Votre question

Analyse rapport OTL que faire ensuite?

Tags :
  • PC
  • Virus
  • Boot
  • Sécurité
Dernière réponse : dans Sécurité et virus
29 Novembre 2012 15:18:17

Bonjour,

J'ai besoin de votre aide pour me débarasser du virus de la gendarmerie/police nationale qui fait boot le pc sur une page de la police demandant de payer une amande etc...

Voici l'adresse du fichier : http://pjjoint.malekal.com/files.php?id=20121129_g7v9k8...

Autres pages sur : analyse rapport otl ensuite

29 Novembre 2012 20:38:47

Je n'ai pas eu le temps de me présenter vraiment mais j'étais malheureusement sur le pc infecté et c'était extrêmement lent donc j'ai du faire court ;p
C'est en fait le pc de mon patron et il en a besoin pour travailler, je ne sais pas si le rapport que j'ai envoyé est assez parlant mais si quelque chose cloche, je pourrai en envoyer un autre dès demain 7h.

D'avance merci pour toute l'aide que vous pourrez m'apporter.
m
0
l
a c 614 8 Sécurité
29 Novembre 2012 21:26:23

Bonsoir,

Le PC as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

Comme tu signales que c'est un pc d'entreprise, peux-tu nous certifier avoir les droits et les responsabilités nécessaire pour que nous agissions dessus, avec ce que cela sous-entends? (manipulations sur le pc, sauvegarde des données et possibilité de crash, etc ...)

Je ne débuterais la procédure que lorsque tu me confirmeras cela.

Un dernière question : le rapport à été fais sur le pc infecté ?
Il démarre en mode normal donc ?


:jap: 
m
0
l
Contenus similaires
Pas de réponse à votre question ? Demandez !
29 Novembre 2012 21:41:35

hyunkel30 a dit :
Bonsoir,

Le PC as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.

Comme tu signales que c'est un pc d'entreprise, peux-tu nous certifier avoir les droits et les responsabilités nécessaire pour que nous agissions dessus, avec ce que cela sous-entends? (manipulations sur le pc, sauvegarde des données et possibilité de crash, etc ...)

Je ne débuterais la procédure que lorsque tu me confirmeras cela.

Un dernière question : le rapport à été fais sur le pc infecté ?
Il démarre en mode normal donc ?


:jap: 


Pour les droits etc... je lui redemanderai demain quand je part à 3h et lui dirai ce que ça implique, comme ça la décision lui appartiendra.
Et j'ai essayé de démarrer en mode sans échec mais impossible :/ 
Mode sans échec ainsi que mode sans échec avec prise en charge du réseau.
Et le rapport a été fait sur le pc infecté oui avec OTL, j'ai regardé un tuto venant d'ici avant de poster ;p

Je posterai un message demain matin vers 6h30 / 7h
m
0
l
a c 614 8 Sécurité
29 Novembre 2012 22:13:08

Re,

Si accord il y a il faudrait me refaire les rapports de cette manière :

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    30 Novembre 2012 06:31:41

    Merci de ta réponse, j'ai eu confirmation de la part du patron et première erreur, quand je veux lancer OTL.exe, il manque framedyn.dll :/ 

    J'ai tout de même fait le scan avec OTLPE.exe, sans doute une version plus ancienne du soft mais avec la même interface et les même options, j'ai donc suivit les instructions à la lettre et j'ai eu les deux fichiers, le truc en fait c'est qu'il faudrait que je puisse avoir accès au pc via le disque dur et non via le lecteur cd car c'est etremement difficile de travailler avec cette lenteur ;p

    http://security-x.fr/up/file.php?h=R3bed8d5d4e4a52de8da... ==> otc

    http://security-x.fr/up/file.php?h=R0c0ae69f389cadc3b89... ==> extra
    m
    0
    l
    a c 614 8 Sécurité
    30 Novembre 2012 10:10:40

    Re,

    Ok, j'avais mal lu, je n'avais pas vu que tu été sur le live CD.
    C'est pour cela que le système est lent, un liveCD est chargée en mémoire et demande plus de temps pour réagir.

    à faire :

    Redémarre ton PC en utilisant le LiveCD venant d'etre créé

  • Ton système doit montrer un bureau REATOGO-X-PE

    Note : En fonction de ton type de connexion Internet (Ethernet), tu dois être en mesure d'accéder au Net, si c'est le cas tu peux accéder à ce sujet plus facilement, sinon, tu devras copier les résultats sur un support (clé usb) pour les transférer sur un PC connecté.

  • Double-clique sur l'icône OTLPE
  • Dans la première boite de dialogue (nommée "RunScanner") clique sur Yes
  • Dans la seconde, assures-toi que la case "Automatically Load All Remaining Users" soit cochée et clique le nom de la session de l'utilisateur du PC
  • L'outil OTL doit se lancer maintenant

  • Copie-colle ceci dans la fenêtre du bas "Custom Scan/Fix"


    :OTL
    O20 - HKU\Administrateur_ON_C Winlogon: Shell - (C:\Documents and Settings\Administrateur\Application Data\skype.dat) - C:\Documents and Settings\Administrateur\Application Data\skype.dat ()
    [2012/11/29 08:34:40 | 000,000,004 | ---- | M] () -- C:\Documents and Settings\Administrateur\Application Data\skype.ini
    [2012/11/28 19:53:06 | 000,073,575 | ---- | M] () -- C:\Documents and Settings\Administrateur\Application Data\skype.dat

    :Commands
    [emptytemp]



  • Cliques alors sur "Run Fix"

  • Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
  • Poste la contenu du rapport dans ta prochaine réponse.

    Note : Si tu dois repasser en mode normal, ferme l'environnement comme un windows normal, puis enlève le CD et redémarre normalement.


    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Normalement au redémarrage tu devrais pouvoir atteindre ta session cette fois-ci, dis-moi si c'est bon, nous continuerons ensuite.
    m
    0
    l
    a c 614 8 Sécurité
    30 Novembre 2012 11:12:40

    Re,

    Ok, à faire pour suivre sur le pc en mode normal donc :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Coche "Avec liste blanche" sous "Registre: approfondi"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.

    netsvcs
    msconfig
    drivers32
    activex
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    kernel32.dll
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\syswow64\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\syswow64\drivers\*.sys /lockedfiles
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    m
    0
    l
    a c 614 8 Sécurité
    30 Novembre 2012 13:47:40

    Re,

    Bien, pour voir un dernier scan :

    Télécharge MalwareByte's Anti-Malware :

  • Installe le programme (aide ici)
  • Lance-le et met à jour la base de définition.

  • Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
  • Sélectionne les disques dur et clique sur "Lancer l'examen"
  • Laisse l'analyse se faire (cela peut durer longtemps).
  • A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
  • Puis clique sur "Supprimer la sélection" en bas.
  • Un redémarrage peut être nécessaire.

  • Un rapport va s'afficher, enregistre-le sur ton bureau.
  • ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"


    Tu me diras si tout est ok ensuite sur le pc, si c'est bon on terminera en le mettant à jour pour éviter une nouvelle infection.

    :jap: 
    m
    0
    l
    30 Novembre 2012 14:13:17

    J(ai du redémarrer le pc avant même de commencer le scan et la il est bloqué sur le bureau, je ne peux lancer aucun programme et il tourne super lentement. Je peux le lancer en mode sans échec pour faire le scan malware bytes?

    Mmmh en fait c'est bon, le problème n'est pas lié à ce qu'on a fait mais c'est un problème qui existait déjà avant, il suffira de le redémarrer et ça devrait le faire, du coup j'ai tout de même lancé en mode sans échec l'analyse et je vais attendre qu'elle se termine.
    m
    0
    l
    30 Novembre 2012 15:10:45

    Voilà, j'ai fait l'analyse et j'ai eu un résultat infecté, je l'ai supprimé et j'ai ensuite redémarré, par contre, le problème du pc qui freeze sur le bureau persiste.

    En gros je vois le pointeur de la souris bouger mais impossible de faire quoi que ce soit.
    m
    0
    l
    a c 614 8 Sécurité
    30 Novembre 2012 16:04:41

    Re,

    Citation :
    Mmmh en fait c'est bon, le problème n'est pas lié à ce qu'on a fait mais c'est un problème qui existait déjà avant,


    Difficile de le gérer donc non ?
    Il me faudrait le rapport de malwarebyte's s'il te plait

    Citation :
    ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"


    :jap: 
    m
    0
    l
    30 Novembre 2012 16:10:56

    J'ai oublié de poster le rapport avant de partir -_- mais j'ai trouvé pourquoi le pc ne démarrait pas, c'"tait juste un conflit avec malware bytes et nod32, après l'analyse en mode sans échec, je l'ai désinstallé et tout refonctionne comme avant, j'ai supprimé le seul fichier infecté qu'il y avait et ensuite j'ai mis à jour Java et flash en prenant soin de les désinstaller par le panneau de configuration pour bien mettre les dernières versions sur les sites constructeur.

    Je pourrai poster le rapport lundi si c'est toujours utile mais quand j'ai vu que tout allait bien, je suis retourné chez moi parceque je dois avouer que je suis épuisé ;p 3h - 16h non stop en aidant au dépôt entre les messages, j'en peux plus ;p

    Je suis désolé, ça casse un peut le processus mais comme je ne peux pas reprendre le pc chez moi, c'est assez compliqué ^^
    Enfin si je dois encore faire quelque chose pour que tout soit clean, je recommence lundi et sinon, un énnorme merci pour ton aide, ça a bien fait plaisir à mon patron déjà ;p
    m
    0
    l
    a c 614 8 Sécurité
    30 Novembre 2012 21:32:00

    Re,

    Effectivement, nous sommes un forum d'entraide bénévole, pas un SAV, nous avons comme toi d'ailleurs, une vie en dehors, donc on ne peut prendre en charge en moins de quelques minutes après votre réponse.

    Oui le pc était clean.

    On fera les vérifs pour les mises à jour Llundi alors, je te laisse une procédure.
    Et oui, il ma faudra le rapport Malwarebyte's quand même ;) 

    Mise à jour du système et des logiciels :

    Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Rapport à droite.
  • Poste le contenu du bloc-note qui va s'ouvrir.

    Ferme le programme via "Quit"
    m
    0
    l
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS