de votre aide pour la suite des manipulation. merci d'avance.
ps: mon pc est sous windows XP


il faut redemarrer ton PC en mode sans echec sans prise en charge reseau
prepare une clé usb avec un antivirus portable
tu scan ton pc en session administrateur du mode sans echec et ça enlevera le virus ;) 


Impossible de le faire mon pc reboot à l'infini quelque soit le mode de démarrage sans echec. C'est pour cela que j'ai télécharger reatogo et les graver sur un cd à partir d'un autre pc, ce qui me permet enfin de le démarrer mais ensuite une fois sur le bureau reatogo étant novice en informatique je ne sais pas quelle manipulation je dois faire pour cramer ce foutu virus!
m
0
l
Contenus similaires
a c 548 8 Sécurité
26 Octobre 2012 10:29:53

Bonjour,

Marche à suivre : (tu passes l'étape de gravage si c'est déjà fait ;)  )

Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté. Je te conseille aussi de créer un fichier texte à transférer avec le script à coller dans l'outil pour plus de facilité

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Une aide à l'utilisation ici
  • [/i]
    m
    0
    l
    26 Octobre 2012 11:44:10

    hyunkel30 a dit :
    Bonjour,

    Marche à suivre : (tu passes l'étape de gravage si c'est déjà fait ;)  )

    Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté. Je te conseille aussi de créer un fichier texte à transférer avec le script à coller dans l'outil pour plus de facilité

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Une aide à l'utilisation ici
  • [/i]


  • Lorsque j'ouvre OTLPE sur le bureau Reatogo, une fenetre "browse for folder" s'ouvre et je peux choisir de sélectionner les différents types de disque dur et lorsque je clique sur ok, une fenetre "RunScaner Error" s'ouvre et il y a marqué "Target is not windows 2000 or later"
    m
    0
    l
    a c 548 8 Sécurité
    26 Octobre 2012 11:47:58

    Re,

    Tu dois choisir le disque contenant ton installation de windows, généralement "Local disk C:"
    Par défaut il le sélectionne, si ce n'est pas le cas, choisi toi-même avant de valider, si ce n'est pas C:, choisi le bon emplacement.
    S'il met l'erreur, avance jusqu'au dossier C:\ -> windows et valide
    m
    0
    l
    26 Octobre 2012 12:05:29

    hyunkel30 a dit :
    Re,

    Tu dois choisir le disque contenant ton installation de windows, généralement "Local disk C:"
    Par défaut il le sélectionne, si ce n'est pas le cas, choisi toi-même avant de valider, si ce n'est pas C:, choisi le bon emplacement.
    S'il met l'erreur, avance jusqu'au dossier C:\ -> windows et valide


    Windows est bien sur C:/ mais lorsque je le sélectionne j'ai toujours le meme message d'erreur et je ne peux pas avancer dans le dossier C:/, car l'icone est celle du disque dur suivit de "removable disk (C:/)" et lorsque je clique pour ouvrir rien ne se passe.
    m
    0
    l
    a c 548 8 Sécurité
    26 Octobre 2012 12:08:04

    Re,

    Si c’est marqué "removable disk", c'est que ce n'est pas la bonne lettre de partition ;)  (soit c'est une clé usb, soit un disque dur externe)
    Possible que celle-ci soit différente sous OTLPE (ou bien déjà en fait sur ton pc)

    Quel disque est marqué "local disk" ? le D: peut-être non ?
    C'est lui normalement qui contient le système.
    m
    0
    l
    26 Octobre 2012 12:13:40

    hyunkel30 a dit :
    Re,

    Si c’est marqué "removable disk", c'est que ce n'est pas la bonne lettre de partition ;)  (soit c'est une clé usb, soit un disque dur externe)
    Possible que celle-ci soit différente sous OTLPE (ou bien déjà en fait sur ton pc)

    Quel disque est marqué "local disk" ? le D: peut-être non ?
    C'est lui normalement qui contient le système.


    Le probleme c'est qu'il capte que des removable disk...... Aucun local disk!!! j'ai removable C:/ D:/ E:/ puis Ram disk B:/!!
    m
    0
    l
    a c 548 8 Sécurité
    26 Octobre 2012 14:39:42

    Re,

    Ton pc c'est un pc à disque dur classique ou disque flash SSD ?
    Aucun des disques ne permet la navigation dans les dossiers pour trouver le dossier windows ?
    m
    0
    l
    26 Octobre 2012 17:09:58

    hyunkel30 a dit :
    Re,

    Ton pc c'est un pc à disque dur classique ou disque flash SSD ?
    Aucun des disques ne permet la navigation dans les dossiers pour trouver le dossier windows ?

    Non c'est un pc à disque dur normal et non aucun de mes disques ne permet la navigation pour trouver le dossier windows seul le cd reatogo s'ouvre sur plusieurs dossier. J'ai aussi un dossier share je sais pas ce que c'est!
    m
    0
    l
    a c 548 8 Sécurité
    26 Octobre 2012 17:22:06

    Re,

    Non les dossier Reatogo, c'est pour le fonctionnement du liveCD, ce ne sont pas ceux-là qu'il faut sélectionner.

    On va faire autrement.
    Même principe, CD à graver (ou usb si ton pc peut booter dessus)
    http://forum.malekal.com/microsoft-standalone-system-sw...

    Normalement tu devrais pouvoir redémarrer, mais il faudra revenir, car la désinfection ne sera pas totale, on continuera ensuite.

    :jap: 
    m
    0
    l
    27 Octobre 2012 10:53:22

    C ok je viens de booter le logiciel sur une clef USB
    Tout c passé comme sur le Tuto et à la fin g put redémarrer mon PC
    Que dois je faire ensuite?
    m
    0
    l
    a c 548 8 Sécurité
    27 Octobre 2012 11:05:33

    Re,

    Très bien, on continu alors pour nettoyer les restes, à faire normalement sur ta session du pc :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    a c 548 8 Sécurité
    27 Octobre 2012 17:16:34

    Re,

    Tu as aussi de nombreux adwares (logiciels publicitaires) sur ce pc ...

    Par contre il va me falloir le rapport supplémentaire d'OTL qu'on a pas eu cette fois car il avait déjà été lancé sur ce pc ...

    à refaire donc :

    Relance OTL
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste Blanche" sous "Registre: approfondi"

  • Laisse les autres options par défaut.

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
  • Poste-moi le rapport Extra.txt s'il te plait.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau

    m
    0
    l
    a c 548 8 Sécurité
    27 Octobre 2012 19:29:26

    Re,

    Ok, allons-y :

    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - J2SE Runtime Environment 5.0 Update 8 (version obsolète et vulnérable)

    - Messenger_Plus_Live_France Toolbar (barre d'outil sponsorisée par un adware)
    - interdescargas-FR Toolbar (idem)
    - VMN Toolbar (idem)

    2) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.


    3) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    DRV - File not found [Kernel | On_Demand | Unknown] -- -- (ay97atl3)
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.pucuy.com/
    IE - HKU\S-1-5-21-2284195268-2207918006-2093774086-1006\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2567681
    IE - HKU\S-1-5-21-2284195268-2207918006-2093774086-1006\..\URLSearchHook: {31c322dc-5878-452e-a2d8-c4aab9973c9a} - C:\Program Files\interdescargas-FR\prxtbint0.dll (Conduit Ltd.)
    IE - HKU\S-1-5-21-2284195268-2207918006-2093774086-1006\..\URLSearchHook: {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France\prxtbMes0.dll (Conduit Ltd.)
    IE - HKU\S-1-5-21-2284195268-2207918006-2093774086-1006\..\SearchScopes,DefaultScope = {afdbddaa-5d3f-42ee-b79c-185a7020515b}
    IE - HKU\S-1-5-21-2284195268-2207918006-2093774086-1006\..\SearchScopes\{0633EE93-1111-472f-A0FF-E1416B8B2EAA}: "URL" = http://www.pucuy.com/google?q={searchTerms}&sa=Search&cx=partner-pub-3546861938806019:fn51rv5o9ne&cof=FORID%3A10&ie=UTF-8&hl=fr
    IE - HKU\S-1-5-21-2284195268-2207918006-2093774086-1006\..\SearchScopes\{18EAB056-9057-F224-FD4C-1F6569C4D8D2}: "URL" = http://www.plusnetwork.com/s/?q={searchTerms}&iesrc={referrer:source?}
    IE - HKU\S-1-5-21-2284195268-2207918006-2093774086-1006\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2567681
    FF - prefs.js..browser.search.defaultenginename: "Chercher Malin"
    FF - prefs.js..browser.search.defaultthis.engineName: "Messenger Plus Live France Customized Web Search"
    FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2567681&SearchSource=3&q={searchTerms}"
    FF - prefs.js..extensions.enabledAddons: {31c322dc-5878-452e-a2d8-c4aab9973c9a}:3.15.1.0
    FF - prefs.js..extensions.enabledAddons: {59994074-c06d-4a75-9768-49e5a8c21264}:3.15.1.0
    FF - prefs.js..extensions.enabledAddons: {fc600575-3013-4e8e-941c-4b00dafce730}:3.15.1.0
    FF - prefs.js..extensions.enabledItems: {31c322dc-5878-452e-a2d8-c4aab9973c9a}:3.6.0.10
    FF - prefs.js..extensions.enabledItems: {fc600575-3013-4e8e-941c-4b00dafce730}:3.6.0.10
    FF - prefs.js..extensions.enabledItems: searchrecs@veoh.com:1.5.1
    FF - prefs.js..extensions.enabledItems: {59994074-c06d-4a75-9768-49e5a8c21264}:3.6.0.10
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}:6.0.19
    FF - prefs.js..extensions.enabledItems: engine@conduit.com:3.3.3.2
    [2012/08/23 00:46:50 | 000,000,000 | ---D | M] (interdescargas-FR Community Toolbar) -- C:\Documents and Settings\Anais\Application Data\Mozilla\Firefox\Profiles\wka7w9a8.default\extensions\{31c322dc-5878-452e-a2d8-c4aab9973c9a}
    [2012/08/23 00:46:51 | 000,000,000 | ---D | M] (Messenger Plus Live France Community Toolbar) -- C:\Documents and Settings\Anais\Application Data\Mozilla\Firefox\Profiles\wka7w9a8.default\extensions\{59994074-c06d-4a75-9768-49e5a8c21264}
    [2012/08/23 00:46:52 | 000,000,000 | ---D | M] (myBabylon English4BB Community Toolbar) -- C:\Documents and Settings\Anais\Application Data\Mozilla\Firefox\Profiles\wka7w9a8.default\extensions\{fc600575-3013-4e8e-941c-4b00dafce730}
    [2010/02/27 00:50:53 | 000,001,681 | ---- | M] () -- C:\Documents and Settings\Anais\Application Data\Mozilla\Firefox\Profiles\wka7w9a8.default\searchplugins\ask.uk.xml
    [2009/12/09 14:38:33 | 000,000,509 | ---- | M] () -- C:\Documents and Settings\Anais\Application Data\Mozilla\Firefox\Profiles\wka7w9a8.default\searchplugins\Chercher Malin.xml
    [2010/04/21 12:06:58 | 000,000,955 | ---- | M] () -- C:\Documents and Settings\Anais\Application Data\Mozilla\Firefox\Profiles\wka7w9a8.default\searchplugins\conduit.xml
    [2010/06/08 19:36:52 | 000,000,615 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\pucuy.xml
    O2 - BHO: (interdescargas-FR Toolbar) - {31c322dc-5878-452e-a2d8-c4aab9973c9a} - C:\Program Files\interdescargas-FR\prxtbint0.dll (Conduit Ltd.)
    O2 - BHO: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - No CLSID value found.
    O2 - BHO: (Messenger Plus Live France Toolbar) - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France\prxtbMes0.dll (Conduit Ltd.)
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (interdescargas-FR Toolbar) - {31c322dc-5878-452e-a2d8-c4aab9973c9a} - C:\Program Files\interdescargas-FR\prxtbint0.dll (Conduit Ltd.)
    O3 - HKLM\..\Toolbar: (no name) - {4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (Messenger Plus Live France Toolbar) - {59994074-c06d-4a75-9768-49e5a8c21264} - C:\Program Files\Messenger_Plus_Live_France\prxtbMes0.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-2284195268-2207918006-2093774086-1006\..\Toolbar\WebBrowser: (interdescargas-FR Toolbar) - {31C322DC-5878-452E-A2D8-C4AAB9973C9A} - C:\Program Files\interdescargas-FR\prxtbint0.dll (Conduit Ltd.)
    O3 - HKU\S-1-5-21-2284195268-2207918006-2093774086-1006\..\Toolbar\WebBrowser: (Messenger Plus Live France Toolbar) - {59994074-C06D-4A75-9768-49E5A8C21264} - C:\Program Files\Messenger_Plus_Live_France\prxtbMes0.dll (Conduit Ltd.)
    O4 - HKU\S-1-5-21-2284195268-2207918006-2093774086-1006..\Run: [fsm] File not found
    O33 - MountPoints2\{117fc406-dad8-11df-b57a-001617e6b6ac}\Shell\AutoRun\command - "" = F:\yqq8eqil.exe
    O33 - MountPoints2\{117fc406-dad8-11df-b57a-001617e6b6ac}\Shell\open\Command - "" = F:\yqq8eqil.exe
    O33 - MountPoints2\{53d17b26-98c3-11db-b020-001617e6b6ac}\Shell - "" = AutoRun
    O33 - MountPoints2\{53d17b26-98c3-11db-b020-001617e6b6ac}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
    O33 - MountPoints2\{7f99b3b7-975d-11db-b01c-001617e6b6ac}\Shell - "" = AutoRun
    O33 - MountPoints2\{7f99b3b7-975d-11db-b01c-001617e6b6ac}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
    O33 - MountPoints2\{9c34d2a6-9ce1-11db-b02c-001617e6b6ac}\Shell - "" = AutoRun
    O33 - MountPoints2\{9c34d2a6-9ce1-11db-b02c-001617e6b6ac}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
    O33 - MountPoints2\{a9778d8e-ed85-11da-b140-001617e6b6ac}\Shell - "" = AutoRun
    O33 - MountPoints2\{a9778d8e-ed85-11da-b140-001617e6b6ac}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
    O33 - MountPoints2\{e911bde8-11c9-11dc-b09b-001617e6b6ac}\Shell - "" = AutoRun
    O33 - MountPoints2\{e911bde8-11c9-11dc-b09b-001617e6b6ac}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
    O33 - MountPoints2\{fb2bfaaa-444d-11dc-b0cf-001617e6b6ac}\Shell - "" = AutoRun
    O33 - MountPoints2\{fb2bfaaa-444d-11dc-b0cf-001617e6b6ac}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL wscript.exe MS32DLL.dll.vbs
    O33 - MountPoints2\{fe5408ec-4af1-11de-b2e2-001617e6b6ac}\Shell - "" = AutoRun
    O33 - MountPoints2\{fe5408ec-4af1-11de-b2e2-001617e6b6ac}\Shell\AutoRun\command - "" = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL mAlBErT.EXE
    [2012/10/24 22:25:26 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\mnjvuooubbjjcoh
    [1 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]
    [2012/10/24 22:25:25 | 000,082,861 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\ndjmhtqjdmaorhd
    [2009/12/24 12:23:11 | 000,319,251 | ---- | C] () -- C:\Documents and Settings\Anais\Local Settings\Application Data\fxibja_nav.dat
    [2009/12/24 12:23:11 | 000,003,457 | ---- | C] () -- C:\Documents and Settings\Anais\Local Settings\Application Data\fxibja.dat
    [2009/12/24 12:23:11 | 000,002,263 | ---- | C] () -- C:\Documents and Settings\Anais\Local Settings\Application Data\fxibja_navps.dat

    :Files
    ipconfig /flushdns /c

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    4) Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"


    -----------

    Dans ta prochaine réponse il me faudra donc les rapports suivants :
    - Adwcleaner supression
    - OTL correction
    - Malwarebyte's

    :jap: 
    m
    0
    l
    a c 548 8 Sécurité
    27 Octobre 2012 22:38:55

    Re,

    Regarde chez toi si le rapport d'adwcleaner et lisible, si oui, reposte-le, le lien donne un rapport illisible. Sinon, dis-le moi.

    Concernant Malwarebyte's, as-tu bien supprimé les infections détectées ?
    Citation :
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Worm.Autorun) -> Données: C:\Documents and Settings\Anais\Application Data\vfbu.exe -> Aucune action effectuée.
    m
    0
    l
    a c 548 8 Sécurité
    28 Octobre 2012 08:16:58

    Re,

    OK, par contre il semble que le pc contient une infection par support amovible, pour voir :

    Télécharge UsbFix (de El Desaparecido) sur ton Bureau.

    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)
  • Clique sur "Recherche" pour lancer le scan. Branche tes périphériques si ce n'est pas fait, puis valide l'avertissement.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici
    m
    0
    l

    Meilleure solution

    a c 548 8 Sécurité
    28 Octobre 2012 22:25:11

    Re,

    Ok, c'était bien de vieux restes sur le pc, tes périphériques ne sont pas infecté (peut-être d'anciennes clé usb passée sur ce pc ...)

    On nettoie les outils et on conclu :

    1) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner.exe situé sur ton Bureau.
  • Dans la fenêtre principal, choisis l'option Désinstaller, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner.exe sur ton bureau.

    2) Désinstalle USBFix :

  • Relance-le via le raccourci USBFix situé sur ton Bureau.
  • Dans la fenêtre principal, choisis l'option Désinstaller, et valide avec "Oui"


    3) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à le mettre à jour auparavant. Sinon, désinstalle-le dans ta liste des programmes.

    -----------------

    4) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    XP :
    http://www.inforumatique.fr/forum/la-restauration-du-sy...
    (Fin du tuto)

    ------------

    5) Mise à jour du système et des logiciels :

    (Cette étape est très importante, tu as été infectée car des logiciels/plugins n'étaient pas à jour)

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Windows Update à droite. Fais l'ensemble des mises à jours proposées, notamment Internet Explorer 8 . Si rien ne se passe, fais manuellement les mise à jour ici : http://update.microsoft.com/microsoftupdate/v6/default....

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java(TM) 6 Update 24

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Adobe Reader 9.1

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    ----------

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Installer un parefeu en remplacement de celui de Windows XP :
    Le parefeu intégré de Windows XP n'est pas assez performant, il est intéressant de le remplacer par un parefeu plus complet, tel Zone Alarm (attention de ne pas installer les sponsors publicitaires et barres d'outils inutiles) ou Comodo par exemple ... /!\ comme les antivirus, un seul parefeu sur ton pc, pense donc à désactiver celui de Windows si tu en installes un autre !!!

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    partage
    29 Octobre 2012 18:43:45

    j'ai suivi tes recommandations , merci de ton aide et de ta disponibilité.
    :) 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS