Gomeo

Salut






1) • Déconnectes toi et fermes toutes applications en cours .
• Au message ==> Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptibles d avoir été infectés sans les ouvrir
• Double clic sur le raccourci UsbFix présent sur ton bureau .
• Choisi >> l option >> Suppression
• Laisse travailler l outil.
• Ensuite poste le rapport UsbFix.txt qui apparaitra.
• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )
( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )


ensuite


2)Télécharge OTL (de OldTimer) sur ton Bureau.

* ICI >> OTL (de OldTimer)


* => double clique >>sur OTL.exe
*coches les cases Tous les Utilisateurs et minimal output

Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous >> Personalisation :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT




* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le contenu de OTL.Txt dans ta prochaine réponse

• Héberge le rapport >> OTL.Txt sur ce site,

• Rends toi sur >> cijoint.fr
• clic sur Parcourir
• trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
• et valide en cliquant sur >> Cliquez ici pour déposer le Fichier
• Un lien de ce genre [http://www.cijoint.fr/cjlink.php?file=cj201004/cijecaEGX.txt] te sera généré,
• Il te suffit de le poster

* fais aprés de même avec le rapport >> Extras.Txt

ou

ICI >> pjjoint.malekal

• Cliques sur >> Parcourir
• Trouve >> le rapport que tu viens d'enregistrer qui doit par exemple être sur ton bureau
• Au cas ou tu le poste en plusieurs parties ,Ok , mais >> en entier bien sur !!
• Cliques sur >> envoyer le fichier
• Un lien de ce genre te sera généré,
• il te suffit de le poster ici

@+ VIRUS/C/C

Re

Voilà pour la suppression, je continue avec OTL

############################## | UsbFix 7.044 | [Suppression]

Utilisateur: caroline (Administrateur) # PC-DE-CAROLINE [Packard Bell BV EasyNote MZ36]
Mis à jour le 25/04/2011 par TeamXscript
Lancé à 13:12:37 | 30/04/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Genuine Intel(R) CPU T2080 @ 1.73GHz
CPU 2: Genuine Intel(R) CPU T2080 @ 1.73GHz
Microsoft® Windows Vista™ Édition Familiale Premium (6.0.6000 32-Bit) #
Internet Explorer 7.0.6000.17037

Pare-feu Windows: Activé
Antivirus: avast! Antivirus 5.0.100664296 [(!) Disabled | Updated]
RAM -> 894 Mo
C:\ (%systemdrive%) -> Disque fixe # 104 Go (53 Go libre(s) - 51%) [HDD] # NTFS
D:\ -> CD-ROM
E:\ -> CD-ROM
F:\ -> Disque amovible # 4 Go (1 Go libre(s) - 34%) [] # FAT32

################## | Éléments infectieux |


Supprimé! C:\$RECYCLE.BIN\S-1-5-21-733228396-2139054505-1825461101-1000

################## | Registre |

Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System|DisableRegistryTools
Supprimé! HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives
Supprimé! HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\explorer|NoDrives

################## | Mountpoints2 |


################## | Listing |

[30/04/2011 - 13:18:20 | SHD ] C:\$RECYCLE.BIN
[25/04/2011 - 11:20:41 | N | 16438] C:\Ad-Report-CLEAN[1].txt
[24/04/2011 - 19:35:30 | N | 17074] C:\Ad-Report-SCAN[1].txt
[27/07/2007 - 18:43:10 | D ] C:\ADSLUSB
[14/08/2007 - 20:47:54 | D ] C:\ATI
[18/09/2006 - 23:43:36 | N | 24] C:\autoexec.bat
[09/01/2008 - 20:38:46 | D ] C:\boot
[09/01/2008 - 20:14:30 | RASH | 443912] C:\bootmgr
[25/04/2011 - 20:34:34 | D ] C:\ComboFix
[25/04/2011 - 20:34:28 | N | 11181] C:\ComboFix.txt
[18/09/2006 - 23:43:37 | N | 10] C:\config.sys
[02/11/2006 - 15:02:03 | SHD ] C:\Documents and Settings
[30/05/2009 - 21:08:27 | D ] C:\Downloads
[07/11/2006 - 04:35:10 | D ] C:\drivers
[28/07/2007 - 14:10:36 | D ] C:\Encarta 98
[28/07/2007 - 11:58:14 | N | 5482] C:\ffastun.ffa
[28/07/2007 - 11:58:13 | N | 3186688] C:\ffastun.ffl
[28/07/2007 - 11:58:14 | N | 983040] C:\ffastun.ffo
[28/07/2007 - 11:58:13 | N | 6922240] C:\ffastun0.ffx
[14/11/2007 - 21:11:54 | D ] C:\found.000
[28/07/2007 - 11:43:23 | N | 0] C:\IO.SYS
[06/11/2006 - 20:17:18 | N | 1782] C:\IPH.PH
[28/07/2007 - 11:43:23 | N | 0] C:\MSDOS.SYS
[28/07/2007 - 11:46:37 | D ] C:\office pro 97
[30/04/2011 - 09:43:04 | ASH | 1251540992] C:\pagefile.sys
[24/04/2011 - 19:56:32 | N | 512] C:\PhysicalDisk0_MBR.bin
[25/04/2011 - 11:18:59 | D ] C:\Program Files
[25/04/2011 - 11:18:58 | D ] C:\ProgramData
[25/04/2011 - 20:34:33 | D ] C:\Qoobox
[24/04/2011 - 19:07:25 | D ] C:\rsit
[05/11/2007 - 18:47:51 | D ] C:\Securitoo
[30/04/2011 - 11:34:11 | SHD ] C:\System Volume Information
[25/04/2011 - 20:25:39 | D ] C:\tdsskiller
[25/04/2011 - 17:32:19 | N | 58662] C:\TDSSKiller.2.4.21.0_25.04.2011_17.31.24_log.txt
[30/04/2011 - 13:18:20 | D ] C:\UsbFix
[30/04/2011 - 13:12:52 | A | 3118] C:\UsbFix.txt
[27/07/2007 - 11:46:47 | D ] C:\Users
[25/04/2011 - 20:34:31 | D ] C:\Windows
[25/04/2011 - 17:23:43 | N | 964] C:\ZHPExportRegistry-25-04-2011-17-23-42.txt

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

################## | Upload |

Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_PC-DE-CAROLINE.zip
http://www.teamxscript.org/Upload.php
Merci de votre contribution.

################## | E.O.F |

Voilà la suite

Le OTL :

http://www.cijoint.fr/cjlink.php?file=cj201104/cijDPPfAQK.txt

Et pour le extra

http://www.cijoint.fr/cjlink.php?file=cj201104/cijqgnpxuN.txt


Merci pour ton travail

Salut





* Relance OTL ,
* >> double clic sur OTL.exe pour le lancer
* Windows XP >> double clic sur OTL.exe pour le lancer
* Windows7/VIsta >> clic droit exécuter en tant qu'administrateur sur OTL.exe pour le lancer,
* Copie et colle du texte en gras çi-dessous

* Tu commençes bien à >> OTL , les : inclus devant OTL jusqu'à >> [Reboot] inclus dans la partie inférieure d'OTL sous "Personalisation"
* Cliques sur >> CORRECTION:




:OTL
SRV - (CLTNetCnService) -- File not found
IE - HKU\.DEFAULT\..\URLSearchHook: {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - Reg Error: Key error. File not found
IE - HKU\S-1-5-18\..\URLSearchHook: {06663B56-0D73-4f9f-BCC5-4AA941470AFD} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-733228396-2139054505-1825461101-1000\..\URLSearchHook: {4daac69c-cba7-45e2-9bc8-1044483d3352} - Reg Error: Key error. File not found
IE - HKU\S-1-5-21-733228396-2139054505-1825461101-1000\..\URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
[2010/12/26 21:31:06 | 000,000,000 | ---D | M] (Softonic_France Community Toolbar) -- C:\Users\caroline\AppData\Roaming\Mozilla\Firefox\Profiles\gxmqkah2.default\extensions\{4daac69c-cba7-45e2-9bc8-1044483d3352}
O2 - BHO: (Yahoo! Toolbar Helper) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3 - HKLM\..\Toolbar: (Yahoo! Toolbar avec bloqueur de fenêtres pop-up) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)
O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {E3EA4FD9-CADE-4AE5-84F7-086EEE888BE4} - No CLSID value found.
O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {E3EA4FD9-CADE-4AE5-84F7-086EEE888BE4} - No CLSID value found.
O4 - HKU\S-1-5-21-733228396-2139054505-1825461101-1000\..\Run: [BitComet] File not found
O4 - HKU\S-1-5-21-733228396-2139054505-1825461101-1000\..\Run: [UaZrQxMILUgi5aG] File not found
O4 - HKLM\..\RunOnce: [] File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\restrictions present
O34 - HKLM BootExecute: (autocheck autochk *) - File not found
SafeBootMin: NTDS - File not found
SafeBootNet: NTDS - File not found
ActiveX: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} - Reg Error: Value error.
ActiveX: {347B0667-C7ED-429B-BDE3-CC8D3BACAA31} - Reg Error: Value error.
[2011/04/25 20:05:22 | 000,256,512 | ---- | C] () -- C:\Windows\PEV.exe
[2011/04/25 20:05:22 | 000,098,816 | ---- | C] () -- C:\Windows\sed.exe
[2011/04/25 20:05:22 | 000,089,088 | ---- | C] () -- C:\Windows\MBR.exe
[2011/04/25 20:05:22 | 000,080,412 | ---- | C] () -- C:\Windows\grep.exe
[2011/04/25 20:05:22 | 000,068,096 | ---- | C] () -- C:\Windows\zip.exe





:Commands
[emptytemp]
[emptyflash]
[Reboot]


* copie/colle le contenu du rapport texte qui apparait au Redémarrage de ton PC.









@+ VIRUS/C/C

Salut,

j'ai essayé de lancer 2 fois la correction d'OTL et ça à l'air de bugger... Au bout de plusieurs heures, le programme n'est toujours pas terminé et il ne répond plus...

Salut

Regarde et essayes à nouveau

poste le rapport aprés le redémarrage !!

ensuite


2)*Rends toi sur >> Virustotal
* ICI >> Virustotal


Fais analyser le(s) fichier(s)

* Clique sur Parcourir en haut, choisis Poste de travail et cherche ce fichier :
* PS * *
* Sinon >> Colle directement le chemin du fichier ,
dans l'espace>> " Parcourir" :

* Clique maintenant sur >> Send file. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée * Une nouvelle fenêtre de ton navigateur va apparaître
poste le résultat >> en collant l'url de la page du résultat (barre d'adresse).
Ou en cliquant sur >> View last report et fais un copié/collé du rapport



@+ VIRUS/C/C