Se connecter / S'enregistrer
Votre question

virus ukash ministere de l'interieur

Tags :
  • Virus
  • Sécurité
Dernière réponse : dans Sécurité et virus
31 Décembre 2012 14:24:45

bonjour,
voila je vous pries de bien vouloir me venir en aide, j'arrive pas a supprimer ukach de mon ordinateur,démarrage sans échec avec prise en charge réseau ne fonctionne pas; mais l’ordi est accessible a partir du compte utilisateur invité, j'ai déjà créer un sujet hier mais pas de réponse, svp j'attends vos réponses c'est urgent. j'ai déja télécharger OTL , lancer la procédure ect, mais pour le reste j'attenderai votre aide s'il vous plait.
voila le lien du rapport, un grand merci a vous tous:
http://security-x.fr/up/file.php?h=Rd91005e2254a189f467...

Autres pages sur : virus ukash ministere interieur

31 Décembre 2012 16:15:30

Bonjour
Citation :
Computer Name: LAHSSYNI | User Name: mina | Logged in as Administrator.
Boot Mode: Normal | Scan Mode: All users

ça veut dire que tu as des droits d'administrateur...
tu as essayé de restaurer à une date antérieure à l'infection?

essaye ceci aussi:


  • Télécharge RogueKiller de Tigzy et enregistre-le sur ton Bureau
  • /!\ Important -> Quitte tous les programmes en cours
  • Double-clique sur RogueKiller.exe sur ton Bureau
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sélectionne l'option Recherche
  • Copie-colle le contenu du rapport RKreport.txt dans ta prochaine réponse

  • Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. Au besoin le renommer en Winlogon.exe

    • Si des éléments infectieux ont été trouvés, relance RogueKiller et pour lance la Suppression et valide
    • Copie-colle le contenu du 2nd rapport RKreport.txt dans ta prochaine réponse


  • ++++++++++


    sinon, ce n'est pas le bon rapport, il me faudrait le OTL.TXt comme suit:


  • Télécharge OTL (de OldTimer) sur ton Bureau.
  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche Rapport minimal.
  • Coche également les cases à côté de Recherche Lop et Recherche Purity.
  • sous Personnalisation (dans le cadre blanc), copie_colle le contenu du cadre ci dessous:


    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s
    hklm\software\clients\startmenuinternet|command /rs
    hklm\software\clients\startmenuinternet|command /64 /rs
    nslookup http://www.google.fr /c
    SAVEMBR:0
    CREATERESTOREPOINT



  • Enfin, clique sur le bouton Analyse. Laisse travailler l'outil.

  • Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTL (donc par défaut sur le Bureau).

    Pour me transmettre les rapports :
    Merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse. En cas de problème, voir cette aide à l'utilisation ici.


    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**


    31 Décembre 2012 20:49:51

    merci de me venir en aide;
    sinon voila le rapport roguekiller:

    RogueKiller V8.4.2 [Dec 31 2012] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueK...
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur : mina [Droits d'admin]
    Mode : Recherche -- Date : 31/12/2012 18:50:20

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 5 ¤¤¤
    [STARTUP][Rans.Gendarm] runctf.lnk @mina : C:\Windows\System32\rundll32.exe|C:\Users\mina\wgsdgsdgdsgsd.dll,H1N1 -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
    [HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet001\Services\winmgmt\Parameters : ServiceDll (C:\Users\mina\wgsdgsdgdsgsd.dll) -> TROUVÉ
    [HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet002\Services\winmgmt\Parameters : ServiceDll (C:\Users\mina\wgsdgsdgdsgsd.dll) -> TROUVÉ

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[75] : NtCreateSection @ 0x82886689 -> HOOKED (Unknown @ 0x9016B076)
    SSDT[276] : NtRequestWaitReplyPort @ 0x8286A415 -> HOOKED (Unknown @ 0x9016B080)
    SSDT[289] : NtSetContextThread @ 0x828D2233 -> HOOKED (Unknown @ 0x9016B07B)
    SSDT[314] : NtSetSecurityObject @ 0x82816773 -> HOOKED (Unknown @ 0x9016B085)
    SSDT[332] : NtSystemDebugControl @ 0x8283AE60 -> HOOKED (Unknown @ 0x9016B08A)
    SSDT[334] : NtTerminateProcess @ 0x828202F0 -> HOOKED (Unknown @ 0x9016B017)
    S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x9016B09E)
    S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x9016B0A3)

    ¤¤¤ Infection : Rans.Gendarm ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost
    ::1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] de62bbdf72d3ac15a44fff61b3582df3
    [BSP] 309fdfd200901d3359dd1e035123a213 : HP tatooed MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 294002 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 602116200 | Size: 11240 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[1]_S_31122012_185020.txt >>
    RKreport[1]_S_31122012_185020.txt



    Contenus similaires
    1 Janvier 2013 14:22:58

    Bonjour;
    je savais pas qu'il vous fallait les rapport des deux utilitaires, sinon les voila :

    RogueKiller V8.4.2 [Dec 31 2012] par Tigzy
    mail : tigzyRK<at>gmail<dot>com
    Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueK...
    Site Web : http://www.sur-la-toile.com/RogueKiller/
    Blog : http://tigzyrk.blogspot.com/

    Systeme d'exploitation : Windows Vista (6.0.6001 Service Pack 1) 32 bits version
    Demarrage : Mode normal
    Utilisateur : mina [Droits d'admin]
    Mode : Suppression -- Date : 01/01/2013 14:27:11

    ¤¤¤ Processus malicieux : 0 ¤¤¤

    ¤¤¤ Entrees de registre : 5 ¤¤¤
    [STARTUP][Rans.Gendarm] runctf.lnk @mina : C:\Windows\System32\rundll32.exe|C:\Users\mina\wgsdgsdgdsgsd.dll,H1N1 -> SUPPRIMÉ
    [HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
    [HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
    [HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet001\Services\winmgmt\Parameters : ServiceDll (C:\Users\mina\wgsdgsdgdsgsd.dll) -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll)
    [HJ DLL][Rans.Gendarm] HKLM\[...]\ControlSet002\Services\winmgmt\Parameters : ServiceDll (C:\Users\mina\wgsdgsdgdsgsd.dll) -> REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll)

    ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

    ¤¤¤ Driver : [CHARGE] ¤¤¤
    SSDT[75] : NtCreateSection @ 0x82886689 -> HOOKED (Unknown @ 0x9016B076)
    SSDT[276] : NtRequestWaitReplyPort @ 0x8286A415 -> HOOKED (Unknown @ 0x9016B080)
    SSDT[289] : NtSetContextThread @ 0x828D2233 -> HOOKED (Unknown @ 0x9016B07B)
    SSDT[314] : NtSetSecurityObject @ 0x82816773 -> HOOKED (Unknown @ 0x9016B085)
    SSDT[332] : NtSystemDebugControl @ 0x8283AE60 -> HOOKED (Unknown @ 0x9016B08A)
    SSDT[334] : NtTerminateProcess @ 0x828202F0 -> HOOKED (Unknown @ 0x9016B017)
    S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x9016B09E)
    S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x9016B0A3)

    ¤¤¤ Infection : Rans.Gendarm ¤¤¤

    ¤¤¤ Fichier HOSTS: ¤¤¤
    --> C:\Windows\system32\drivers\etc\hosts

    127.0.0.1 localhost
    ::1 localhost


    ¤¤¤ MBR Verif: ¤¤¤

    +++++ PhysicalDrive0: +++++
    --- User ---
    [MBR] de62bbdf72d3ac15a44fff61b3582df3
    [BSP] 309fdfd200901d3359dd1e035123a213 : HP tatooed MBR Code
    Partition table:
    0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 294002 Mo
    1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 602116200 | Size: 11240 Mo
    User = LL1 ... OK!
    Error reading LL2 MBR!

    Termine : << RKreport[2]_D_01012013_142711.txt >>
    RKreport[1]_S_31122012_185020.txt ; RKreport[2]_D_01012013_142711.txt



    et le rapport de OTL il est ici :

    http://security-x.fr/up/file.php?h=R89c4fb8c986648207f1...

    j’espère que c'est ce qu'il fallait faire.


    1 Janvier 2013 14:44:57

    re
    oui, c'est cela

    à faire dans l'ordre:


    étape 1


    désinstalle
    -Spybot - Search & Destroy
    , cet utilitaire est obsolète.
    -SpyHunter (si toujours présent)

    étape 2



  • Rends-toi sur cette page AdwCleaner de Xplode , clique sur Télécharger et enregistre le fichier sur ton Bureau
  • Double-clique sur l'icône AdwCleaner0.exe pour lancer l'installation
    /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Sur le menu principal, clique sur Supression et patiente le temps de l'analyse
  • A la fin du scan, un rapport AdwCleaner.txt s'ouvre. Poste le rapport dans ta prochaine réponse
    Le rapport se trouve sous C:\AdwCleaner.txt


    Tutoriel: AdwCleaner (Xplode)


    étape 3


    Télécharge MalwareByte's Anti-Malware sur ton Bureau.

  • Installe-le en double-cliquant sur le fichier Download_mbam-setup.exe.
    Une fois l'installation et la mise à jour effectuées :
  • Exécute maintenant MalwareByte's Anti-Malware. Si cela n'est pas déjà fait, sélectionne "Exécuter un examen complet".
  • Afin de lancer la recherche, clic sur"Rechercher".
  • Une fois le scan terminé, une fenêtre s'ouvre, clic sur OK. Deux possibilités s'offrent à toi :
    ~ Si le programme n'a rien trouvé, appuie sur OK. Un rapport va apparaître, ferme-le.
    ~~ Si des infections sont présentes, clic sur "Afficher les résultats" puis sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.

  • Poste ce rapport.

    ~~REMARQUE: Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok.



    ~~Aide :

  • Tutoriel MalwareByte's Anti-Malware


    étape 4

    Poste un nouveau rapport OTL pour que je supprime les restes éventuels.
    1 Janvier 2013 19:21:53

    re

    alors j'ai suivi les étapes a la lettre, et voila ce que ca donne:

    aprés le lancement de supression sur l'outil Adwcleaner, y'a pas de rapport qui s'affiche meme après le redemarrage du poste, j'ai eu l'idée de lancer une recherche, et voila la rapport recherche de Adwcleaner :

    # AdwCleaner v2.104 - Rapport créé le 01/01/2013 à 16:16:40
    # Mis à jour le 29/12/2012 par Xplode
    # Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 1 (32 bits)
    # Nom d'utilisateur : mina - LAHSSYNI
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\Houssem\Downloads\adwcleaner.exe
    # Option [Recherche]


    ***** [Services] *****


    ***** [Fichiers / Dossiers] *****


    ***** [Registre] *****


    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.19088

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v17.0.1 (fr)

    Fichier : C:\Users\mina\AppData\Roaming\Mozilla\Firefox\Profiles\ltyif80i.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    Fichier : C:\Users\Houssem\AppData\Roaming\Mozilla\Firefox\Profiles\z0mt9m8r.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    par contre voila le rapport du MalwareByte's Anti-Malware:

    Malwarebytes Anti-Malware (Essai) 1.70.0.1100
    www.malwarebytes.org

    Version de la base de données: v2013.01.01.03

    Windows Vista Service Pack 1 x86 NTFS
    Internet Explorer 8.0.6001.19088
    mina :: LAHSSYNI [administrateur]

    Protection: Activé

    01/01/2013 16:13:47
    mbam-log-2013-01-01 (16-13-47).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 375671
    Temps écoulé: 2 heure(s), 32 minute(s), 59 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 8
    C:\Users\mina\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\30\1ede2ede-6a02dd12 (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\mina\Downloads\diskaid-5-01-en-win.exe (PUP.Bundler) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\mina\Downloads\SoftonicDownloader_pour_nero-burnlite-ex-nero-lite.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\mina\Downloads\SoftonicDownloader_pour_openoffice-org-portable.exe (PUP.OfferBundler.ST) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\mina\Downloads\Portable.Microsoft.Office.Enterprise.2007.SP2.MULTI2.VLM-DECHEZSMART\Stubs\17dc6fdbfe98d6e78a15cef6f92398c7a7bb774f\verclsid.exe (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\mina\Downloads\Portable.Microsoft.Office.Enterprise.2007.SP2.MULTI2.VLM-DECHEZSMART\Stubs\36c414bac5922ef54425fd9bcffdac7bcc05a5\CLVIEW.EXE (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\mina\Downloads\Portable.Microsoft.Office.Enterprise.2007.SP2.MULTI2.VLM-DECHEZSMART\Stubs\52ad6eae751565d04c9a83cdc23e93196b75f26f\MSTORDB.EXE (Trojan.Backdoor) -> Mis en quarantaine et supprimé avec succès.
    C:\ProgramData\dsgsdgdsgdsgw.pad (Exploit.Drop.GSA) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    et le rapport OTL est ici : http://security-x.fr/up/file.php?h=R621c7e55711ffb244fa...

    j'espere que j'ai bien fais,merci


    2 Janvier 2013 12:04:01

    Bonjour :) 
    parfait, on continue!


    étape 1




  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Personnalisation (dans le cadre blanc) en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL
    PRC - C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe (Enigma Software Group USA, LLC.)
    SRV - (SpyHunter 4 Service) -- C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe (Enigma Software Group USA, LLC.)
    DRV - (esgiguard) -- C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys ()
    O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
    O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No CLSID value found.
    O4 - HKCU..\RunOnce: [Report] \AdwCleaner[S3].txt ()

    :files
    ipconfig /flushdns /c
    C:\Program Files\Enigma Software Group
    C:\ProgramData\Spybot - Search & Destroy
    C:\Program Files\Spybot - Search & Destroy
    C:\Users\mina\AppData\Local\funmoods.exe
    C:\Users\mina\AppData\Local\facemoods.bmp

    :commands
    [emptytemp]
    [reboot]

  • Puis clique sur le bouton Correction en haut de la fenêtre.

  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
    les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure de la correction.


    étape 2


    Tu as aussi une infection USB, on la traite avec cet outil:

    Télécharge USbFix de El Desaparecido sur ton bureau.


    /!\ Déconnecte-toi et ferme toutes les applications en cours /!\
    /!\ Branche tous tes périphériques ayant pu être infectés (clés usb, disque dur externe, etc ...) /!\


  • Double-clique sur "UsbFix" pour lancer le programme
    (Utilisateur de Vista/Windows 7, clique-droit sur UsbFix > Exécuter en tant qu'administrateur)



  • Clique sur "Recherche" pour lancer le scan.
  • Laisse travailler l'outil.
  • A la fin, un rapport apparaitra (sinon, il est situé ici C:\Usbfix.txt). Poste-le dans ta prochaine réponse




    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**
    2 Janvier 2013 15:22:24

    bonjour;
    j'ai cru avoir répondu mais la reponse que j'i posté on dirai qu'elle s'est volatiliser, sinon voila les deux rapport demander:

    celui d'OTL:
    All processes killed
    ========== OTL ==========
    No active process named SH4Service.exe was found!
    Error: No service named SpyHunter 4 Service was found to stop!
    Service\Driver key SpyHunter 4 Service not found.
    File C:\Program Files\Enigma Software Group\SpyHunter\SH4Service.exe not found.
    Error: No service named esgiguard was found to stop!
    Service\Driver key esgiguard not found.
    File C:\Program Files\Enigma Software Group\SpyHunter\esgiguard.sys not found.
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{2318C2B1-4965-11D4-9B18-009027A5CD4F} not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2318C2B1-4965-11D4-9B18-009027A5CD4F}\ not found.
    Registry value HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce\\Report not found.
    File move failed. \AdwCleaner[S3].txt scheduled to be moved on reboot.
    ========== FILES ==========
    < ipconfig /flushdns /c >
    Configuration IP de Windows
    Cache de r‚solution DNS vid‚.
    C:\Users\Houssem\Downloads\cmd.bat deleted successfully.
    C:\Users\Houssem\Downloads\cmd.txt deleted successfully.
    File\Folder C:\Program Files\Enigma Software Group not found.
    File\Folder C:\ProgramData\Spybot - Search & Destroy not found.
    File\Folder C:\Program Files\Spybot - Search & Destroy not found.
    File\Folder C:\Users\mina\AppData\Local\funmoods.exe not found.
    File\Folder C:\Users\mina\AppData\Local\facemoods.bmp not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Houssem
    ->Temp folder emptied: 33622 bytes
    ->Temporary Internet Files folder emptied: 201959 bytes
    ->FireFox cache emptied: 16144268 bytes
    ->Flash cache emptied: 602 bytes

    User: mina
    ->Temp folder emptied: 3499463577 bytes
    ->Temporary Internet Files folder emptied: 204002275 bytes
    ->Java cache emptied: 1472 bytes
    ->FireFox cache emptied: 82497793 bytes
    ->Flash cache emptied: 20313825 bytes

    User: Public

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 180877 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 454343651 bytes
    RecycleBin emptied: 5727920165 bytes

    Total Files Cleaned = 9 542,00 mb


    OTL by OldTimer - Version 3.2.69.0 log created on 01022013_134203

    Files\Folders moved on Reboot...
    File move failed. \AdwCleaner[S3].txt scheduled to be moved on reboot.

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...

    et celui de usbfix :

    ############################## | UsbFix V 7.102 | [Recherche]

    Utilisateur: mina (Administrateur) # LAHSSYNI
    Mis à jour le 20/12/2012 par El Desaparecido
    Lancé à 14:38:22 | 02/01/2013

    Site Web: http://sosvirus.org
    Contact: contact@eldesaparecido.com

    PC: Compaq-Presario (NM830AA-ABF CQ5007FR) (X86-based PC
    CPU: AMD Athlon(tm) 64 X2 Dual Core Processor 5000+ (2600)
    RAM -> [Total : 3582 | Free : 2664]
    BIOS: Phoenix - AwardBIOS v6.00PG
    BOOT: Normal boot

    OS: Microsoft® Windows Vista™ Edition Familiale Basique (6.0.6001 32-Bit) # Service Pack 1
    WB: Windows Internet Explorer 8.0.6001.19088

    SC: Security Center Service [Enabled]
    WU: Windows Update Service [Enabled]
    AV: Avira Desktop [(!) Disabled | Updated]
    FW: Windows FireWall Service [Enabled]

    C:\ -> Disque fixe # 287 Go (144 Go libre(s) - 50%) [COMPAQ] # NTFS
    D:\ -> Disque fixe # 11 Go (2 Go libre(s) - 14%) [FACTORY_IMAGE] # NTFS
    E:\ -> CD-ROM
    G:\ -> CD-ROM
    H:\ -> Disque fixe # 114 Go (114 Go libre(s) - 99%) [] # FAT32
    I:\ -> Disque amovible # 980 Mo (980 Mo libre(s) - 100%) [USB DISK] # FAT32
    J:\ -> Disque fixe # 114 Go (114 Go libre(s) - 100%) [] # NTFS

    ################## | Processus Actif |

    C:\Windows\system32\csrss.exe (576)
    C:\Windows\system32\wininit.exe (644)
    C:\Windows\system32\csrss.exe (652)
    C:\Windows\system32\services.exe (688)
    C:\Windows\system32\lsass.exe (700)
    C:\Windows\system32\lsm.exe (708)
    C:\Windows\system32\svchost.exe (852)
    C:\Windows\system32\winlogon.exe (884)
    C:\Windows\system32\svchost.exe (956)
    C:\Windows\System32\svchost.exe (996)
    C:\Windows\system32\Ati2evxx.exe (1080)
    C:\Windows\System32\svchost.exe (1108)
    C:\Windows\System32\svchost.exe (1140)
    C:\Windows\system32\svchost.exe (1160)
    C:\Windows\system32\svchost.exe (1288)
    C:\Windows\system32\SLsvc.exe (1332)
    C:\Windows\system32\svchost.exe (1380)
    C:\Windows\system32\svchost.exe (1564)
    C:\Windows\system32\Ati2evxx.exe (1572)
    C:\Windows\System32\spoolsv.exe (1796)
    C:\Program Files\Avira\AntiVir Desktop\sched.exe (1836)
    C:\Windows\system32\svchost.exe (1884)
    C:\Windows\system32\taskeng.exe (1692)
    C:\Windows\system32\Dwm.exe (1948)
    C:\Windows\system32\taskeng.exe (1676)
    C:\Windows\Explorer.EXE (1536)
    C:\Program Files\Avira\AntiVir Desktop\avgnt.exe (2188)
    C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe (2200)
    C:\Program Files\Avira\AntiVir Desktop\avguard.exe (2240)
    C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe (2300)
    C:\Program Files\iTunes\iTunesHelper.exe (2328)
    C:\Program Files\Bonjour\mDNSResponder.exe (2372)
    C:\Program Files\Hewlett-Packard\HP Odometer\hpsysdrv.exe (2400)
    C:\Program Files\Malwarebytes' Anti-Malware\mbamscheduler.exe (2444)
    C:\Program Files\HP\HP Software Update\hpwuSchd2.exe (2464)
    C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe (2640)
    C:\Program Files\Windows Sidebar\sidebar.exe (2660)
    C:\Program Files\Hewlett-Packard\HP Advisor\HPAdvisor.exe (2668)
    C:\Windows\system32\svchost.exe (2724)
    C:\Program Files\RealNetworks\RealDownloader\rndlresolversvc.exe (2740)
    C:\Windows\system32\svchost.exe (2808)
    C:\Windows\System32\svchost.exe (2840)
    C:\Windows\system32\SearchIndexer.exe (2868)
    C:\Windows\system32\WUDFHost.exe (3108)
    C:\Program Files\Avira\AntiVir Desktop\avshadow.exe (3536)
    C:\Program Files\iPod\bin\iPodService.exe (3604)
    C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe (2316)
    c:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe (3416)
    C:\Program Files\Windows Media Player\wmpnetwk.exe (3940)
    C:\Program Files\DAEMON Tools Pro\DTShellHlp.exe (1440)
    C:\Windows\system32\wbem\wmiprvse.exe (952)
    C:\UsbFix\Go.exe (3016)
    \\?\C:\Windows\system32\wbem\WMIADAP.EXE (1200)
    C:\Windows\system32\wbem\wmiprvse.exe (1096)

