FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Eowi]

Bien le bonjour à vous !
Voilà quelque que temps que je navigue sans anti virus et je viens de choper "interpol"
J'ai essayer de suivre le topic ( http://www.forum-entraide-informatique. ... s-interpol ). Quand j'entre mon CD ou clef USB comment j’exécute le logiciel à l’intérieur ??
Cordialement Martin Leclerc Alias Eowi

[g3n-h@ckm@n]

hello

le pc demarre-t-il en invité de commandes ?

[Eowi]

J'ne sais pas.
La mon ordi est allumé en mode sans echec avec prise en charge réseau. J'ai suivis les instructions du lien que je t'ai envoier en mp.
Avant de faire la manip du lien je ne pouvais mettre aucun des deux modes sans echec.

[Eowi]

J'ai sauté l'étape  intituler "Double-cliquez sur la clef shell à droite et vérifiez si vous avez à l’intérieur « explorer.exe,chemin/skype.dat », si c’est le cas effacez tout pour n’avoir que « explorer.exe »" ( sur l'article http://www.comment-supprimer.com/le-vir ... ah-police/)
Je continue la procédure.
20h45 : Je viens de finir la procédure sans supprimer aucun fichier nommé dans celle-ci. Dois-je m'inquièté ? Il à l'air de fonctionner normalement. Un ami a vu son ordi fonctionner pdt 4H après qu'il ai refonctionné puis plus aucuné réaction.
J'ne profite pour téléchargé un anti virus ( Avast en l'occurence)

[Eowi]

Comment être sûr que l'ordi fonctionne normalement ? Je le trouve un peu mou.

[g3n-h@ckm@n]

n'envoie rien en MP , j'attends le rapport de pre_scan

[Eowi]

Ce matin tôt : http://cjoint.com/?CKEkCy2AO0G
Celui de 10h : http://cjoint.com/?CKEkDNYJTc4
Diag : http://cjoint.com/?CKEkExyM2B8
J'espère ca t'aidera xD

[g3n-h@ckm@n]

• Télécharge Adwcleaner (de Xplode) sur ton Bureau !
• Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Choisis l'option Scanner
• Choisis l'option Nettoyer
• Accepte l'avertissement en cliquant sur OK
  
  
• Accepte les avertissements/informations en cliquant sur OK
• Copie et Colle le contenu du rapport qui apparaît au redémarrage du PC

================

• Télécharge Junkware Removal Tool Download (de thisisu) sur ton bureau.
• Lance Junkware Removal Tool Download, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Appuie sur n'importe quelle touche.
  
  
• Une fois le scan terminé rends toi sur le bureau, le fichier JRT.txt à été créé.
• Héberge le rapport JRT.txt surSosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

=======================

• Télécharge MalwareBytes Anti-Malware
• Installe le. Décoche "Activer l'essai gratuit de Malwarebytes Anti-Malware PRO"
• Lance Malwarebytes' Anti-Malware.
• Clic sur l'onglet "Mises à jours" puis sur "Rechercher des mises à jours"
• Clic sur l'onglet "Recherche", coche "éxécuter un examen complet" puis clic sur Rechercher
  
  
• A la fin de l'analyse, si MBAM n'a rien trouvé :
• Clic sur OK, le rapport s'ouvre spontanément

• Si des menaces ont été détectées :
• Clic sur OK puis "Afficher les résultats"
• Choisis l'option "Supprimer la sélection"
• Si MBAM demande le redémarrage de Windows : Clic sur "Oui"
• Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
• Sinon le rapport s'ouvre automatiquement après la suppression
• Poste le rapport dans ta prochaine réponse

[Eowi]

AdwCleaner : http://cjoint.com/?CKElJg3MUIS
Je savais pas ou je devais le coller je l'ai mis là.
JRT : http://cjoint.com/?CKEmcDsIuOp

[g3n-h@ckm@n]

d'ac j'attends malwarebytes

[Eowi]

MBAM : http://cjoint.com/?CKEnxcQmkYS

[g3n-h@ckm@n]

bien refais un diag avec pre_scan stp

[Eowi]

diag n°2 : http://cjoint.com/?CKEn6KOpEC1

[g3n-h@ckm@n]

sélectionne ce texte puis CTRL + C :

Kill::
All

Key::
[HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Toolbar]|[Locked]
[HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{1A62CCB4-C1D3-4811-A3A1-972425923EE}]
[HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{496AFDD3-78E5-4812-AECB-70A05565962}]
[HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{528FFC73-389D-4134-9C13-F1416F8A3FE4}]
[HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{93604812-CE63-4917-9122-45D7C8F1D623}]
[HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{B3E61106-DFD9-46EF-B9FF-8B17AF2CEF9}]
[HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E21FEF34-3F3B-439F-88E3-218C4063372A}]
[HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E316C6FF-ACE1-44E3-9315-64412678D60}]
[HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EAD0930-1F0A-448A-9EE5-76686B030F0}]
[HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{318A227B-5E9F-45BD-8999-7F8F10CA4CF5}]    
[HKU\S-1-5-21-2901499230-3700275734-3431151404-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{318A227B-5E9F-45BD-8999-7F8F10CA4CF5}]    
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[TCP Query User{376D076A-F36F-4F55-9EF8-06ACBEBDC0ED}C:\users\msi_user\appdata\roaming\cacaoweb\cacaoweb.exe]
[HKLM\SYSTEM\CurrentControlSet\Services\sharedaccess\Parameters\FirewallPolicy\FirewallRules]|[UDP Query User{B18A2661-D430-4CAC-88E9-8D8FF118590F}C:\users\msi_user\appdata\roaming\cacaoweb\cacaoweb.exe]

File|Fold::
C:\eula.*.txt
C:\install.*
C:\windows\silentOnce.tmp
C:\Windows\ServiceProfiles\LocalService\NTUSER.DAT_tureg_old
C:\Users\MSI_User\Downloads\*.exe    
C:\ProgramData\4vfrolq.fvv
C:\ProgramData\ljddgl.fvv
C:\ProgramData\ljddgl.bxx
C:\ProgramData\4vfrolq.bxx
C:\ProgramData\boost_interprocess    
C:\Program Files (x86)\GUTF9AE.tmp
C:\Program Files (x86)\GUMF9AD.tmp
C:\Program Files (x86)\GUMC439.tmp
C:\Program Files (x86)\GUTC43A.tmp
C:\windows\System32\Tasks\CreateChoiceProcessTask        

Driver::
FYIBYHPO

MBR::
yes

Clean::
yes

reboot::
yes

Relance Pre_scan puis choisis l’option « Script« L’outil va travailler instantanément
des fenetres noires risquent de clignoter , c’est normal , c’est le programme qui travaille
poste Pre_Script_date_heure.txt qui apparaitra à la racine du disque systeme (généralement c:\) en fin de travail

[Eowi]

Script : http://cjoint.com/?CKEoUpGJSG2

[g3n-h@ckm@n]

Télécharge Gmer : http://www.gmer.net/#files  clique sur « Download EXE » et enregistre-le sur ton bureau

Désactive toutes tes protections : http://forum.pcastuces.com/desactiver_l ... -f31s4.htm

Pour XP = double clique sur gmer.exe
Pour Vista et 7 = clique droit « executer en tant que…. »

clique sur l’onglet rootkit,lance le scan,des lignes rouges devraient apparaitre.

Les lignes rouges indiquent la presence d’un rootkit.

Poste le rapport gmer (cliques sur copy,puis va dans démarrer ,puis ouvre le bloc note,va dans édition et clique sur coller ,le rapport gmer va apparaitre,poste-le)

ensuite :

fais bien attention que toutes les cases à droites soient cochées sauf Quick Scan, puis clique sur scan

j’attends donc deux rapports hébergés sur http://cjoint.com

Aide d’utilisation de cjoint : http://www.security-helpzone.com/blog/c ... s-109.html

[Eowi]

Parcontre pour les lignes rouge, j'suis d'accord, mais tout de suite après un message oui ou non est apparu j'ai cliqué oui et pouf plus de ligne
Et là ca va de planter et le logiciel viens de se fermer ^^

2eme tentatives :
Voici les lignes rouges : http://cjoint.com/?CKEpEFVFhHU

[g3n-h@ckm@n]

reessaie en mode sans echec

[Eowi]

et le scan : http://cjoint.com/?CKEpNBgm4D6

[g3n-h@ckm@n]

on a un processus bizarre là...

fais ceci :

http://gen-hackman.purforum.com/t4-combofix

[Eowi]

Là quand il ma demander oui ou non j'ai choisis non.
Je ne suis pas doué en anglais, j'ai choisis à l'arraché ...
Ca a un impacte ?
Je peux recommencer en mode sans echec peut etre ?

[g3n-h@ckm@n]

fais combofix

[Eowi]

Combofix : http://cjoint.com/?CKEqsotj3H8

[g3n-h@ckm@n]

__________________________________________________________
=/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ =il est fort déconseillé de le transposer sur un autre ordinateur !
--------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

Ouvre le bloc-notes (Menu démarrer -- programmes -- accessoires -- bloc-notes)
Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

ClearJavaCache::

Folder::
c:\programdata\boost_interprocess

RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\software\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0000\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\Class\{4D36E96D-E325-11CE-BFC1-08002BE10318}\0001\AllUserSettings]
[HKEY_LOCAL_MACHINE\system\ControlSet001\Control\PCW\Security]

------------------------------------------------------------------

Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
Quitte le Bloc Notes

Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : http://i261.photobucket.com/albums/ii49 ... ript-2.gif

Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici = C:\ComboFix.txt

[Eowi]

scan : http://cjoint.com/?CKErEPwDahV

[g3n-h@ckm@n]

ok quels soucis persistent ?

[Eowi]

dans l'onglet des îcones caché je ne peux plus faire clique droit ( ex : Je ne peux pas remettre avast en mode actif )

[g3n-h@ckm@n]

t'as un message d'erreur quand tu cliques droit ??

[Eowi]

Bah nan juste aucune réaction, mais ça vient que d'avast en fait ...
J'ai reussi à le réactivé en passant par l’icône dans le menu démarrer.
Il me semble refonctionner correctement !

[g3n-h@ckm@n]

bien fais le menage dans ce cas : http://www.security-helpzone.com/gen-ha ... infection/

[Eowi]

delfix : http://cjoint.com/?CLbqYPSh1kA

[g3n-h@ckm@n]

magnifique

[Eowi]

J'te remercie !
Bonne soirée !!

[2011N2]

Bonjour,

Le sujet est à présent résolu, nous nous chargeons donc de le mettre en résolu et nous le verrouillons.
Vous pouvez si vous le souhaitez, mettre en valeur les messages ayant résolu votre problème comme ceci : http://www.forum-entraide-informatique. ... onse-utile

Cela permettra une meilleure visibilité du sujet pour les autres utilisateurs ayant le même souci.

Si le forum vous a aidé dans la résolution de votre problème et que vous souhaitez le remercier, vous avez la possibilité de faire un don afin de l'encourager dans ses démarches en cliquant sur le bouton suivant :




Vous pouvez aussi suivre FEI sur Facebook en cliquant sur J'aime ci-dessous :



Merci d'avance,
À bientôt sur FEI !