Se connecter / S'enregistrer
Votre question

PC bloqué par virus gendarmerie, besoin d'aide !

Tags :
  • PC
  • Virus
  • Ame
  • Sécurité
Dernière réponse : dans Sécurité et virus
24 Novembre 2012 14:29:22

bonjour,

après un message type "vous avez violé la loi française, payez 100 € ... me voilà avec une page blanche quand j'allume mon PC.
Si une âme charitable veut bien m'aider svp ?

Autres pages sur : bloque virus gendarmerie besoin aide

24 Novembre 2012 14:38:08

Bonjour,

- Nous fournir le rapport obtenu avec Combofix. (il se trouve ici : C:\combofix.txt)

puis :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau

    PS : Je ne fait qu'indiquer la marche à suivre, queqlu'un de plus experimenté examinera ton rapport et te dira quoi faire.
    m
    0
    l
    24 Novembre 2012 14:40:10

    merci de votre réponse
    je suis loin d'être une pro désolée çà risque d'être plus compliquée !
    comment faire pour vous fournir un rapport ou pour télécharger quelque chose vu que je ne peux rien faire du tout sur mon pc
    là je poste du pc de mon fils
    m
    0
    l
    Contenus similaires
    24 Novembre 2012 14:43:09

    Tu n'arrive pas à ouvrir le menu démarrer ou le gestionnaire de tâche ?

    La gendarmerie ne créé pas de virus, officiellement, à ce que je saches..
    m
    0
    l
    24 Novembre 2012 14:46:41

    quand j'allume mon pc le processus de démarrage se fait normalement sauf que dès qu'il arrive sur le bureau une page blanche s'affiche
    si je fais Ctrl Alt Suppr je clique sur gestionnaire des tâches et retour à la page blanche !
    est ce que je dois démarrer en mode sans échec ou quelquechose dans le genre ?
    m
    0
    l
    24 Novembre 2012 15:03:15

    Oui tu peux démarrer sans échec et suivre la procédure que je t'ai conseillée.
    m
    0
    l
    24 Novembre 2012 15:09:05

    si je démarre en mode sans échec ou mode sans céhec avec prise en charge réseau le résultat est le même une page blanche et impossible d'avoir accès au gestionnaire des tâches !
    m
    0
    l
    24 Novembre 2012 15:12:20

    Faudra attendre que quelqu'un de plus compétent sur le forum daigne t'aider, mes compétences en sécurité sont limités
    m
    0
    l
    24 Novembre 2012 15:13:22

    merci quand même !
    bonne journée
    m
    0
    l
    a c 614 8 Sécurité
    24 Novembre 2012 15:17:12

    Bonjour,

    @ mds59 : je reprend en main ce sujet, merci de suivre à présents mes directives.

    Télécharge OTLPEnet sur le bureau d'un pc fonctionnel (Taille > 120 Mo)

  • Double-Clique sur OTLPENet.exe et assures-toi d'avoir insérer un CD-R vierge dans ton graveur CD/DVD.
  • Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
  • Patiente le temps de la décompression et de la gravure du CD.

  • Passe sur le PC bloqué/infecté
  • Modifie l'ordre de Boot pour démarrer sur le CD
  • Redémarre ton PC en utilisant le LiveCD venant d'être créé.
  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté. Je te conseille aussi de créer un fichier texte à transférer avec le script à coller dans l'outil pour plus de facilité

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC

  • L'outil OTL doit se lancer maintenant.
  • Copie-colle ceci sous "Custom Scan/Fix"

    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    userinit.exe
    winlogon.exe
    wininit.exe
    csrss.exe
    smss.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles


  • Presse Run Scan pour démarrer le scan.
  • Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\OTL.txt
  • Poste la contenu du rapport OTL.txt dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    Une aide à l'utilisation ici
  • [/i]
    m
    0
    l
    24 Novembre 2012 15:24:09

    pendant que le pc fonctionnel charge le programme je voudrais faire la manip
    mais avant de faire une bétise que quelles touches je dois appuyer ?
    uniquement F2 ou plusieurs en même temps ?
    m
    0
    l
    24 Novembre 2012 15:36:47

    quand je fais F2 j'arrive sur un menu
    System Diagnostics
    F1 system information
    F2 start up test
    F3 run in test
    F4 hard disk test
    F11 error log
    je choisis quoi ?
    m
    0
    l
    24 Novembre 2012 15:46:23

    je mets le cd vierge ds le pc fonctionnel, je double clique sut le programme je clique sur éxécuter ou pas ?
    m
    0
    l
    a c 614 8 Sécurité
    24 Novembre 2012 15:46:50

    Re,

    Si ce n'est pas F2, cela peut être une autre touche, Alt, Del, Suppr, Esc, etc ...
    Si tu ne trouve pas, donne-moi la marque et le modèle du pc, je chercherais.

    :jap: 
    m
    0
    l
    24 Novembre 2012 15:59:51

    je sais pas si je dois me réjouir mais en démarrant une énième fois internet s'est ouvert et là je suis sur le pc qui pose problème !

    je télécharge otplNet sur le pc et je l'exécute ?
    m
    0
    l
    a c 614 8 Sécurité
    24 Novembre 2012 18:17:51

    Re,

    Si tu as accès au pc infecté et que tu peux lancer des application, oui, reste dessus et fais ceci à la place :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    25 Novembre 2012 10:45:19

    bonjour,

    et ben voilà je n'aurais pas dù me réjouir
    hier après avoir posté les rapports j'ai étenint le pc et ce matin c'est de nouveau le blocage, je ne peux plus rien faire !
    m
    0
    l
    a c 614 8 Sécurité
    25 Novembre 2012 10:47:17

    Re,

    Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.


    1) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :

    Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure

    - Norton Internet Security (Reste de l'antivirus, non actif, passe ensuite cet outil pour terminer le nettoyage )

    - Fast Browser Search (My Web Tattoo) (adware : logiciel publicitaire)


    2) Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.


    3) Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    PRC - [2012/11/01 19:12:10 | 000,107,520 | ---- | M] () -- C:\Users\MICHELLE\AppData\Roaming\DefaultTab\DefaultTab\DTUpdate.exe
    SRV - File not found [Auto | Stopped] -- C:\Program Files\Norton Internet Security\Engine\16.0.0.125\ccSvcHst.exe /s Norton Internet Security /m C:\Program Files\Norton Internet Security\Engine\16.0.0.125\diMaster.dll /prefetch:1 -- (Norton Internet Security)
    SRV - [2012/11/01 19:12:10 | 000,107,520 | ---- | M] () [Auto | Running] -- C:\Users\MICHELLE\AppData\Roaming\DefaultTab\DefaultTab\DTUpdate.exe -- (DefaultTabUpdate)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVEX15.SYS -- (NAVEX15)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\ProgramData\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Norton\Definitions\VirusDefs\20080829.024\NAVENG.SYS -- (NAVENG)
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60272
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60272
    IE - HKLM\..\SearchScopes,DefaultScope = {AFDBDDAA-5D3F-42EE-B79C-185A7020515B}
    IE - HKLM\..\SearchScopes\{00B4D500-6F98-43B3-B0A7-3F84860538D7}: "URL" = http://fr.kelkoopartners.net/ctl/do/search?siteSearchQuery={searchTerms}&fromform=true&x=true&y=true&partner=hp&partnerId=96913932
    IE - HKLM\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091
    IE - HKU\S-1-5-21-469659338-3430931224-3209072490-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60272
    IE - HKU\S-1-5-21-469659338-3430931224-3209072490-1000\..\URLSearchHook: {ba14329e-9550-4989-b3f2-9732e92d17cc} - No CLSID value found
    IE - HKU\S-1-5-21-469659338-3430931224-3209072490-1000\..\SearchScopes\{0ECDF796-C2DC-4d79-A620-CCE0C0A66CC9}: "URL" = http://search.babylon.com/?q={searchTerms}&babsrc=SP_def&AF=17284
    IE - HKU\S-1-5-21-469659338-3430931224-3209072490-1000\..\SearchScopes\{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}: "URL" = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw={searchTerms}&tbid=60272
    IE - HKU\S-1-5-21-469659338-3430931224-3209072490-1000\..\SearchScopes\{4DD6C80F-5CAB-494E-8BF9-A4728FC2B18B}: "URL" = http://www.mysearchresults.com/search?&c=4001&t=10&q={searchTerms}
    IE - HKU\S-1-5-21-469659338-3430931224-3209072490-1000\..\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}: "URL" = http://search.conduit.com/ResultsExt.aspx?q={searchTerms}&SearchSource=4&ctid=CT2504091
    FF - prefs.js..browser.search.defaultenginename: "SweetIM Search"
    FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
    FF - prefs.js..browser.startup.homepage: "http://search.sweetim.com/search.asp?q=msn&ln=fr&src=10&sf=0&lcr=0|http://search.sweetim.com/search.asp?src=6&q=yahoo&crg=3.1010000.10005&barid={C36A15B0-244F-11E2-B684-00238BF351DF}|http://fr.search.yahoo.com/search;_ylt=AtXfFQkaUWbiMWVACzHU8FdNhJp4;_ylc=X1MDMjAyMzM5MjMzMwRfcgMyBGZyA3lmcC10LTcwMwRuX2dwcwMxMARvcmlnaW4DZnIueWFob28uY29tBHF1ZXJ5A21zbgRzYW8DMQ--?p=msn&toggle=1&cop=mss&ei=UTF-8&fr=yfp-t-703|http://fr.msn.com/"
    FF - prefs.js..extensions.enabledAddons: addon@defaulttab.com:1.4.2
    FF - prefs.js..extensions.enabledAddons: {EEE6C361-6118-11DC-9C72-001320C79847}:1.7.0.3
    FF - prefs.js..extensions.enabledAddons: {ba14329e-9550-4989-b3f2-9732e92d17cc}:3.16.0.3
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
    FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT2504091&SearchSource=2&q="
    FF - prefs.js..sweetim.toolbar.previous.browser.search.defaultenginename: "Search the web (Babylon)"
    FF - prefs.js..sweetim.toolbar.previous.browser.search.defaulturl: "http://search.babylon.com/web/{searchTerms}?babsrc=browsersearch&AF=17284"
    FF - prefs.js..sweetim.toolbar.previous.browser.search.selectedEngine: "Search the web (Babylon)"
    FF - prefs.js..sweetim.toolbar.previous.keyword.URL: "http://search.sweetim.com/search.asp?barid={C36A15B0-244F-11E2-B684-00238BF351DF}&src=2&crg=3.1010000.10005&q="
    FF - HKEY_CURRENT_USER\software\mozilla\Firefox\Extensions\\euroclic@euroclic.ae: C:\EUROCLIC
    [2012/11/14 13:07:02 | 000,000,000 | ---D | M] (Vuze Remote Community Toolbar) -- C:\Users\MICHELLE\AppData\Roaming\mozilla\Firefox\Profiles\n9pnuih9.default\extensions\{ba14329e-9550-4989-b3f2-9732e92d17cc}
    [2012/05/15 18:02:17 | 000,000,000 | ---D | M] (Babylon) -- C:\Users\MICHELLE\AppData\Roaming\mozilla\Firefox\Profiles\n9pnuih9.default\extensions\ffxtlbr@babylon.com
    [2012/11/02 00:49:26 | 000,022,390 | ---- | M] () (No name found) -- C:\Users\MICHELLE\AppData\Roaming\mozilla\firefox\profiles\n9pnuih9.default\extensions\addon@defaulttab.com.xpi
    [2012/11/02 00:49:26 | 000,189,128 | ---- | M] () (No name found) -- C:\Users\MICHELLE\AppData\Roaming\mozilla\firefox\profiles\n9pnuih9.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}.xpi
    [2012/11/19 21:18:13 | 000,002,030 | ---- | M] () -- C:\Users\MICHELLE\AppData\Roaming\mozilla\firefox\profiles\n9pnuih9.default\searchplugins\search-here.xml
    [2012/11/01 19:14:14 | 000,003,998 | ---- | M] () -- C:\Users\MICHELLE\AppData\Roaming\mozilla\firefox\profiles\n9pnuih9.default\searchplugins\sweetim.xml
    [2012/05/14 08:23:50 | 000,002,226 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
    O2 - BHO: (DefaultTab Browser Helper) - {7F6AFBF1-E065-4627-A2FD-810366367D01} - C:\Users\MICHELLE\AppData\Roaming\DefaultTab\DefaultTab\DefaultTabBHO.dll (Search Results LLC.)
    O2 - BHO: (no name) - {F0626A63-410B-45E2-99A1-3F2475B2D695} - No CLSID value found.
    O3 - HKU\S-1-5-21-469659338-3430931224-3209072490-1000\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
    O3 - HKU\S-1-5-21-469659338-3430931224-3209072490-1000\..\Toolbar\WebBrowser: (no name) - {BA14329E-9550-4989-B3F2-9732E92D17CC} - No CLSID value found.
    O3 - HKU\S-1-5-21-469659338-3430931224-3209072490-1000\..\Toolbar\WebBrowser: (no name) - {EEE6C35B-6118-11DC-9C72-001320C79847} - No CLSID value found.
    O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html File not found
    O20 - HKU\S-1-5-21-469659338-3430931224-3209072490-1000 Winlogon: Shell - (C:\Users\MICHELLE\AppData\Roaming\msconfig.dat) - C:\Users\MICHELLE\AppData\Roaming\msconfig.dat ()
    [2012/11/01 19:13:31 | 000,000,000 | ---D | C] -- C:\Users\MICHELLE\AppData\Roaming\GinyasBrowserCompanion
    [2012/11/01 19:13:27 | 000,000,000 | ---D | C] -- C:\Program Files\GinyasBrowserCompanion
    [2012/11/01 19:12:24 | 000,000,000 | ---D | C] -- C:\Users\MICHELLE\AppData\Local\SwvUpdater
    [2012/11/01 19:12:10 | 000,000,000 | ---D | C] -- C:\Users\MICHELLE\AppData\Roaming\DefaultTab
    @Alternate Data Stream - 126 bytes -> C:\ProgramData\Temp:4A448DB2