    ################## | Eléments infectieux |


    ################## | Registre |


    ################## | Mountpoints2 |

    HKCU\.\.\.\.\Explorer\MountPoints2\{8fc22be6-5c88-11e1-9061-00248c222f42}
    Shell\AutoRun\Command = G:\INSTALL.EXE

    HKCU\.\.\.\.\Explorer\MountPoints2\{cc6b8daa-27e9-11e2-891f-00248c222f42}
    Shell\AutoRun\Command = G:\sources\sperr32.exe x64

    HKCU\.\.\.\.\Explorer\MountPoints2\{e3ed5e8c-286b-11df-94bd-00248c222f42}
    Shell\1\Command = G:\Recycled.exe
    Shell\2\Command = G:\Recycled.exe
    Shell\AutoRun\Command = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\Recycled.exe



    ################## | Vaccin |

    (!) Cet ordinateur n'est pas vacciné!

    ################## | E.O.F |

    voila merci
    2 Janvier 2013 17:32:00

    ok
    comment se comporte ton pc?
    refais un scan avec OTL et poste le nouveau rapport stp
    2 Janvier 2013 22:04:18

    re;
    j'ai démarrer avec la session qu'a été infecté et ça marche bien, je pense que le problème est résolu.

    sinon voila le rapport du scan OTL:

    http://security-x.fr/up/file.php?h=R41131c6bd71be18b4ff....

    dites moi si je dois faire autre chose s'il vous plait,je tiens a vous signalez que depuis un bon moment j'arrivais plus a installer les mises a jours que windows me recommande, et j'arrivais pas a savoir pourquoi non plus ce qui me laisse croire que j'ai de sérieux problèmes a ce niveau là et que c'est 'lune des raisonsqui ot fait que mon ordi s'est infécté voila et merci infiniment.

    3 Janvier 2013 15:05:47

    Bonjour
    c'est aussi un aspect de cette infection, pas d’inquiétude, on va traiter cela maintenant. :) 

    étape 1


  • Double-clique sur OTL pour le lancer.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
  • Sous l'onglet Personnalisation (dans le cadre blanc) en bas de la fenêtre, copie-colle le texte suivant (entre les deux espaces) :

    :OTL


    O33 - MountPoints2\{8fc22be6-5c88-11e1-9061-00248c222f42}\Shell - "" = AutoRun
    O33 - MountPoints2\{8fc22be6-5c88-11e1-9061-00248c222f42}\Shell\AutoRun\command - "" = G:\INSTALL.EXE
    O33 - MountPoints2\{cc6b8daa-27e9-11e2-891f-00248c222f42}\Shell - "" = AutoRun
    O33 - MountPoints2\{cc6b8daa-27e9-11e2-891f-00248c222f42}\Shell\AutoRun\command - "" = G:\sources\sperr32.exe x64
    O33 - MountPoints2\{e3ed5e8c-286b-11df-94bd-00248c222f42}\Shell\1\Command - "" = G:\Recycled.exe
    O33 - MountPoints2\{e3ed5e8c-286b-11df-94bd-00248c222f42}\Shell\2\Command - "" = G:\Recycled.exe
    O33 - MountPoints2\{e3ed5e8c-286b-11df-94bd-00248c222f42}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\Recycled.exe


  • Puis clique sur le bouton Correction en haut de la fenêtre.

  • Laisse le programme travailler, redémarre une fois le fix terminé.
  • Poste le contenu du rapport situé dans C:\_OTL\MovedFiles\********_******.log dans ta prochaine réponse
    les *** sont des chiffres représentant la date [MoisJourAnnée] et l'heure de la correction.



    étape 2

    Télécharge Farbar Service Scanner (de Farbar) sur ton bureau.

  • Ferme toutes tes fenêtres, puis double clique sur FSS.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Laisse les options cochées par défaut
  • Coche en plus "Windows Update" et "Windows Firewall"
  • Clique sur le bouton "Scan"
  • Laisse travailler l'outil, un rapport va apparaitre.
  • Poste son contenu dans ta prochaine réponse

    (S'il n'apparait pas, tu le trouveras à l'emplacement du fichier FSS.exe, sous le nom FSS.txt )

    <@_@>**<@_@>**<@_@>**<@_@>**<@_@>**@_@>**<@_@><@_@>**<@_@>**<@_@>**<@_@>**
    3 Janvier 2013 20:56:54

    bonjour alors voici les rapport en question:

    Error: Unable to interpret <O33 - MountPoints2\{8fc22be6-5c88-11e1-9061-00248c222f42}\Shell - "" = AutoRun> in the current context!
    Error: Unable to interpret <O33 - MountPoints2\{8fc22be6-5c88-11e1-9061-00248c222f42}\Shell\AutoRun\command - "" = G:\INSTALL.EXE> in the current context!
    Error: Unable to interpret <O33 - MountPoints2\{cc6b8daa-27e9-11e2-891f-00248c222f42}\Shell - "" = AutoRun> in the current context!
    Error: Unable to interpret <O33 - MountPoints2\{cc6b8daa-27e9-11e2-891f-00248c222f42}\Shell\AutoRun\command - "" = G:\sources\sperr32.exe x64> in the current context!
    Error: Unable to interpret <O33 - MountPoints2\{e3ed5e8c-286b-11df-94bd-00248c222f42}\Shell\1\Command - "" = G:\Recycled.exe> in the current context!
    Error: Unable to interpret <O33 - MountPoints2\{e3ed5e8c-286b-11df-94bd-00248c222f42}\Shell\2\Command - "" = G:\Recycled.exe> in the current context!
    Error: Unable to interpret <O33 - MountPoints2\{e3ed5e8c-286b-11df-94bd-00248c222f42}\Shell\AutoRun\command - "" = C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\Recycled.exe> in the current context!

    OTL by OldTimer - Version 3.2.69.0 log created on 01032013_204747

    et l'autre le voici :

    Farbar Service Scanner Version: 23-12-2012
    Ran by mina (administrator) on 03-01-2013 at 20:51:54
    Running from "C:\Users\mina\Downloads"
    Windows Vista (TM) Home Basic Service Pack 1 (X86)
    Boot Mode: Normal
    ****************************************************************

    Internet Services:
    ============

    Connection Status:
    ==============
    Localhost is accessible.
    LAN connected.
    Google IP is accessible.
    Attempt to access Google.com returned error: Google.com is offline
    Yahoo IP is accessible.
    Yahoo.com is accessible.


    Windows Firewall:
    =============

    Firewall Disabled Policy:
    ==================


    Windows Update:
    ============

    Windows Autoupdate Disabled Policy:
    ============================


    Other Services:
    ==============


    File Check:
    ========
    C:\Windows\system32\nsisvc.dll => MD5 is legit
    C:\Windows\system32\Drivers\nsiproxy.sys => MD5 is legit
    C:\Windows\system32\dhcpcsvc.dll => MD5 is legit
    C:\Windows\system32\Drivers\afd.sys
    [2011-08-25 16:39] - [2011-04-21 14:16] - 0273408 ____A (Microsoft Corporation) 48EB99503533C27AC6135648E5474457

    C:\Windows\system32\Drivers\tdx.sys => MD5 is legit
    C:\Windows\system32\Drivers\tcpip.sys
    [2010-09-13 13:26] - [2010-06-16 16:59] - 0898952 ____A (Microsoft Corporation) 782568AB6A43160A159B6215B70BCCE9

    C:\Windows\system32\dnsrslvr.dll
    [2011-08-25 16:39] - [2011-03-02 15:49] - 0086528 ____A (Microsoft Corporation) 4805D9A6D281C7A7DEFD9094DEC6AF7D

    C:\Windows\system32\mpssvc.dll
    [2008-01-21 03:34] - [2008-01-21 03:34] - 0393216 ____A (Microsoft Corporation) D1639BA315B0D79DEC49A4B0E1FB929B

    C:\Windows\system32\bfe.dll
    [2008-01-21 03:33] - [2008-01-21 03:33] - 0328704 ____A (Microsoft Corporation) 8582E233C346AEFE759833E8A30DD697

    C:\Windows\system32\Drivers\mpsdrv.sys => MD5 is legit
    C:\Windows\system32\wuaueng.dll => MD5 is legit
    C:\Windows\system32\qmgr.dll
    [2008-01-21 03:34] - [2008-01-21 03:34] - 0758272 ____A (Microsoft Corporation) 02ED7B4DBC2A3232A389106DA7515C3D

    C:\Windows\system32\es.dll
    [2009-02-14 08:09] - [2009-02-14 08:09] - 0269312 ____A (Microsoft Corporation) 3CB3343D720168B575133A0A20DC2465

    C:\Windows\system32\cryptsvc.dll
    [2008-01-21 03:34] - [2008-01-21 03:34] - 0128000 ____A (Microsoft Corporation) 6DE363F9F99334514C46AEC02D3E3678

    C:\Windows\system32\svchost.exe => MD5 is legit
    C:\Windows\system32\rpcss.dll
    [2009-06-15 18:09] - [2009-03-03 05:39] - 0551424 ____A (Microsoft Corporation) 301AE00E12408650BADDC04DBC832830



    **** End of log ****
    3 Janvier 2013 21:08:40

    re
    tu n'as pas copier le haut du cadre de la correction avec :0TL, recommence stp


    tu es sûr que tu n'arrives pas à faire tes mises à jour via windows update? que ce passe-t-il dans ce cas? tu as un message d'erreur?
    4 Janvier 2013 16:06:46

    bonjour et désolé j'avais mal fais la manip, voila le rapport OTL :

    ========== OTL ==========
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fc22be6-5c88-11e1-9061-00248c222f42}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8fc22be6-5c88-11e1-9061-00248c222f42}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8fc22be6-5c88-11e1-9061-00248c222f42}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8fc22be6-5c88-11e1-9061-00248c222f42}\ not found.
    File G:\INSTALL.EXE not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cc6b8daa-27e9-11e2-891f-00248c222f42}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cc6b8daa-27e9-11e2-891f-00248c222f42}\ not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{cc6b8daa-27e9-11e2-891f-00248c222f42}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{cc6b8daa-27e9-11e2-891f-00248c222f42}\ not found.
    File G:\sources\sperr32.exe x64 not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e3ed5e8c-286b-11df-94bd-00248c222f42}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e3ed5e8c-286b-11df-94bd-00248c222f42}\ not found.
    File G:\Recycled.exe not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e3ed5e8c-286b-11df-94bd-00248c222f42}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e3ed5e8c-286b-11df-94bd-00248c222f42}\ not found.
    File G:\Recycled.exe not found.
    Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e3ed5e8c-286b-11df-94bd-00248c222f42}\ not found.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{e3ed5e8c-286b-11df-94bd-00248c222f42}\ not found.
    File C:\Windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL G:\Recycled.exe not found.

    OTL by OldTimer - Version 3.2.69.0 log created on 01042013_155806

    parcontre en ce qui concerne les mises a jours, le message qui s'affiche m'informe que certaines mises a jours n'ont pas été installées, et quand je clic sur le lien pour savoir lesquelles j'ai une page vierge qui s'affiche et rien dessus, sur le message que windows update affiche y'a marqué:

    erreurs détéctées :

    code 770 : windows update a rencontré une erreur inconnue.

    t pour les mises a jours non installées, windows update précise qu"il s'agit de mises a jour importante, et c'est au nombre de 4 mises a jour non installée a chaque fois.
    4 Janvier 2013 17:35:02

    Bonjour,
    ok
    Télécharge Fix WU Utility (de Ramesh Kumar (MVP) ) sur ton Bureau.

  • Décompresse-le en faisant clic-droit dessus -> extraire tout... (clique sur "suivant", "suivant" et "Terminer", ou simplement "Extraire" sous Win7)
  • Ouvre le dossier "Fix WU Utility" et double clique sur "Fix WU Utility 1.0.exe" pour lancer l'outil.
    Accepte l'avertissement de l'UAC

  • Sur la page qui s'affiche clique sur :
    Fix Windows Update

  • Le scan va durer plusieurs minutes, ne touche à rien pendant ce temps.
  • Il pourra t'être demandé de redémarrer le PC à l'issue du scan, fait-le, s'il ne le demande pas, redémarre le PC quand même.

    ++

    puis tu tentes de faire tes mises à jour et tu me dis si ça marche.

    5 Janvier 2013 16:22:04

    bonjour;

    j'ai fais la manip comme il faut , mais toujours echec après la nouvelle tentative d’installation de mises a jour, sinon voila j'ai fais une capture décran du message qui s'affiche a la fin pour dire que les mises a jour non pas étés installées:
    voici le lien de l'impécr : http://cjoint.com/?0AfqsGuVBvt

    merci
    5 Janvier 2013 22:39:48

    Bonsoir
    d'autres outils peuvent réparer :) 



    1) Télécharge Windows Repair (de Tweaking.com) sur ton bureau.

  • Double-Clic dessus pour l'installer puis lance-le.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Va directement à l'onglet "step 3"

  • Clique sur le bouton Do It, et laisse le scan s'effectuer.

  • Ferme le programme et redémarre le PC

  • Relance l'outil et va cette fois-ci sur l'onglet Start Repairs (à la fin)
  • Clique sur le bouton"Start"
  • Dans la fenêtre suivante, coche exactement ces options :


  • Redémarre le pc s'il ne le fait pas automatiquement.
    (Merci à WhiteHat pour les images)
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS