Malekal's forum

[Sonic]

Bonsoir,

Mon Windows 7 viens d'être touché par le virus de la gendarmerie. Je peux relancer ma session en mode sans échec et avec prise de réseau! J'ai téléchargé Malwarebyte's Anti-Malware et après un scan, j'ai pu supprimer deux infections. J'ai également fait un scan de l'antivirus Microsoft security essentials (il n'a rien détecté) mais rien a faire, le virus bloque toujours Windows. J'ai pas procédé au changement de la clé SHELL comme indiqué dans les forums du fait que certaines personnes ont générées des bugs suite à cette action. Quelqu'un pourrai m'aider svp pour éliminer ce virus?

D'avance Merci.

[angelique]

en mode sans échec et avec prise de réseau

• Téléchargez OTL sur votre Bureau.
  
  ou:
  
  OTL com
  
  OTL scr
  
  
  ou:
  
  OTL com
  
  OTL scr
  
  
  
• Faites un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous vista|seven). Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
  
• Quand la fenêtre apparaît, sous Rapport en haut, cochez Rapport minimal, ainsi que all users
  
• Sous Registre: standard cochez Tous.
  
• Cochez les cases à coté de Recherche Lop et Recherche Purity.
  
  
• Copies et colles le contenue de cette citation dans la partie inférieure d'OTL sous "Personalisation":
  
  

  netsvcs
  msconfig
  safebootminimal
  safebootnetwork
  activex
  drivers32
  %SYSTEMDRIVE%\*.exe
  /md5start
  services.exe
  explorer.exe
  userinit.exe
  winlogon.exe
  wininit.exe
  afd.sys
  ipsec.sys
  netbt.sys
  tcpip.sys
  /md5stop
  %systemroot%\*. /mp /s
  %systemroot%\system32\*.dll /lockedfiles
  %systemroot%\Tasks\*.job /lockedfiles
  %systemroot%\system32\drivers\*.sys /lockedfiles
  %systemroot%\System32\config\*.sav
  CREATERESTOREPOINT
  

  
  
  
• Cliquez sur le bouton Analyse. Ne modifiez aucun paramètre sans qu'on vous ait dit de le faire. L'analyse ne va pas durer longtemps.
  
  
  
  • Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. OTL.Txt et Extras.Txt. Ces fichiers sont sauvegardés au même endroit que OTL.
    
  • Veuillez copier (Edition->Sélectionner tout, Edition->Copier) le contenu de ces fichiers, l'un après l'autre, et envoyez-les dans votre prochaine réponse.
    
  • Si ton rapport est trop long, utilise le site http://pjjoint.malekal.com/ ou http://www.ci-joint.fr pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse
    
    
    
    tuto : http://www.malekal.com/tutorial_OTL.php

[Sonic]

Merci Angélique pour ton message,

J'ai voulu tout d'abord procéder à un scan par Rogue Killer,
Voici le rapport :

RogueKiller V7.6.4 [17/07/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: Rayen [Droits d'admin]
Mode: Recherche -- Date: 22/07/2012 00:58:34

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 7 ¤¤¤
[SUSP PATH] HKCU\[...]\Run : qtsfbwvqerlkurq (C:\ProgramData\qtsfbwvq.exe) -> FOUND
[SUSP PATH] HKUS\S-1-5-21-3473963536-1766930053-3938318491-1000[...]\Run : qtsfbwvqerlkurq (C:\ProgramData\qtsfbwvq.exe) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
[HJ] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST95005620AS +++++
--- User ---
[MBR] 29e6224e8bc20c41fd024e939b01653a
[BSP] 32aef2bec4397baa842f00484b9a4649 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 237791 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 487817216 | Size: 238748 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

Il a détecté 7 anomalies.
Est ce que je peux les supprimer sans affecter au système?

Merci d'avance pour ta réponse.

[Sonic]

C'est bon avec Rogue Killer!

Il n'y a plus de blocage!

Merci Angélique et un grand merci à ce forum!

[angelique]

C'est bon avec Rogue Killer!

Il n'y a plus de blocage!

Merci Angélique et un grand merci à ce forum!

OK


Il faut lire ces instructions sinon ça reviendra !!!!


===> Prendre le temps de lire :: http://forum.malekal.com/les-exploits-s ... t3563.html


Lire sécuriser FireFox:: http://www.malekal.com/securiser_Firefox.php

Donc FireFox + Adblock + Noscript

• Firefox: http://www.mozilla.org/fr/firefox/new/

• Adblock: https://addons.mozilla.org/en-US/firefo ... lock-plus/

List FR + EasyList << à mettre à jour regulièrement

• Noscript: https://addons.mozilla.org/en-US/firefo ... /noscript/

Maitriser Noscript:





A LIRE

Un exploit sur site WEB permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash


Téléchargez TFC par OldTimer sur votre Bureau à utiliser régulierement :
http://oldtimer.geekstogo.com/TFC.exe

* Faites un double clic (clic droit executer en tant qu'administrateur avec vista\7) sur TFC.exe pour le lancer.
* L'outil va fermer tous les programmes lors de son exécution, donc vérifiez que vous avez sauvegardé tout votre travail en cours avant de commencer.
* Cliquez sur le bouton Start pour lancer le processus. Selon la fréquence à laquelle vous supprimez vos fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laissez le programme s'exécuter sans l'interrompre.
* Lorsqu'il a terminé, l'outil devrait faire redémarrer votre système; sinon redemarre manuellement