    :Reg
    [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\FirewallRules]
    "{60D57F54-1052-473D-9FC8-E96BBD9BAA11}"=-
    "{0C3F9853-6367-433E-9827-86F95096FAE0}"=-
    "{628E2923-7392-4581-B32F-872F1E291D83}"=-
    "{A64E4570-A208-4688-9DE5-8784E13B290D}"=-
    "{BB04AB79-8B34-43DA-A732-5BE2030B0AAB}"=-
    "{F4E9E823-F75D-4BC0-AD7E-8F542589566A}"=-

    :Files
    c:\program files\sweetim
    c:\program files\is cool
    C:\Program Files\Norton Internet Security
    C:\ProgramData\Norton
    C:\Users\MICHELLE\AppData\Roaming\msconfig.dat

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    m
    0
    l
    25 Novembre 2012 10:54:15

    merci pr l'aide mais comme hier je ne peux plus rien faire sur le pc infecté même le gestionnaire des tâches n'est pas accessible
    m
    0
    l
    a c 614 8 Sécurité
    25 Novembre 2012 11:06:38

    Re,

    As-tu plusieurs session sur ce pc ?
    Si oui, teste sur une autre session.

    Si cela ne fonctionne pas, reprend la procédure initiale avec la gravure du liveCD OTLPE.
    m
    0
    l
    25 Novembre 2012 12:01:22

    ayé procédure OTL faite et ouf le re démarrage s'est bien passé
    par contre je ne trouve pas le rapport !
    m
    0
    l
    a c 614 8 Sécurité
    25 Novembre 2012 15:31:30

    Re,

    Tu as regardé comme indiqué ?
    Citation :
    Note : S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure


    Si tu ne trouves rien, on fera un nouveau scan de vérification.
    m
    0
    l
    25 Novembre 2012 15:46:41

    oui j'ai regardé comme indiqué le chemin d'accès donne
    C:\_OTL\MovedFiles\11252012_114833\C_ProgramData\Norton
    et aucun ficxhier log
    m
    0
    l
    a c 614 8 Sécurité
    25 Novembre 2012 16:21:29

    Re,

    S'il existe il devrait être dans le premier répertoire :
    C:\_OTL

    Pas grave, on va vérifier autrement.

    Déjà, redémarre de nouveau ton pc, cela permet parfois de terminé des opérations en cours et d'ouvrir le rapport.

    Si toujours pas de rapport au redémarrage, fais ceci :

    Relance OTL :
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    a c 614 8 Sécurité
    2 Décembre 2012 10:24:46

    Re,

    Ok comment se comporte le pc à présent ?

    On va faire un dernier scan pour vérification, et si c'est bon on conclura.

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
    m
    0
    l
    a c 614 8 Sécurité
    2 Décembre 2012 17:51:46

    Re,

    Ok on conclus alors :

    1) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner.exe situé sur ton Bureau.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
  • Dans la fenêtre principal, choisis l'option Désinstaller, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner.exe sur ton bureau.

    2) Relance OTL.exe
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.

    ------------------------


    3) Mise à jour du système et des logiciels :

    /!\ Cette étape est très importante, tu as été infecté car certains logiciels n'étaient pas à jour sur le pc !

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Windows Update à droite. Fais l'ensemble des mises à jours proposées, notamment Internet Explorer 9 . Si rien ne se passe, fais manuellement les mise à jour ici : Démarrer -> Tous les programmes -> Windows Update

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement :

  • Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
    Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement :

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
    (pense à ne pas accepter les offres comme McAfee security scan ou Chrome)


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.

    ----------------

    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    A bientôt sur les forums Tom's Guide
    :jap: 
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS