Malekal's forum

[Kori45]

Bonjour à tous,

Eh bien, comme beaucoup d'autres personnes il me semble :-( j'ai attrappé le trojan Sacem Police nationale.
Je suis sous Vista et il me bloque bien. Pas d'accès au boot menu, donc pas de démarrage en mode sans echec.
Après avoir parcouru plusieurs threads j'ai réussi à avancer un peu dans la procédure. J'ai créé un CD OTLPE et booté dessus.
Scan avec OTL et transfert du rapport sur un autre PC car je n'arrive pas à avoir de réseau wifi.
Dans un premier temps, 2 questions :
1/ lorsque je veux créer un réseau wifi et que je le nomme dlink j'ai un message "the network name SSID contains one or more characters that are not valid, please type a different network name". Après avoir cherché, j'ai trouvé que mon clavier était passé en QWERTY mais il me semble que "dlink" ne contient pas de caractères invalides quelque soit le clavier, non ?
Comment faire pour avoir le wifi sur mon portable ?
2/ Je vous poste le rapport OTL, pouvez-vous me donner la procédure à suivre au vu de ce rapport ?

Merci d'avance :-))

[Kori45]

Voici le scan : http://pjjoint.malekal.com/files.php?id ... 14d5k15u15

[angelique]

marche pas le wifi sous OTLPE , que le filaire.


Redemarre sur Reatogo , relançe OTLPE

o sous Custom Scan box copie_colle le contenu du cadre ci dessous

[en commençant bien à :OTL ,les: inclus devant OTL et cette fois ci clic RUNFIX]

:OTL
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found.
O2 - BHO: (Skype Plug-In) - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - File not found
O4 - HKLM..\Run: [eRecoveryService] File not found
O4 - HKLM..\Run: [frkUeoymDhvXXox] C:\Users\Nelly\AppData\Roaming\VboxServs.exe ()
O4 - HKU\Nelly_ON_C..\Run: [DriverMax] File not found
O4 - HKU\Nelly_ON_C..\Run: [DriverMax_RESTART] File not found
O4 - HKU\Nelly_ON_C..\Run: [frkUeoymDhvXXox] C:\Users\Nelly\AppData\Roaming\VboxServs.exe ()
O4 - Startup: C:\Users\Nelly\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Outil de détection de support Picture Motion Browser.lnk = File not found
O7 - HKU\Nelly_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktop = 1
O7 - HKU\Nelly_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableTaskMgr = 1
O7 - HKU\Nelly_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: DisableRegistryTools = 1
O20 - HKLM Winlogon: Shell - (C:\Users\Nelly\AppData\Roaming\VboxServs.exe) - C:\Users\Nelly\AppData\Roaming\VboxServs.exe ()
O20 - HKLM Winlogon: UserInit - (C:\Users\Nelly\AppData\Roaming\VboxServs.exe) - C:\Users\Nelly\AppData\Roaming\VboxServs.exe ()
O20 - HKU\Nelly_ON_C Winlogon: Shell - (C:\Users\Nelly\AppData\Roaming\VboxServs.exe) - C:\Users\Nelly\AppData\Roaming\VboxServs.exe ()
O20 - HKU\Nelly_ON_C Winlogon: UserInit - (C:\Users\Nelly\AppData\Roaming\VboxServs.exe) - C:\Users\Nelly\AppData\Roaming\VboxServs.exe ()
:reg
[HKLM\SOFTWARE_ON_C\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
"Shell"="explorer.exe"

Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.


===> redemarre windows, ça marche ??


===> si tes icones de Bureau ont disparus , clic droit sur le bureau \ réorganiser les icones par \ coche afficher les icones de bureau


si le clic droit est inoperant :


Télécharge RogueKiller http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe et renomme le dans la fenêtre de téléchargement par winlogon





» execute le option scan, puis suppression


NB: spybot et adaware ça sert à rien , tu devrais desinstaller

[Kori45]

Bonjour et merci Angélique :-))

J'ai fait le Run fix et redémarré Windows normalement... même pas perdu mes icônes de bureau
Seulement, obligée de remettre la pendule à l'heure !

Par contre, autre problème AntiVirGuard me détecte sans arrêt 2 trojans TR/Sirefef.AG35 dans C:\windows\installer\{3b4fffe6-ef2e-9f0b-dec2-223ba9fe3430}\U\80000000.@ et TR/ATRAPS.gen2 dans un autre fichier C:\windows\installer\{3b4fffe6-ef2e-9f0b-dec2-223ba9fe3430}\U\800000cb.@
Il propose par défaut de refuser l'accès. Je fais ok, mais l'alerte réapparait au bout de quelques mn.
Pas possible également de lancer la mise à jour d'Antivir (rien ne se passe qd je clique sur MAJ)

[angelique]

Antivir te propose pas de supprimer ou mettre en quarantaine ??

t'as essayer depuis le livecd de carrement supprimer : C:\windows\installer\{3b4fffe6-ef2e-9f0b-dec2-223ba9fe3430} ??? fait le !!



Passe un coup de TDSSKiller : http://forum.malekal.com/tdsskiller-kas ... 28637.html
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.

puis :

Passe un coup d'aswmbr : http://forum.malekal.com/aswmbr-fix-mbr-t31619.html
Télécharge le et mets le sur ton bureau.
Accepte l'installation des définitions virales d'Avast! et fais un scan.
Quand c'est terminé, fais save logs, ouvre le rapport et poste le ici.

[Kori45]

J'ai supprimé le dossier C:\windows\installer\{3b4fffe6-ef2e-9f0b-dec2-223ba9fe3430} après avoir booté sur le live CD.

J'ai passé TDSSKiller, il n'a rien trouvé (mais est-ce normal que je n'ai quand même pas de rapport sur C: dans ce cas ?)

Comme je ne peux pas maj les définitions virales d'AVAST sous le live CD (pas de réseau), je suis repassée sous Vista.
Là, réapparition des alertes AVG avec les 2 mêmes trojans mais sous C:Users\Nelly\appData\local\{3b4fffe6-ef2e-9f0b-dec2-223ba9fe3430} cette fois :-( J'ai beau essayer la suppression ou la mise en quarantaine, rien n' y fait.
Avant de supprimer ce dossier (si tu me dis que c'est possible... je sais pas trop où je mets les pieds alors je préfère avoir ton avis, !) comme je suis donc sous Vista, j'ai lancé un scan ASWMBR après maj d'AVAST.
Je te mets le rapport ci-après

[Kori45]

http://pjjoint.malekal.com/files.php?id ... 0j9d15r9t6

[angelique]

Tdsskiller ç'est sous windows qu'il faut le passer et poste le rapport

et passe un coup de :

Téléchargez TFC par OldTimer sur votre Bureau à utiliser régulierement :
http://oldtimer.geekstogo.com/TFC.exe

* Faites un double clic (clic droit executer en tant qu'administrateur avec vista\7) sur TFC.exe pour le lancer.
* L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours avant de commencer.
* Cliquez sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laissez le programme s'exécuter sans l'interrompre.
* Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système; sinon redemarre manuellement

[Kori45]

et à propos de mon scan aswMBR où il a repéré le trojan win32:Karagany-HD, qu'est-ce que je fais ?
Je peux fermer aswMBR pour lancer TFC ? et y revenir ensuite pour fixer le pb ?

[Kori45]

J'ai passé TDSSKiller en étant sous Windows, il n'a rien trouvé apparemment
Voici le rapport : http://pjjoint.malekal.com/files.php?id ... q5t14z15g5

[KYO69]

Salut Kori45,

fait un nouveau scan de OTL et poste le rapport

[Kori45]

Je boot sur le CD live ou bien je lance OTL (du CD) depuis Windows ?

[KYO69]

boot sur le cd live

[hackinginterdit]

Bonjour

@ KYO69
Tu devrais prendre connaissance de ceci:
virus-please-wait-t38206.html#p297374

[Kori45]

OK, touché à rien depuis 16h17
Suis restée sur mes interrogations... :
"à propos de mon scan aswMBR où il a repéré le trojan win32:Karagany-HD, qu'est-ce que je fais ?
Je peux fermer aswMBR pour lancer TFC ? et y revenir ensuite pour fixer le pb ?"

J'attends les instructions d'Angélique ou d'un autre helper confirmé
Merci qd même à Kyo69