Malekal's forum

[CipeR]

Bonjour à toutes et à tous !

Tout d'abord ma config : windows vista 32 bit

Cet après-midi je me suis fais attaqué par plusieurs trojan a la fois, "windows security alert" et "RtHDVCpl.exe" qui sont, d'après ce que j'ai compris des rogues...
J'ai d'abord fais un scan de windows defender et supprimé un processus malveillant (je ne sais pas lequel).
Comme l'infection n'était pas finie (Les icônes de mon bureau et du menu démarrer et de la barre de tâches n'apparaissent toujours pas), j'ai téléchargé Roguekiller et j'ai fais un a un les 6 étapes de Roguekiller. Les icônes de mon bureau sont réapparus mais pas ceux du menu démarrer ni de ma barre de tâche (à côté du menu démarrer)

Merci beaucoup pour votre aide précieuse !

PS : en pièces jointes les rapports de l'étape 2 et 6 de roguekiller

Etape 6.txt

(894 Octets) Téléchargé 2202 fois

Etape 2.txt

(666 Octets) Téléchargé 3010 fois

[hackinginterdit]

Salut,

Bienvenue.

Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement.
Bien poster les rapports comme demandés afin de pouvoir les analyser.

Sauvegarder (en copiant) tous tes documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.
TOUS LES UTILITAIRES doivent être lancés depuis le Bureau (sauf indication spécifique). Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau ou les déplacer (tout de suite après par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller".
Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau.

Supprimes RogueKiller V5.1.3

Télécharge Unhide.exe sur ton bureau
Double-clique sur "Unhide.exe" pour lancer le programme
(Utilisateur de Vista/Windows 7, clique droit sur Unhide.exe et sélectionne "Exécuter en tant qu'administrateur")

Passe un coup de TDSSKiller : http://forum.malekal.com/tdsskiller-kas ... 28637.html
Poste le rapport ici.



Tu peux suivre les indications de cette page pour t'aider : http://www.malekal.com/2010/11/12/tutorial-otl/

* Télécharge http://oldtimer.geekstogo.com/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :

netsvcs
%SYSTEMDRIVE%\*.*
%systemroot%\*. /mp /s
%systemroot%\System32\config\*.sav
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
SAVEMBR:0
%systemroot%\system32\*.dll /lockedfiles
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update\Results\Install|LastSuccessTime /rs
/md5start
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
iexplore.exe
wuauclt.exe
/md5stop

* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

[CipeR]

Bonsoir,

Encore merci pour l'aide rapide que vous offrez !

Tout d'abord, je n'ai pas réussi à lancer TDSSkiller, je l'ai bien téléchargé sur le bureau et lancé a partir du bureau, Windows me demande si je donne mon autorisation pour ouvrir le fichier, et là, rien , aucune fenêtre ne se lance. J'ai essayé une bonne dizaine de fois et retéléchargé plusieurs fois... Je suis donc passé à la suite, sans utiliser TDSSkiller.
Enuite j'ai utilisé OTL, voici le rapport :
http://pjjoint.malekal.com/files.php?id=fd480c332814158

Merci encore.

Perceval

[hackinginterdit]

Bonjour

Tu Supprimes TDSkiller !

Les icônes de mon bureau sont réapparus mais pas ceux du menu démarrer ni de ma barre de tâche (à côté du menu démarrer)

Est ce que toutes tes icônes sont là ?

Relance OTL.exe.

Sous l'onglet Personnalisation en bas de la fenêtre, Copies et colles le contenu de cette citation ci dessous depuis Ras

RAS
:OTL
:Files
C:\Users\Cip\Desktop\TDSSKiller.exe
C:\Users\Cip\Desktop\tdsskiller.zip
C:\Users\Cip\Desktop\unhide.exe
C:\ProgramData\~22863632r
C:\ProgramData\~22863632
C:\ProgramData\22863632
C:\Users\Cip\Desktop\tdsskiller.zip
C:\Users\Cip\Desktop\unhide.exe
C:\Users\Cip\Desktop\AD-R.lnk
C:\ProgramData\~22863632r
C:\ProgramData\~22863632
C:\ProgramData\22863632
C:\Ad-Report-CLEAN[1].txt
C:\Program Files\Ad-Remover
C:\Users\Cip\RK_Quarantine
C:\ProgramData\AVAST Software
C:\Program Files\AVAST Software
ipconfig /flushdns /c

:Services
TrkWks
RpcSs
DcomLaunch
BITS

:OTL
FF - prefs.js..extensions.enabledItems: cacaoweb@cacaoweb.org:1.0.15
O33 - MountPoints2\{12b59109-6d09-11e0-ba83-001de05aaac1}\Shell\AutoRun\command - %µ£%µ£ = G:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe
O33 - MountPoints2\{12b59109-6d09-11e0-ba83-001de05aaac1}\Shell\open\command - %µ£%µ£ = G:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe
O33 - MountPoints2\{603ff796-3f62-11e0-a243-001fc6126abb}\Shell\AutoRun\command - %µ£%µ£ = G:\gasgasseve\\\turbojemasina.exe
O33 - MountPoints2\{603ff796-3f62-11e0-a243-001fc6126abb}\Shell\explore\command - %µ£%µ£ = G:\gasgasseve\\\turbojemasina.exe
O33 - MountPoints2\{603ff796-3f62-11e0-a243-001fc6126abb}\Shell\Install\command - %µ£%µ£ = G:\gasgasseve\\\turbojemasina.exe
O33 - MountPoints2\{603ff796-3f62-11e0-a243-001fc6126abb}\Shell\open\command - %µ£%µ£ = G:\gasgasseve\\\turbojemasina.exe
O33 - MountPoints2\{941fbdef-65a4-11e0-b5d1-001fc6126abb}\Shell\AutoRun\command - %µ£%µ£ = G:\x3xh.exe
O33 - MountPoints2\{941fbdef-65a4-11e0-b5d1-001fc6126abb}\Shell\open\Command - %µ£%µ£ = G:\x3xh.exe
O33 - MountPoints2\{c5e4d133-2bb6-11e0-a97d-001fc6126abb}\Shell - %µ£%µ£ = AutoRun
O33 - MountPoints2\{c5e4d133-2bb6-11e0-a97d-001fc6126abb}\Shell\AutoRun\command - %µ£%µ£ = F:\SETUP.EXE -- [1998/12/01 07:04:40 | 000,025,600 | R--- | M] ()
O33 - MountPoints2\{da33633b-39ec-11e0-b575-001fc6126abb}\Shell\AutoRun\command - %µ£%µ£ = G:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe
O33 - MountPoints2\{da33633b-39ec-11e0-b575-001fc6126abb}\Shell\open\command - %µ£%µ£ = G:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\winfixer.exe

:Commands
[emptytemp]
[start explorer]
[Reboot]

• Puis clique sur le bouton Correction en haut de la fenêtre.
• Laisse le programme travailler sans te servir du PC!!!!!
• Copie et colle le rapport dans ta réponse stp

Télécharge aswMBR.exe (511KB) sur ton Bureau.

Double clique sur aswMBR.exe pour l'exécuter
Double-clique sur aswMBR.exe présent sur ton bureau.(Clic droit -> "Exécuter en tant qu'administrateur" pour VISTA / SEVEN

Clique sur le bouton «Scan»





Clic sur save log ,Enregistre le rapport sur le bureau
Poste le rapport dans ta prochaine réponse

[CipeR]

Salut,

D'abord, merci pour votre aide et votre temps.
En fait, après avoir éteint mon PC cette nuit, je l'ai redémarré ce matin, et je n'ai plus accès a mon bureau, même en mode sans échec !
Quand je démarre il se passe :
Le petit son de démarrage,
Ensuite la logo Asus et Intel blanc qui s'affichent,
puis il m'emmène sur la page de récupération d'erreur windows, qui permet de démarrer en mode sans echec, ou en mode normal (parce que je ne peux plus l'éteindre normalement).

Puis quand je choisit démarrer normalement, il lance la page avec la barre de microsoft corporation qui progresse (en vert), et ensuite vient une page entièrement noire, avec juste ma souris blanche qui fonctionne, pas de windows, pas de Ctrl+alt+suppr possible, rien, a part un redémarrage forcé.

Quand je choisit le mode sans echec, il fait défiler des lignes de commandes commencant toutes par
\windows\system32\
Puis il s'arrête sur la ligne suivante :
\windows\system32\drivers\crcdisk.sys
et lance ensuite la même page qu'en mode normal, c'est à dire noire avec juste ma souris (un peu plus grosse, comme quand on démarre en mode sans echec et que la résolution a été changée...)

Voilà, je ne sais plus quoi faire, doit-je suivre les instruction données sur cette page ???
http://www.malekal.com/2011/04/20/ecran ... r-windows/

Merci encore,

Perceval.

[hackinginterdit]

Salut

Tu ne peux même pas faire une restauration système ?
Tu as le cd de vista ?

[CipeR]

Oui j'ai encore le CD de vista, mais j'aurais préféré ne pas avoir a faire ça ... je crois que je n'ai plus le choix maintenant...

Merci quand même...

[hackinginterdit]

Oups

Essaies une réparation de vista comme ceci:

http://www.vista-xp.fr/forum/topic39.html

[lucas]

Bonjour,

j'ai chopé le fameux virus gendarmerie qui voudrai que je règle 200 euros pour avoir mon ordi libéré...bref..

donc j'ai lu attentivement ce vous demandié de faire et j'ai un rapport de OTL pour voir si qq1 sait ce qu'il faut que je fasse à présent...voici le lien:

http://pjjoint.malekal.com/files.php?id ... x14s14b8n5


merci du coup de main...

[angelique]

lucas, créer ton propre sujet pour avoir une réponse.