FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique

Aide à la désinfection (pages publicitaires, moteur de recherche remplacé, redirections, virus...).
Règles du forum : Entraide concernant la désinfection et la sécurité informatique : en cas de publicités intempestives, pop-up, redirections, logiciels indésirables, ralentissements suspects, virus, etc.
Une désinfection complète vous sera assurée : désinfection, sécurisation, puis prévention.
Seuls les helpers (personnes qualifiées et formées à la désinfection) ainsi que le staff sont autorisés à apporter leur aide dans cette section.
Merci également de prendre connaissance de la charte générale du forum.
  • Avatar du membre
  • Avatar du membre
Avatar du membre
par AnGie52
#65537
Bonjour,
Je sais que ce problème a déjà été résolu mais n'étant pas très calée niveau informatique je préfère quand même être guidée pour faire les manipulations ...
J'ai vu sur l'autre post concernant ce problème qu'il fallait démarrer l'ordinateur en mode sans échec avec prise en charge réseau, hors mon pc redémarre tout seul pour se remettre en mode normal, pareil si je me mets en mode sans échec seul ...

J'ai lu dans ce cas qu'il fallait utilisé le LiveCD (que je suis d'ailleurs en train de télécharger ... je tiens à dire que le pc infecté n'est pas le mien mais celui de mon père, je vous écrit à partir de mon ordi perso pour pouvoir télécharger le liveCD sur clé USB et le mettre sur l'autre)
Ai-je bien fait de le télécharger ou non et que dois-je faire ensuite ?!?

Merci de votre réponse
Avatar du membre
par 2011N2
#65578
Bonjour,

J'ai pas compris une chose.
Tu as bien accès au mode normal ou il est bloqué ?

Gabriel.
Avatar du membre
par AnGie52
#65592
Bonjour Gabriel,

Hier quand j'ai allumé le pc il s'est allumé normalement, le bureau s'est installé comme à chaque fois et à peine 5 secondes après j'ai eu la page blanche d'INTERPOL ...
Là je l'ai rallumé tout à l'heure pour essayer de faire vos démarches (que j'ai vu sur l'autre post concernant ce virus) et je n'ai plus qu'un écran noir (je n'accède même plus au bureau) ni rien ...
Je ne comprends rien du tout, l'ordinateur est apparemment bloqué
Avatar du membre
par AnGie52
#65595
Oui la procédure je l'ai faite deux fois tout à l'heure mais il a à chaque fois redémarrer pour ce remettre en mode normal ...
Là je l'ai éteinds et rallumé, il m'a mis le bureau 5 secondes et depuis j'ai une page blanche ...
Je viens de faire Ctrl + Alt + Suppr, il ne m'ouvre absolument rien
Avatar du membre
par 2011N2
#65599
Ok parfait, tu l'exécutes, tu passe RogueKiller en Scan et tu me postes le rapport stp.

Gabriel.
Avatar du membre
par AnGie52
#65604
J'ai du installer Daemon tools pour pouvoir l'enregistrer sur la clé ...
Le problème c'est que le pc infecté ne démarre absolument pas en mode sans échec, il n'a pas le temps de charger vu qu'il redémarre tout seul pour se remettre en mode normal.
Est ce que la procédure avec RogueKiller va quand même fonctionner ?
Avatar du membre
par 2011N2
#65605
Re,

Non fallait le graver avec ISO2Disc plutôt.

Le bios se charge, ça devrait être bon pour modifier la séquence de démarrage.

Gabriel.
Avatar du membre
par AnGie52
#65608
Je viens de graver le CD avec le logiciel que tu m'as préconisé.
Je lance sur l'autre pc
Avatar du membre
par 2011N2
#65609
Ok tu me diras si tu bloques quelque part ou si tu veux plus d'infos.

Gabriel.
Avatar du membre
par AnGie52
#65610
J'ai mis le CD sur l'autre pc.
Est ce qu'il doit y avoir une boîte de dialogue ou pas ?
Car j'ai toujours la page blanche (comme tout à l'heure...)
Avatar du membre
par AnGie52
#65615
RogueKiller V8.6.2 [Jul 5 2013] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Recherche -- Date : 10/04/2013 21:05:26
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 19 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowDownloads (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowVideos (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) - TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) - TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - TROUVÉ
[EXT HJ DLL][SUSP PATH] HKLM\[...]\CS001\[...]\Parameters : ServiceDll (C:\PROGRA~2\fhygvwntqntkdjjdjqg.bfg [x]) - TROUVÉ
[EXT HJ DLL][SUSP PATH] HKLM\[...]\CS002\[...]\Parameters : ServiceDll (C:\PROGRA~2\fhygvwntqntkdjjdjqg.bfg [x]) - TROUVÉ
[EXT RUN][Rans.Gendarm] HKCU\Gilles_ON_C:\[...]\Run : ctfmon32.exe () - TROUVÉ
[EXT SHELL][SUSP PATH] HKCU\Gilles_ON_C:\[...]\Winlogon : shell (explorer.exe,C:\Users\Gilles\AppData\Roaming\data.dat [x][-]) - TROUVÉ
[EXT RUN][Rans.Gendarm] HKCU\Gilles_ON_C:\[...]\Run : ctfmon32.exe () - TROUVÉ
[EXT SHELL][SUSP PATH] HKCU\Gilles_ON_C:\[...]\Winlogon : shell (explorer.exe,C:\Users\Gilles\AppData\Roaming\data.dat [x][-]) - TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
- C:\windows\system32\config\SYSTEM
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SOFTWARE
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SECURITY
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SAM
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\DEFAULT
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\Users\Default\NTUSER.DAT
C:\Windows\system32

