Virus Office centrale de la lutte contre...

[fdescoux]

Bonjour à tous,
Merci tout d'abord pour votre future aide concernant le dépannage du pc de ma petite soeurette qui n'avait sans doute pas mis à jour ses protections depuis un moment.
J'ai essayé de faire un scan puis suppression avec Rogue Killer puis un redémarrage mais çà revient toujours sur l'ecran "Office central ....".
Je n'arrive pas a créer de connexion internet sur le pc infecté et quand je copie/colle sur une clé usb le rapport, le fichier plat semble vide (j'ai beau essayé de le mettre dans tous les formats ANSI, UTF, Unicode etc.).
Les fichiers sont en PJ
Merci d'avance pour votre aide.

[Malekal_morte]

Salut,

Quelle version de Windows est le PC infecté?
Comment tu as fait pour faire un scan RogueKiller ?

[fdescoux]

Bonjour,
C'est sur windows 7.
J'ai booté sur le live cd, j'ai ensuite lancé RK qui était sur le bureau puis bouton scan et enfin suppression.
Vous avez pu accéder aux fichiers ?

[Malekal_morte]

Essaye de lancer une restauration au démarrage.

Lance une restauration du système à partir du menu "réparer mon ordinateur".

Pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, <gras>Réparer mon ordinateur</gras> et appuye sur la touche entrée du clavier.
Laisse toi guider.
Aide - voir paragraphe Restauration du système en ligne de commandes mode sans échec: http://forum.malekal.com/windows-recupe ... ml#p166263

** PRENDRE SON TEMPS ET BIEN LIRE LES INSTRUCTIONS QUI SONT SUR LA PAGE - NE PAS FAIRE UNE RESTAURATION D'USINE **

NB: La restauration du système ne provoque pas de perte de données, il recharge une "image" de Windows précédente.


~~

Sinon sur le CD Live :

- Lance OTLPE
- Indique le dossier Windows et indique la session infectée
- Lance le scan (bouton scan)
- Un rapport devrait s'ouvrir, s'il est vide, regarde dans C:\OTLPE.txt
- Vas sur pjjoint.malekal.com - envoie le rapport et donne le lien du rapport ici (si y a pas internet, vois pour transférer le rapport par clef USB).

[fdescoux]

Pas de point de restauration.
A quel niveau (dossier) faut il que j'aille pour le scan OTLPE?

[angelique]

* Double-click sur l'icone OTLPE

» à ceci valider par ok:


http://imagesup.org/images6/1274092569-loqd1.jpg

» à ceci selectionner sa session:


http://imagesup.org/images6/1274092650-loqd2.jpg


** si le systeme d'exploitation est Vista\seven tu peux avoir ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner via ᐅ << (clic dessus) Local Disk (c:) ou D: ou E: jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)


http://imagesup.org/images8/1287928545-otlpe05.gif



* verifier que "Automatically Load All Remaining Users" est sélectionné et press OK

» OTLPE se lançe alors

* clic Run Scan pour demarrer le scan.
* une fois terminé , le fichier se trouve là C:\OTL.txt
* copie_colle le contenu dans ta prochaine reponse

Si ton rapport est trop long, utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse.

[fdescoux]

ci dessous le lien.
je ne sais pas si vous pouvez accéder au fichier. J'ai semble t il des gros problèmes de format.

http://pjjoint.malekal.com/files.php?id ... 15j11z6t15

[angelique]

t'as verifié ce que tu as hébergé ?? ����������������������������������������������������������������

[fdescoux]

Oui c'est pour çà que j'ai précisé que j'avais des problemes de format.
Voila le copier/coller du fichier en PJ :(

[fdescoux]

C'était semble t il un probleme de clé USB.

Voila la bonne log:
http://pjjoint.malekal.com/files.php?id ... 0l10k11d11

[angelique]

Y'a pleins de toolbars à la cons aussi et de logiciels potentiellement indésirables.

on essaie déja de virer le ransomware :


Relançe OTLPE

o sous Custom Scan box copie_colle le contenu du cadre ci dessous

[en commençant bien à :OTL ,les: inclus devant OTL et cette fois ci clic RUNFIX]

:OTL
O20 - HKU\$_FlOcKy_313_$_ON_C Winlogon: Shell - (cmd.exe) - cmd.exe (Microsoft Corporation)
[2013-08-11 14:52:28 | 001,054,388 | ---- | M] () -- C:\Users\$ FlOcKy 313 $\AppData\Local\2433f433
[2013-08-11 14:52:28 | 001,054,363 | ---- | M] () -- C:\Users\$ FlOcKy 313 $\AppData\Roaming\2433f433

Une fois terminé, le rapport de suppression est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.


===> redemarre windows, ça marche ??



si ça marche pas , depuis le livecd toujours :

1. Télécharge sur ton Bureau pas ailleurs FRST.EXE:
   
   La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
   Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
   (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).
   
   !! Placez le programme sur le bureau et pas ailleurs!!
2. Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
   Le scan se lance, les éléments scannés apparaissent en haut.
3. Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )
   
   
   Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.
   
   

[fdescoux]

OK je fais çà tout de suite.
Si besoin la log RK en PJ

[fdescoux]

Voila deja le fichier FRST:
http://pjjoint.malekal.com/files.php?id ... 2n13i12q11

Pas de trace du fichier additionnal bien que coché avant le scan

[angelique]

1. Ouvre le bloc-notes : Menu Démarrer / Tous les programmes / Accessoires et Bloc-Notes. (ou executer---> notepad)
   Copie/colle dedans ce qui suit :
   
   

   HKU\$ FlOcKy 313 $\...\Winlogon: [Shell] cmd.exe [ 2010-11-20] (Microsoft Corporation) <==== ATTENTION
   HKU\$ FlOcKy 313 $\...\Command Processor: "C:\Users\$FLOCK~1\AppData\Local\Temp\xbnfpwfmqxoshunxa.exe" <===== ATTENTION!
   C:\ProgramData\2433f433
   C:\Users\$FLOCK~1\AppData\Local\Temp\xbnfpwfmqxoshunxa.exe

2. Menu Fichier / Enregistrer-sous
   Place toi sur le bureau.
   Dans le champs en bas, nom du fichier mets : fixlist.txt
   Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
   
   Relance FRST et clic sur le bouton fix
   Un redémarrage peut être nécessaire (pas obligatoire).
   Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

redemarre sur windows, ça devrait fonctionner , si le teatimer de spybot emet une alerte , accepte la modification.


===> désactiver TeaTimer de spybot::

Pour désactiver TeaTimer :

Afficher d'abord le Mode Avancé dans SpyBot

Options Avancées :
- menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- cliquer sur Outils,
- cliquer sur Résident,
Dans Résident :
- décocher Résident "TeaTimer" pour le désactiver, et désinstalle spybot ça sert à rien !

• Sur cette page AdwCleanerV2 de Xplode , clique sur Télécharger et enregistre le fichier sur ton Bureau
• Ferme toutes les applications, y compris ton navigateur
• Relance AdwCleaner par un double-clique sur l'icône AdwCleaner.exe pour lancer l'installation
  /!\ Sous Vista et Windows 7, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
• Sur le menu principal, clique sur Suppression et patiente le temps de la suppression, un redémarrage peut être demandé.
• A la fin du scan, un rapport AdwCleaner.txt s'ouvre. Poste le contenu de ce rapport dans ta prochaine réponse
  Le rapport se trouve sous C:\AdwCleaner.txt

[fdescoux]

Voila le fixlog:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 13-08-2013
Ran by Système at 2013-08-13 12:35:14 Run:1
Running from X:\Users\Default\Desktop
Boot Mode: Recovery

==============================================

HKU\$ FlOcKy 313 $\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
HKU\$ FlOcKy 313 $\Software\Microsoft\Command Processor\\AutoRun => Value deleted successfully.
C:\ProgramData\2433f433 => Moved successfully.
C:\Users\$FLOCK~1\AppData\Local\Temp\xbnfpwfmqxoshunxa.exe => Moved successfully.

==== End of Fixlog ====


J'edite pour ajouter les autres éléments.