Malekal's forum

[bruchazou]

Bonjour,
je viens de suivre le tuto pour me débarrasser de ce virus
voici le lien olt
http://pjjoint.malekal.com/files.php?id ... 3e13o13e13
et extra
http://pjjoint.malekal.com/files.php?id ... 0p14f5i6d9

en vous remerciant de toute l'aide que vous pourrez m'apporter afin de me debarrasser de ce virus
cdlt

[angelique]

relançe OTL , Copies et colles le contenue de cette citation ci dessous (en commençant bien à :OTL , les : inclus devant OTL jusqu'à [emptytemp] inclus) dans la partie inférieure d'OTL sous "Personalisation"
et cette fois ci clic CORRECTION

:OTL
DRV - File not found [Kernel | Boot | Stopped] -- System32\drivers\eiyp.sys -- (mpyvy)
[2012/01/13 17:48:51 | 000,002,519 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\Search_Results.xml
MsConfig - StartUpReg: ApnUpdater - hkey= - key= - C:\Program Files\Ask.com\Updater\Updater.exe ({StringFileInfo_CompanyName})
MsConfig - StartUpReg: DriverScanner - hkey= - key= - File not found
[2012/06/14 20:12:10 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\tivacrzllcmeqmc
[2012/06/25 14:22:30 | 004,503,728 | ---- | M] () -- C:\Documents and Settings\All Users\Application Data\kcap_0paos.pad
[2012/06/25 14:01:00 | 000,000,232 | ---- | M] () -- C:\WINDOWS\tasks\Scheduled Update for Ask Toolbar.job
[2012/06/25 14:18:29 | 004,503,728 | ---- | C] () -- C:\Documents and Settings\All Users\Application Data\kcap_0paos.pad
[2011/11/22 21:22:56 | 000,000,320 | -H-- | C] () -- C:\Documents and Settings\All Users\Application Data\~xBZhWAcvxMmjcX
[2011/11/22 21:22:56 | 000,000,240 | -H-- | C] () -- C:\Documents and Settings\All Users\Application Data\~xBZhWAcvxMmjcXr
[2011/11/22 21:22:50 | 000,000,336 | -H-- | C] () -- C:\Documents and Settings\All Users\Application Data\xBZhWAcvxMmjcX
:files
@Alternate Data Stream - 112 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:D1B5B4F1
fsutil reparsepoint delete C:\WINDOWS\$NtUninstallKB39548$ /c
C:\WINDOWS\$NtUninstallKB39548$ /D
:reg
[HKEY_CURRENT_USER\Control Panel\Desktop]
"MenuShowDelay"="100"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer]
"AlwaysUnloadDll"=dword:00000001
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer]
"link"=hex:00,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced]
"EnableBalloonTips"=dword:00000000
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\TrayNotify]
"IconStreams"=-
"PastIconsStream"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Setup\RecoveryConsole]
"SetCommand"=dword:00000001
"SecurityLevel"=dword:00000001
:commands
[emptytemp]

» Un rapport texte apparrait au redemarrage du pc .

===> Passe un coup de TDSSKiller : http://forum.malekal.com/tdsskiller-kas ... 28637.html
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.


===> desinstalle:

Ask Toolbar


==> Téléchargez AdwCleaner ( d'Xplode ) sur votre bureau:
http://general-changelog-team.fr/telech ... adwcleaner

=> Lancez le, cliquez sur [Suppression] puis patientez le temps du scan.

=> Une fois le scan fini, un rapport s'ouvrira.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

[bruchazou]

Merci,
voici le rapport tdsskiller
http://pjjoint.malekal.com/files.php?id ... 3b13b11h14
je lance adwcleaner

[angelique]

OK

15:50:48.0156 1024 \Device\Harddisk0\DR0 ( Rootkit.Boot.SST.a ) - User select action: Cure Restore


==> supp Tdsskiller et son rapport

==> met quand meme le rapport de suppression d'OTL

[bruchazou]

je trouve pas le rapport de suppression sous c: a t il pu etre effacé avec la suppression de otl ?

[angelique]

je trouve pas le rapport de suppression sous c: a t il pu etre effacé avec la suppression de otl ?

bah oui apres purge outils ;) sinon C:\_OTL\ sous la forme date_heure.txt.

sinon ça roule ?

[bruchazou]

ça marche très bien.
Merci beaucoup pour pour ton aide rapide et efficace

Bonne soirée

[angelique]

Il faut lire ces instructions sinon ça reviendra !!!!


===> Prendre le temps de lire :: http://forum.malekal.com/les-exploits-s ... t3563.html


Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php

Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

List FR + EasyList << à mettre à jour regulièrement

• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/

Maitriser Noscript:





A LIRE

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash


Téléchargez TFC par OldTimer sur votre Bureau à utiliser régulierement :
http://oldtimer.geekstogo.com/TFC.exe

* Faites un double clic (clic droit executer en tant qu'administrateur avec vista\7) sur TFC.exe pour le lancer.
* L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours avant de commencer.
* Cliquez sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laissez le programme s'exécuter sans l'interrompre.
* Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système; sinon redemarre manuellement