- C:\Users\Default User\NTUSER.DAT
C:\Windows\system32

- C:\Users\Gilles\NTUSER.DAT
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\Users\Public\NTUSER.DAT
C:\Windows\system32

- C:\Documents and Settings\Default\NTUSER.DAT
C:\Windows\system32

- C:\Documents and Settings\Default User\NTUSER.DAT
C:\Windows\system32

- C:\Documents and Settings\Gilles\NTUSER.DAT
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\Documents and Settings\Public\NTUSER.DAT
C:\Windows\system32


¤¤¤ Infection : Rans.Gendarm ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 3d35355b2d52f598a70d7255893e7503
[BSP] 437bd5096afc740b7e7b503ef43fe0f1 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 119000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 246786048 | Size: 117973 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :
Avatar du membre
par AnGie52
#65620
RogueKiller V8.6.2 [Jul 5 2013] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Recherche -- Date : 10/04/2013 21:18:51
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 0 ¤¤¤

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
- C:\windows\system32\config\SYSTEM
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SOFTWARE
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SECURITY
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SAM
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\DEFAULT
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\Users\Default\NTUSER.DAT
C:\Windows\system32

- C:\Users\Default User\NTUSER.DAT
C:\Windows\system32

- C:\Users\Gilles\NTUSER.DAT
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\Users\Public\NTUSER.DAT
C:\Windows\system32

- C:\Documents and Settings\Default\NTUSER.DAT
C:\Windows\system32

- C:\Documents and Settings\Default User\NTUSER.DAT
C:\Windows\system32

- C:\Documents and Settings\Gilles\NTUSER.DAT
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\Documents and Settings\Public\NTUSER.DAT
C:\Windows\system32


¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 3d35355b2d52f598a70d7255893e7503
[BSP] 437bd5096afc740b7e7b503ef43fe0f1 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 119000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 246786048 | Size: 117973 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :
RKreport[0]_S_10042013_210526.txt;RKreport[0]_D_10042013_211810.txt
Avatar du membre
par 2011N2
#65621
Re,

Ça c'est toujours le mode recherche ? Mode : Recherche -- Date : 10/04/2013 21:18:51

Gabriel.
Avatar du membre
par AnGie52
#65623
Oups !
Je me suis trompée de rapport ...
Je t'envoie le bon ^_^

RogueKiller V8.6.2 [Jul 5 2013] par Tigzy
mail : tigzyRKgmailcom
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Système [Droits d'admin]
Mode : Suppression -- Date : 10/04/2013 21:18:10
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 19 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyDocs (0) - REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowUser (0) - REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyPics (0) - REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) - REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) - REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowDownloads (0) - REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowVideos (0) - REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowHelp (0) - REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) - REMPLACÉ (1)
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) - REMPLACÉ (1)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - REMPLACÉ (0)
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) - REMPLACÉ (0)
[EXT HJ DLL][SUSP PATH] HKLM\[...]\CS001\[...]\Parameters : ServiceDll (C:\PROGRA~2\fhygvwntqntkdjjdjqg.bfg [x]) - REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll)
[EXT HJ DLL][SUSP PATH] HKLM\[...]\CS002\[...]\Parameters : ServiceDll (C:\PROGRA~2\fhygvwntqntkdjjdjqg.bfg [x]) - REMPLACÉ (%SystemRoot%\system32\wbem\WMIsvc.dll)
[EXT RUN][Rans.Gendarm] HKCU\Gilles_ON_C:\[...]\Run : ctfmon32.exe () - SUPPRIMÉ
[EXT SHELL][SUSP PATH] HKCU\Gilles_ON_C:\[...]\Winlogon : shell (explorer.exe,C:\Users\Gilles\AppData\Roaming\data.dat [x][-]) - SUPPRIMÉ
[EXT RUN][Rans.Gendarm] HKCU\Gilles_ON_C:\[...]\Run : ctfmon32.exe () - [0x57] Paramètre incorrect.
[EXT SHELL][SUSP PATH] HKCU\Gilles_ON_C:\[...]\Winlogon : shell (explorer.exe,C:\Users\Gilles\AppData\Roaming\data.dat [x][-]) - [0x57] Paramètre incorrect.

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤
- C:\windows\system32\config\SYSTEM
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SOFTWARE
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SECURITY
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\SAM
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\windows\system32\config\DEFAULT
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\Users\Default\NTUSER.DAT
C:\Windows\system32

- C:\Users\Default User\NTUSER.DAT
C:\Windows\system32

- C:\Users\Gilles\NTUSER.DAT
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\Users\Public\NTUSER.DAT
C:\Windows\system32

- C:\Documents and Settings\Default\NTUSER.DAT
C:\Windows\system32

- C:\Documents and Settings\Default User\NTUSER.DAT
C:\Windows\system32

- C:\Documents and Settings\Gilles\NTUSER.DAT
C:\Windows\system32
C:\Users\Gilles\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
- C:\Documents and Settings\Public\NTUSER.DAT
C:\Windows\system32


¤¤¤ Infection : Rans.Gendarm ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
-- %SystemRoot%\System32\drivers\etc\hosts




¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: +++++
--- User ---
[MBR] 3d35355b2d52f598a70d7255893e7503
[BSP] 437bd5096afc740b7e7b503ef43fe0f1 : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 119000 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 246786048 | Size: 117973 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine :
RKreport[0]_S_10042013_210526.txt
Avatar du membre
par 2011N2
#65624
Re,

Ok.

Regarde si tu as de nouveau accès au mode normal et/ou mode sans échec.

Gabriel.
Avatar du membre
par AnGie52
#65625
Bah écoute je l'ai rallumé, il redémarre correctement
Il m'a juste demandé de faire une restauration de système (recommandé) j'ai cliqué dessus et en fait il m'a fait redémarrer l'ordi du coup j'ai démarré windows normalement et ça fonctionne normalement ...

De plus, quand j'arrive sur le bureau une fenêtre s'affiche m'indiquant "uninstbb.exe a cessé de fonctionner" et une autre concernant configfree "ce programme fonctionne uniquement pour un système TOSHIBA".
Saurais-tu d'où cela peut provenir ?!?
J'ai cherché en vain sur internet
Avatar du membre
par AnGie52
#65650
Ah non je n'ai pas eu celui de "uninstbb" ca venait de babylon que je n'arrivais pas à désinstaller mais à priori c'est bon

Mais la j'en ai un nouveau : TosIPCSrv.exe a cessé de fonctionner.
Avatar du membre
par 2011N2
#65665
Salut,

Ok on va s'occuper de ce message en fin de désinfection.

J'aimerais bien te faire vérifier les fichiers suivant sur VirusTotal comme ceci :

C:\ProgramData\exejm64qwe.dat
C:\ProgramData\ddjmto.dat
C:\ProgramData\ewq46mjexe.dat
C:\ProgramData\F302EBE12F917286E9A88BEC8B27774.exe
C:\ProgramData\vdt4.dat


Ça me paraît suspect, surtout après avoir été infecté par Interpol. Tu me donneras donc les 5 liens d'analyses.

Gabriel.
Avatar du membre
par AnGie52
#65669
Coucou Gabriel,

Tu vas sûrement me prendre pour une débile mais je ne trouve pas les dossiers que tu demandes
Avatar du membre
par AnGie52
#65698
Cool merci pour l'astuce

Alors pour le premier dossier le ratio est de 26/48 et voici le lien :
https://www.virustotal.com/fr/file/0555 ... 380968977/

Deuxième dossier le ratio est de 31/48 et voici le lien :
https://www.virustotal.com/fr/file/0a38 ... 380969297/

Troisième dossier le ratio est de 2/48 et voici le lien :
https://www.virustotal.com/fr/file/3449 ... 380971019/

Quatrième dossier le ratio est de 31/48 et voici le lien :
https://www.virustotal.com/fr/file/6fd9 ... 380971187/

Cinquième dossier le ratio est de 25/48 et voici le lien :
https://www.virustotal.com/fr/file/976c ... 380971284/
Avatar du membre
par 2011N2
#65699
Re,

Ok tu peux de nouveaux masquer les fichiers cachés.

C'est bien ce qui me semblait, c'est néfaste.

Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.

Gabriel.

Bonjour, Est-ce que l'un d'entre vous aurait un &[…]

Gestion des Pare-feu.

Bonjour, J'ai un petit réseau de 3 PC conn[…]

Hi all members

Hello. As far as I know, tomb of the mask is an […]

Configurez la redirection de port sur votre Freebo[…]