[résolu] 81u3f4nt45y - Surabaya - Brontok - Safeboot

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

p_tony

[résolu] 81u3f4nt45y - Surabaya - Brontok - Safeboot

par p_tony »

Bonjour,

Je viens demander de l'aide pour essayer de remettre le pc de ma soeur dans un état fonctionnel correct.

Il s'agit d'une machine un peu limitée (Pentium 4 2.9Ghz, Ram: 768Mo) sous XP SP3.
Il y'a 3 utilisateurs (Mère, Père, Fils) et chacun est administrateur.
Je sais qu' XP n'est plus supporté. Mais bon, en attendant mieux, ils doivent continuer avec ça.
Bref...

La machine souffre de plusieurs problèmes, depuis déjà quelques temps et j'avais déjà passé un coup de MBAM en début d'année et désinstallé iwebar, sense, shoper-pro, sysplayer. Certains problèmes (nombreux fichiers cachées, options des dossiers non prises en comptes, fenêtres d'erreur Rundll au chargement de la session) restés présents.

Depuis la machine a était ré-infecté et c'est même pire car maintenant le pare-feu est désactivé, et je n'arrive pas à le réactiver et j'ai aussi un message popup (genre les messages via netsend) qui apparait avant même de choisir l'utilisateur.

Du coup, j'ai passer un coup de d'adwclearner hier soir et Mbam ce matin. voilà le log mbam:

Code : Tout sélectionner

Malwarebytes Anti-Malware
www.malwarebytes.org

Date de l'examen: 19/08/2014
Heure de l'examen: 12:16:54
Fichier journal: log_infection_mbam_20140819-1355.txt
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.08.19.04
Base de données Rootkits: v2014.08.16.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows XP Service Pack 3
Processeur: x86
Système de fichiers: NTFS
Utilisateur: Cynthia

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 349018
Temps écoulé: 1 h, 29 min, 36 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Activé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 9
PUP.Optional.Linkey.A, HKU\S-1-5-21-823518204-839522115-1417001333-1007-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\SETTINGS\{4D9101D6-5BA0-4048-BDDE-7E2DF54C8C47}, , [a5a290372655c175401b5c14c63c0000], 
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\msconfig.exe, , [dc6b497e1269b383cb0fabe5be4552ae], 
Security.Hijack, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\IMAGE FILE EXECUTION OPTIONS\regedit.exe, , [f255487fc3b851e5f951d4becd363dc3], 
PUP.Optional.iWebar.A, HKU\S-1-5-18-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\iWebar, , [27209730c2b9a690c033121bf410f808], 
PUP.Optional.iWebar.A, HKU\S-1-5-21-823518204-839522115-1417001333-1007-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\iWebar, , [3c0bf2d562195adc7a79e34a996bc739], 
PUP.Optional.MySearchDial.A, HKU\S-1-5-21-823518204-839522115-1417001333-1007-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\mysearchdial.com, , [ff484384b4c71125af7c55d2976d42be], 
PUP.Optional.CrossRider.A, HKU\S-1-5-21-823518204-839522115-1417001333-1007-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\CROSSRIDER, , [a3a4bc0bf982c76ff122bf68d034c43c], 
PUP.Optional.CrossRider.A, HKU\S-1-5-21-823518204-839522115-1417001333-1007-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\SENSE, , [7fc824a32c4fc175a50270894ab8ef11], 
PUP.Optional.Softonic.A, HKU\S-1-5-21-823518204-839522115-1417001333-1007-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\SOFTONIC\Universal Downloader, , [69dead1a423990a6dd3d738c5ca64eb2], 

Valeurs du Registre: 6
Worm.Brontok.Gen, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|T25Z162, C:\WINDOWS\sa-644166.exe, , [8abdd5f28eedd66005f25b40e41fd729]
Worm.Brontok.Gen, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|T25Z627, C:\WINDOWS\sa-644166.exe, , [3413b90e8dee38fe35c23c5fb84bcc34]
Worm.Brontok.Gen, HKU\S-1-5-21-823518204-839522115-1417001333-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|T1257166TT4, C:\WINDOWS\system32\16276534852l.exe, , [ce797b4c017a171f0e885a2c946f718f]
Trojan.Agent, HKU\S-1-5-21-823518204-839522115-1417001333-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\RUN|Tok-Cirrhatus, "C:\Documents and Settings\Cynthia\Local Settings\Application Data\smss.exe", , [ff4863645c1fe84ed5fb68bd44bf38c8]
PUP.Optional.CrossRider.A, HKU\S-1-5-21-823518204-839522115-1417001333-1007-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\CROSSRIDER|Verifier, 9101a43d69b34d34c2bb5746808a1322, , [a3a4bc0bf982c76ff122bf68d034c43c]
PUP.Optional.CrossRider.A, HKU\S-1-5-21-823518204-839522115-1417001333-1007-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\SENSE|ActiveAppId, 48292, , [7fc824a32c4fc175a50270894ab8ef11]

Données du Registre: 10
Hijacked.Shell, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|Shell, explorer.exe, "C:\Documents and Settings\Cynthia\ModÚles\O52525Z\TuxO52525Z.exe", Bon: (explorer.exe), Mauvais: (explorer.exe, "C:\Documents and Settings\Cynthia\ModÚles\O52525Z\TuxO52525Z.exe"),,[8dba11b67dfe70c69969ac22b84c52ae]
Worm.Brontok.Gen, HKLM\SOFTWARE\MICROSOFT\WINDOWS NT\CURRENTVERSION\WINLOGON|Userinit, C:\WINDOWS\system32\userinit.exe , "C:\WINDOWS\M25727\Ja745710bLay.com", Bon: (userinit.exe), Mauvais: (C:\WINDOWS\system32\userinit.exe , "C:\WINDOWS\M25727\Ja745710bLay.com"),,[81c618af314ac47237b9c80baa5a649c]
PUM.Hijack.System.Hidden, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED\FOLDER\HIDDEN\SHOWALL|CheckedValue, 0, Bon: (1), Mauvais: (0),,[b59272559eddf73f25f2458e857f3cc4]
Hijack.Commonstart, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS|Common Startup, C:\WINDOWS\system32\X40223go, Bon: (%ALLUSERSPROFILE%\Start Menu\Programs\Startup), Mauvais: (C:\WINDOWS\system32\X40223go),,[ba8dfacdeb9062d4e09b78574eb63cc4]
Hijack.Commonstart, HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\USER SHELL FOLDERS|Common Startup, C:\WINDOWS\system32\X40223go, Bon: (%ALLUSERSPROFILE%\Start Menu\Programs\Startup), Mauvais: (C:\WINDOWS\system32\X40223go),,[b69133940873de586517804fad572ad6]
PUM.Hijack.StartMenu, HKU\S-1-5-21-823518204-839522115-1417001333-1005-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED|Start_ShowHelp, 0, Bon: (1), Mauvais: (0),,[4ff8a027c2b9280e594e6f638f754fb1]
PUM.Hijack.StartMenu, HKU\S-1-5-21-823518204-839522115-1417001333-1006-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED|Start_ShowHelp, 0, Bon: (1), Mauvais: (0),,[b0977b4c6e0dda5cdacda52dfa0a9c64]
PUP.Optional.DefaultSearch.A, HKU\S-1-5-21-823518204-839522115-1417001333-1007-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\INTERNET EXPLORER\MAIN|Start Page, http://www.default-search.net?sid=476&aid=163&itype=n&ver=13531&tm=436&src=hmp, Bon: (www.google.com), Mauvais: (http://www.default-search.net?sid=476&aid=163&itype=n&ver=13531&tm=436&src=hmp),,[2d1a45825c1fcb6b19bb844739cba060]
PUM.Hijack.StartMenu, HKU\S-1-5-21-823518204-839522115-1417001333-1007-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\ADVANCED|Start_ShowHelp, 0, Bon: (1), Mauvais: (0),,[f1562b9c5d1e22143374557d9a6a39c7]
Broken.OpenCommand, HKCR\scrfile\shell\open\command, Bon: ("Mauvais: (%1),,[ffffffffffffffffffffffffffffffff]" /S), %4, %5

Dossiers: 4
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\databases\chrome-extension_dfohdbmjdkfijghgklbickfnaepghgba_0, , [85c21fa81f5ca88e4445fdc4936fc040], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\dfohdbmjdkfijghgklbickfnaepghgba, , [113618afa8d34de9eaa9576a42c0be42], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\databases\chrome-extension_cigiagpbkapepgklncnajbakkpkopmam_0, , [70d725a29be0cb6b60360cb6b94903fd], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\cigiagpbkapepgklncnajbakkpkopmam, , [4205893ea3d81a1cc7d3e2e0dd259f61], 

Fichiers: 28
PUP.Optional.InstallCore, C:\Documents and Settings\Tidhiane\Local Settings\Temp\ICReinstall_PdfReaderSetup.exe, , [a99e3b8cf18a84b22668facf739124dc], 
PUP.Optional.Linkey.A, C:\Documents and Settings\Tidhiane\Local Settings\Temp\SettingsManagerSetup.exe, , [7bcc893e245739fdf84b4f432cd525db], 
PUP.Optional.Linkey.A, C:\Documents and Settings\Tidhiane\Local Settings\Temp\nsuD2\Uninstall.exe, , [4ff8685fe49785b12b985e184ab7a759], 
PUP.Optional.Linkey.A, C:\Documents and Settings\Tidhiane\Local Settings\Temp\nsyA5\tbicon.exe, , [212672554b303501c87ac4ce51b0bf41], 
PUP.Optional.SettingsManager.A, C:\Documents and Settings\Tidhiane\Local Settings\Temp\nsyA5\nsmA9.tmp\ffExtension.exe, , [ab9c05c2bac1e254e3ac564b17ea728e], 
PUP.Optional.Linkey.A, C:\Documents and Settings\Tidhiane\Local Settings\Temp\nsyA5\nsmA9.tmp\mediabar.exe, , [6ed9f2d58fecde5817ac700647babe42], 
PUP.Optional.SettingsManager.A, C:\Documents and Settings\Tidhiane\Local Settings\Temp\nsyA5\nsmA9.tmp\pack.exe, , [e76070575c1f3ff7f6998f1227dabd43], 
PUP.Optional.Linkey.A, C:\Documents and Settings\Tidhiane\Local Settings\Temp\nsyA5\nsmA9.tmp\SettingsManagerMediaBar.exe, , [91b64a7dcbb0f343eed5b1c5d42db64a], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Cynthia\Local Settings\Application Data\Installer\Install_19315\sysplayer_bu20_setup.exe, , [0b3c666194e7d462300db9923ac65da3], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cigiagpbkapepgklncnajbakkpkopmam_0.localstorage, , [7bcca720ea91cf673582f906748ee31d], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cigiagpbkapepgklncnajbakkpkopmam_0.localstorage-journal, , [f057b116d9a2d85ec4f3a55af70b1ce4], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_dfohdbmjdkfijghgklbickfnaepghgba_0.localstorage, , [e661fccb81fae353258acc3563a07888], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Storage\chrome-extension_dfohdbmjdkfijghgklbickfnaepghgba_0.localstorage-journal, , [3d0aac1b2259e155238c6998a3607a86], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\dfohdbmjdkfijghgklbickfnaepghgba\000005.ldb, , [113618afa8d34de9eaa9576a42c0be42], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\dfohdbmjdkfijghgklbickfnaepghgba\000008.ldb, , [113618afa8d34de9eaa9576a42c0be42], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\dfohdbmjdkfijghgklbickfnaepghgba\000009.log, , [113618afa8d34de9eaa9576a42c0be42], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\dfohdbmjdkfijghgklbickfnaepghgba\CURRENT, , [113618afa8d34de9eaa9576a42c0be42], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\dfohdbmjdkfijghgklbickfnaepghgba\LOCK, , [113618afa8d34de9eaa9576a42c0be42], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\dfohdbmjdkfijghgklbickfnaepghgba\LOG, , [113618afa8d34de9eaa9576a42c0be42], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\dfohdbmjdkfijghgklbickfnaepghgba\LOG.old, , [113618afa8d34de9eaa9576a42c0be42], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\dfohdbmjdkfijghgklbickfnaepghgba\MANIFEST-000007, , [113618afa8d34de9eaa9576a42c0be42], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\cigiagpbkapepgklncnajbakkpkopmam\000005.ldb, , [4205893ea3d81a1cc7d3e2e0dd259f61], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\cigiagpbkapepgklncnajbakkpkopmam\000006.log, , [4205893ea3d81a1cc7d3e2e0dd259f61], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\cigiagpbkapepgklncnajbakkpkopmam\CURRENT, , [4205893ea3d81a1cc7d3e2e0dd259f61], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\cigiagpbkapepgklncnajbakkpkopmam\LOCK, , [4205893ea3d81a1cc7d3e2e0dd259f61], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\cigiagpbkapepgklncnajbakkpkopmam\LOG, , [4205893ea3d81a1cc7d3e2e0dd259f61], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\cigiagpbkapepgklncnajbakkpkopmam\LOG.old, , [4205893ea3d81a1cc7d3e2e0dd259f61], 
PUP.Optional.CrossRider.A, C:\Documents and Settings\Tidhiane\Local Settings\Application Data\Google\Chrome\User Data\Default\Local Extension Settings\cigiagpbkapepgklncnajbakkpkopmam\MANIFEST-000004, , [4205893ea3d81a1cc7d3e2e0dd259f61], 

Secteurs physiques: 0
(No malicious items detected)


(end)
Donc voilà, si quelqu'un peut m'aider, j'me sens un peu dépassé là :)
Dernière modification par p_tony le 22 août 2014 18:43, modifié 1 fois.
Avatar de l’utilisateur
angelique
Messages : 31349
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: XP, fichiers cachés, parefeu inactivable, parasites mult

par angelique »

y'a du Brontok ..c'est vieux , tu as tout bien supprimé avec MBAM ?

--------------------------
  • Faire Adwcleaner , onglet scan puis ensuite suppression ... un redémarrage peut être demandé. , voir > , et poste le rapport.
  • Télécharge sur ton Bureau pas ailleurs FRST.EXE:

    Image

    La page de téléchargement : http://www.bleepingcomputer.com/downloa ... scan-tool/
    Le téléchargement se fait à partir des boutons bleus Download – choisissez la version 32 ou 64 bits selon l’architecture de votre système.
    (Au pire si vous êtes en 64 bits et que vous prenez la version 32 bits, vous aurez un message disant que cette version ne peux fonctionner – cela n’endommage pas le système).

    !! Placez le programme sur le bureau et pas ailleurs!!
  • Execute FRST.EXE, accepte le disclaimer , Cochez tous les options et cliquez sur le bouton Scan.
    Le scan se lance, les éléments scannés apparaissent en haut.
  • Une fois le scan terminé, une popup vous le signale et deux rapports sont générés : FRST.txt et Addition.txt ( Ces deux rapports se trouvent sur le bureau avec le programme FRST. )


    Utilise le site http://pjjoint.malekal.com/ pour envoyer ton rapport, et poste le lien dans ta prochaine réponse pour analyse.



    Image
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
p_tony

Re: XP, fichiers cachés, parefeu inactivable, parasites mult

par p_tony »

Bonjour,

Oui, j'ai tout coché pour la suppression dans mbam.

Sinon voici le log adwcleaner que tu me demandes ( http://pjjoint.malekal.com/files.php?id ... 2s12w9h5b8 ) .

Mais j'ai aussi celui d'hier ( http://pjjoint.malekal.com/files.php?id ... l11i139k12 )
et du début d'année ( http://pjjoint.malekal.com/files.php?id ... 13o8w5p9k5 ) si ça peut aider.


Pour FRST:

- FRST.txt : http://pjjoint.malekal.com/files.php?id ... 4v13s9y9p9
- Addition.txt : http://pjjoint.malekal.com/files.php?id ... 12e14t13m6
- Shortcut.txt : http://pjjoint.malekal.com/files.php?id ... o7t9x12v14

Voilà pour l'instant :)
Avatar de l’utilisateur
angelique
Messages : 31349
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: XP, fichiers cachés, parefeu inactivable, parasites mult

par angelique »

  • Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

    Relance FRST et clic sur le bouton fix
    Un redémarrage peut être nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
  • Télécharge sur ton bureau et execute > http://download.bleepingcomputer.com/sU ... Repair.exe
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
p_tony

Re: XP, fichiers cachés, parefeu inactivable, parasites mult

par p_tony »

ok,
voici le Fixlog.txt (http://pjjoint.malekal.com/files.php?id ... _t8c5g5z75)

et le fichier SAFEBOOT_REPAIR.TXT (http://pjjoint.malekal.com/files.php?id ... f12d6s11x8) au cas où. :)

J'ai redémarré, la machine me semble un petit peu plus réactive :)

La popup avant le choix d'un utilisateur apparaît toujours. Je met la capture en piece jointe
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avatar de l’utilisateur
angelique
Messages : 31349
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: XP, fichiers cachés, parefeu inactivable, parasites mult

par angelique »

Dure journée de Taf, désolée de ne pas avoir pu te répondre plus tôt ! ça doit être à cause de ça :

==================== Registry (Whitelisted) ==================
AlternateShell: 16276534852l.exe

essaie:
  • Télécharge à coté de FRST.EXE , PAS AILLEURS !!!!! le fichier fixlist.txt en pièce jointe en bas du message.

    Relance FRST et clic sur le bouton fix
    Un redémarrage peut être nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Vous ne pouvez pas consulter les pièces jointes insérées à ce message.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
p_tony

Re: XP, fichiers cachés, parefeu inactivable, parasites mult

par p_tony »

Salut,

Pas de soucis, ne t'inquiète pas pour le délai, j'ai déjà fait attendre bien plus. ;)

voilà le log :
http://pjjoint.malekal.com/files.php?id ... 5y6l11h145

Sinon pour faire le bilan coté problèmes
La popup avant session est toujours là,
Le pare-feu reste in-activable,
Les extensions de fichiers restent masquées,
un certains nombre de fichiers et dossiers restent masqués,
En revanche, les 3 popups d'erreurs RunDll ont disparues lors d'un précédent redémarrage.

Voilà, voilà :)
Avatar de l’utilisateur
angelique
Messages : 31349
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: XP, fichiers cachés, parefeu inactivable, parasites mult

par angelique »

tu vas passer un coup de mbar , supprimer ce qu'il trouve et poster le rapport > http://downloads.malwarebytes.org/file/mbar/
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
p_tony

Re: XP, fichiers cachés, parefeu inactivable, parasites mult

par p_tony »

salut,

hier j'ai visiter la page Remettre/Rétablir les services Windows et du coup j'ai passé un coup de windows repair

Bon, alors j'ai lu sur le site de windows repair qu'il fallait d'abord désinfecté son pc avant de le réparer, sinon on risquait d'agraver les choses.
Comme j'ai pensé qu'il était déjà en grande partie désinfecté, j'ai aussi pensé pouvoir prendre le risque.

Donc à priori maintenant ça va mieux, le pare-feu est réactiver (faudrait sûrement que je teste les ports pour vérifier son bon fonctionnement),
les fichiers et dossiers qui était cachés sont à nouveau visibles,
mais, les extensions de fichiers restent in-activable et la popup avant session est toujours là,

Du coup aussi je vais créer un compte admin et passer tout les autres en utilisateurs restreints.

Je fais ton scan mbar de suite.
Avatar de l’utilisateur
angelique
Messages : 31349
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: XP, fichiers cachés, parefeu inactivable, parasites mult

par angelique »

oui fait MBAR , car le popup avant session ça doit etre du rootkit MBR.

si MBAR trouve rien , tu pourras aussi passer un coup de TDSSKiller: http://forum.malekal.com/tdsskiller-kas ... 28637.html
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
p_tony

Re: XP, fichiers cachés, parefeu inactivable, parasites mult

par p_tony »

mbar n'a rien trouvé

voilà le log: http://pjjoint.malekal.com/files.php?id ... p9y9z14q13

je passe TDSSKiller
p_tony

Re: XP, fichiers cachés, parefeu inactivable, parasites mult

par p_tony »

voilà pour TDSSkiller qui n'a rien trouvé non-plus: http://pjjoint.malekal.com/files.php?id ... 5l611z11h8

Sinon, je viens de remarquer aussi que l'option "masquer les fichiers protégés du système d'exploitation" n'est pas désactivable non-plus. dès fois que les symptômes puissent aider :)
Avatar de l’utilisateur
angelique
Messages : 31349
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: XP, fichiers cachés, parefeu inactivable, parasites mult

par angelique »

executer--> regedit

Déroule avec + jusqu'à:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\"LegalNoticeCaption" < double clic, en donnée de la valeur tu supprimes "81u3f4nt45y - 24.01.2007 - Surabaya"

idem au même endroit sur "LegalNoticeText"


Tu redémarres Ѡindows

--------------

Déroule avec + :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\NOHIDDEN\"CheckedValue"


HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\NOHIDDEN\"DefaultValue"
doit avoir donnée de la valeur 2 (base hexadecimal)

et check pareil les branches ci dessous:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"CheckedValue"
= "0"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\SHOWALL\"DefaultValue"
= "2"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\HideFileExt\"CheckedValue"
= "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\HideFileExt\"DefaultValue"
= "1"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\HideFileExt\"UncheckedValue"
= "1"
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
p_tony

Re: XP, fichiers cachés, parefeu inactivable, parasites mult

par p_tony »

Ok,

Alors la popup à bien disparue.

Ensuite j'ai mis les valeurs tout comme tu m'as dis. (
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\explorer\Advanced\Folder\Hidden\NOHIDDEN\"CheckedValue" à 2 aussi ?)

Et enfaite ça ne semble pas pris en compte. Après redémarrage les valeurs sont celle que j'ai mis, mais ça n'a pas d'effet. Les extensions sont toujours masqué et les fichiers protégé toujours masqué quant je décoche les cases correspondantes dans "options des dossiers"
Avatar de l’utilisateur
angelique
Messages : 31349
Inscription : 28 févr. 2008 13:58
Localisation : Breizhilienne

Re: XP, fichiers cachés, parefeu inactivable, parasites mult

par angelique »

Cool PDT_018 pour Surabaya

oui 2 aussi pour celle là.
j'avais trouvé les infos là > http://www.symantec.com/security_respon ... 99&tabid=3

je me demande si roguekiller te remmettrait pas ça par default :

Image Télécharge RogueKiller 32 Bits_system > http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe -- ou 64 Bits_System > http://www.sur-la-toile.com/RogueKiller ... lerX64.exe sur ton Bureau et renomme le dans la fenêtre de téléchargement par winlogon

Image

Image

» execute le option suppression apres scan .... le rapport est sauvé sur ton bureau << poste le
Avec Gnu_Linux t'as un Noyau ... avec Ѡindows t'as que les pépins
https://helicium.altervista.org/
Supprimer les "virus" gratuitement http://www.supprimer-trojan.com/
Image
  • Sujets similaires
    Réponses
    Vues
    Dernier message

Revenir à « Supprimer/Desinfecter les virus (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »