encore une infection virale, rapport à l'interieur

[monsieur_H]

Bonjour,

Je reviens sur ce forum qui m'avait beaucoup aidé il y'a quelques mois avec un nouveau virus qui me bloque régulièrement mon ordi en m'assurant que c'est la gendarmerie et que je dois payer xxx euro pour le debloquer. Le truc prend même une photo de moi avec ma webcam :'(

Merci infiniment à celles et ceux qui auront la gentillesse de m'aider

voici mes rapports (je ne l'ai pas fait en mode sans echec, fallait pas si? )

Code: Tout sélectionner

======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

Mis à jour par TeamXscript le 12/04/11
Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
Site web: http://www.teamxscript.org

C:\Program Files (x86)\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 10:49:07 le 28/11/2012, Mode normal

Microsoft Windows 7 Édition Familiale Premium   (X64)
Julien@JULIEN-TOSH (TOSHIBA Satellite L550)
 
============== RECHERCHE ==============





============== SCAN ADDITIONNEL ==============

**** Mozilla Firefox Version [16.0.2 (fr)] ****

Plugins\npqtplugin.dll (Apple Computer, Inc.)
Plugins\npqtplugin2.dll (Apple Computer, Inc.)
Plugins\npqtplugin3.dll (Apple Computer, Inc.)
Plugins\npqtplugin4.dll (Apple Computer, Inc.)
Plugins\npqtplugin5.dll (Apple Computer, Inc.)
Plugins\npqtplugin6.dll (Apple Computer, Inc.)
Plugins\npqtplugin7.dll (Apple Computer, Inc.)
HKLM_MozillaPlugins\@pandonetworks.com/PandoWebPlugin (x)
HKLM_MozillaPlugins\@WildTangent.com/GamesAppPresenceDetector,Version=1.0 (x)
HKCU_MozillaPlugins\pandonetworks.com/PandoWebPlugin (x)
Searchplugins\bing.xml (    hxxp://www.bing.com/search)
Components\browsercomps.dll (Mozilla Foundation)

-- C:\Users\Julien\AppData\Roaming\Mozilla\FireFox\Profiles\q5py3xkx.default --
Prefs.js - browser.download.lastDir, C:\\Users\\Julien\\Desktop
Prefs.js - browser.search.defaultenginename, Search
Prefs.js - browser.search.selectedEngine, Search
Prefs.js - browser.startup.homepage_override.buildID, 20121024073032
Prefs.js - browser.startup.homepage_override.mstone, 16.0.2

========================================

**** Internet Explorer Version [9.0.8112.16421] ****

HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
HKCU_Main|Start Page - hxxp://fr.msn.com/
HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
HKLM_Main|Start Page - hxxp://fr.msn.com/
HKCU_SearchScopes\{9F4F90DF-5024-460A-BF02-A10424401A1B} - "eBay" (hxxp://rover.ebay.com/rover/1/709-44555-9400-8/4?satitle={searchTerms})
HKCU_Toolbar\WebBrowser|{1017A80C-6F09-4548-A84D-EDD6AC9525F0} (C:\Program Files\Lexmark Toolbar\toolband.dll)
HKLM_Toolbar|{1017A80C-6F09-4548-A84D-EDD6AC9525F0} (C:\Program Files\Lexmark Toolbar\toolband.dll)
HKCU_ElevationPolicy\{4169044D-6BA4-4661-B7D6-E29274F1F458} - C:\Program Files (x86)\WildTangent Games\App\BrowserIntegration\wtapp_ProtocolHandler.exe (WildTangent, Inc.)
HKCU_ElevationPolicy\{4BCED422-598A-4EB8-969B-A709A999D7D9} - C:\Program Files (x86)\QuickZip4\QuickZip.exe (x)
HKLM_ElevationPolicy\{02DAEBED-1504-4562-A498-4120120DEB8A} - C:\Program Files\Lexmark Toolbar\tbsched.exe (?)
HKLM_ElevationPolicy\{07d873dc-b9b9-44f5-af0b-fb59fa54fb7a} - C:\Windows\SysWOW64\wpcer.exe (x)
HKLM_ElevationPolicy\{0a402d70-1f10-4ae7-bec9-286a98240695} - C:\Windows\SysWOW64\winfxdocobj.exe (x)
HKLM_ElevationPolicy\{70f641fd-9ffc-4d5b-a4dc-962af4ed7999} - C:\Program Files (x86)\Internet Explorer\iedw.exe (x)
HKLM_ElevationPolicy\{B43A0C1E-B63F-4691-B68F-CD807A45DA01} - C:\Windows\system32\TSWbPrxy.exe (x)
HKLM_ElevationPolicy\{DB26DEC7-5D32-4608-BB28-ED22fAE7647A} - C:\Program Files (x86)\OApps\VideoFileDownload.exe (x)
HKLM_ElevationPolicy\{E0A900DF-9611-4446-86BD-4B1D47E7DB2A} - C:\Program Files (x86)\Google\Chrome\Application\14.0.835.202\chrome_launcher.exe (x)
HKLM_Extensions\{DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - "?" (?)
BHO\{1017A80C-6F09-4548-A84D-EDD6AC9525F0} - "Lexmark Toolbar" (C:\Program Files\Lexmark Toolbar\toolband.dll)
BHO\{27B4851A-3207-45A2-B947-BE8AFE6163AB} (?)
BHO\{B164E929-A1B6-4A06-B104-2CD0E90A88FF} (?)
BHO\{DB26DEC7-5D32-4608-BB28-ED22fAE7647A} - "VideoFileDownload" (C:\Program Files (x86)\OApps\bho_project.dll)

========================================

C:\Program Files (x86)\Ad-Remover\Quarantine: 0 Fichier(s)
C:\Program Files (x86)\Ad-Remover\Backup: 1 Fichier(s)

C:\Ad-Report-SCAN[1].txt - 28/11/2012 10:49:14 (4325 Octet(s))

Fin à: 10:50:28, 28/11/2012
 
============== E.O.F ==============

Code: Tout sélectionner

# AdwCleaner v2.009 - Rapport créé le 28/11/2012 à 10:51:08
# Mis à jour le 24/11/2012 par Xplode
# Système d'exploitation : Windows 7 Home Premium  (64 bits)
# Nom d'utilisateur : Julien - JULIEN-TOSH
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Julien\Downloads\adwcleaner.exe
# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Program Files (x86)\OApps
Dossier Présent : C:\ProgramData\Partner

***** [Registre] *****

Clé Présente : HKCU\Software\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj
Clé Présente : HKCU\Software\Google\Chrome\Extensions\fdloijijlkoblmigdofommgnheckmaki
Clé Présente : HKLM\SOFTWARE\Classes\Prod.cap

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v16.0.2 (fr)

Nom du profil : default
Fichier : C:\Users\Julien\AppData\Roaming\Mozilla\Firefox\Profiles\q5py3xkx.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Julien\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1304 octets] - [28/11/2012 10:51:08]

########## EOF - C:\AdwCleaner[R1].txt - [1364 octets] ##########

Edit: voici les rapports OTL
http://cjoint.com/?BKClnaSpium
http://cjoint.com/?BKClnRr5emS

[Yanis91270]

Salut et Bienvenu sur PC-InfoPratique.

Nous allons essayer de régler ton problème ensemble. D'abord, quelques rappels:

- N'ouvres pas d'autres sujets pour le même problème autre part.
- N'hésites pas à poser des questions en cas de besoin.
- Sois patient(e) quand tu postes un message, je ne réponds pas instantanément:
Je ne suis pas en permanence devant mon ordinateur.
- La désinfection (si nécessaire) va se dérouler en plusieurs étapes. Même si les symptômes de l'infection disparaissent, la désinfection ne sera terminée que quand je te le confirmerai

--> Merci de revenir jusqu'au bout, sinon ce qu'on a fait n'aura servi à rien.

/!\ Utilisateur de Windows Vista et Windows Seven : Clique droit sur le logo de OTL, « Exécuter en tant qu'Administrateur » /!\

• Lances OTL.
• Coches en haut à droite Rapport Minimal.
• Sous Personnalisation, copies & colles ceci:

Code: Tout sélectionner

:OTL
SRV - [2010/10/12 18:59:12 | 000,206,072 | ---- | M] (WildTangent, Inc.) [On_Demand | Stopped] -- C:\Program Files (x86)\WildTangent Games\App\GamesAppService.exe -- (GamesAppService)    => WildTangent Games
O2 - BHO: (Spybot-S&D IE Protection) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)    => Spybot Search & Destroy
O9 - Extra Button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files (x86)\WinHTTrack\WinHTTrackIEBar.dll ()
O9 - Extra 'Tools' menuitem : Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Program Files (x86)\WinHTTrack\WinHTTrackIEBar.dll ()
O9 - Extra 'Tools' menuitem : Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files (x86)\Spybot - Search & Destroy\SDHelper.dll (Safer Networking Limited)    => Spybot Search & Destroy
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} http://www.nvidia.com/content/DriverDownload/srl/3.0.0.4/srl_bin/sysreqlab_nvd.cab (System Requirements Lab Class)    => System Requirements Lab
IE - HKLM\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}    => Google/Seekeen.com or Web Search
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7    => Google/Seekeen.com or Web Search
IE - HKLM\..\SearchScopes,Backup.Old.DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}    => Google/Seekeen.com or Web Search
IE - HKLM\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://start.funmoods.com/results.php?f=4&q={searchTerms}&a=grupo&chnl=grupo&cd=2XzutAtN2Y1L1QzuyBtDtC0AtDyEtByB0CtC0A0AyB0C0CyDtN0D0TzutBtDtCtBtDyCtCyB&cr=1971403873    => Google/Seekeen.com or Web Search
IE - HKCU\..\SearchScopes,Backup.Old.DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}    => Google/Seekeen.com or Web Search
IE - HKCU\..\SearchScopes,DefaultScope = {6A1806CD-94D4-4689-BA73-E35EA1EA9990}    => Google/Seekeen.com or Web Search
IE - HKCU\..\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7TSEH_frFR362    => Google/Seekeen.com or Web Search
O13 - gopher Prefix: missing    => Malware sous Windows NT5
O13 - gopher Prefix: missing    => Malware sous Windows NT5
IE - HKLM\..\SearchScopes,DefaultScope = {1331A6B8-E765-6D69-0080-6D549CBD3ADA}
IE - HKLM\..\SearchScopes\{1331A6B8-E765-6D69-0080-6D549CBD3ADA}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Backup.Old.Start Page = http://www.google.com/ig/redirectdomain?brand=TSEH&bmod=TSEH
IE - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,DefaultNetworkProfile = 17086308
IE - HKCU\..\SearchScopes\${searchCLSID}: "URL" = http://search.live.com/results.aspx?q={searchTerms}&src={referrer:source?}
IE - HKCU\..\SearchScopes\{1331A6B8-E765-6D69-0080-6D549CBD3ADA}: "URL" = http://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7TSEH_frFR362
IE - HKCU\..\SearchScopes\{9F4F90DF-5024-460A-BF02-A10424401A1B}: "URL" = http://rover.ebay.com/rover/1/709-44555-9400-8/4?satitle={searchTerms}
IE - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = <local>
[2012/11/01 02:18:28 | 000,000,000 | ---D | M] -- C:\Users\Julien\AppData\Roaming\hellomoto
[2012/04/28 16:53:12 | 000,000,720 | ---- | M] ()(C:\Users\Julien\AppData\Local\PMB Fik?s) -- C:\Users\Julien\AppData\Local\PMB Fik聥s
[2012/04/28 16:53:07 | 000,000,720 | ---- | C] ()(C:\Users\Julien\AppData\Local\PMB Fik?s) -- C:\Users\Julien\AppData\Local\PMB Fik聥s
"TCP Query User{A8EE5D89-5E7C-4892-9FCD-2D2629DCEA30}C:\program files (x86)\rockstar games\grand theft auto iv\gtaiv.exe" = protocol=6 | dir=in | app=c:\program files (x86)\rockstar games\grand theft auto iv\gtaiv.exe |    => GTA Grand Theft Auto Game
"UDP Query User{6956BE88-4660-456C-86EE-1C7C29FAFFD2}C:\program files (x86)\rockstar games\grand theft auto iv\gtaiv.exe" = protocol=17 | dir=in | app=c:\program files (x86)\rockstar games\grand theft auto iv\gtaiv.exe |    => GTA Grand Theft Auto Game
"{B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1" = Spybot - Search & Destroy    => Safer Networking Limited Spybot - S&D
:Commands
[emptytemp]
[emptyflash]

• Cliques sur Correction.
• Patientes le temps de l'analyse.
• OTL va te demander de redemarrer ton ordinateur, Cliques sur Ok.
• Au redémarrage, OTL va ouvrir le rapport dans le bloc-notes (OTL.log).
• Enregistres le rapport sur ton Bureau.
• Héberges le rapport OTL.log sur CJoint.com
• Postes le lien donnés.

/!\ Note : Pour éviter de figer l'analyse OTL, laisses le travailler sans toucher à ton PC ! /!\

[monsieur_H]

Merci beaucoup pour ton aide.

J'ai suivi la procédure mais j'ai eu un petit soucis, lorsque mon PC a redémarré, le virus s'est mis en route et a bloqué mon ordi.

Pour arriver à virer cette grosse fenêtre, j'ai utilisé la fonction de win7 qui permet de confirmer la fermeture de session (on peut appuyer sur annuler pour confirmer la fermeture, et ça tue les processus un par un) . Apres quelques essais, ça a tué tous mes processus et j'ai pu relancé explorer avec le gestionnaire des tâches (bon je sais pas si mon explication etait claire, mais c'est le resultat qui compte)

Par contre ça a aussi fermé le rapport que je n'ai retrouvé nul part sur mon ordi

edit: je pense que tu le vois, mais j'ai contrôlé la liste des process qui s'execute au démarage de windows et aucun n'est suspect. Pour se faire, j'utilise spybot, et j'ai simplement des trucs normaux je pense

si ça peux t'aider, voila un screenshot:

(les deux process sidebar sont en fait cochés)

[Yanis91270]

• Télécharges OTLPENet sur ton Bureau.
• Une fois le téléchargement terminée.

/!\ Utilisateur de Windows Vista et Windows Seven : Clique droit sur le logo de OTLPENet, « Exécuter en tant qu'Administrateur » /!\

• Lances OTLPENet (Assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD).
• Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le C.D., clique sur Oui.
• Patientes le temps de la décompression et de la gravure du C.D.
• Demarres en bootant sur le CDRom. Comment Booter sur un DVD/CDRom








• Ton système doit montrer un bureau REATOGO-X-PE



• Doubles-cliques sur l'icône OTLPE.
• Cliques sur Yes.



• Sélectionnes ta session.
• Vérifies que Automatically Load All Remaining Users est sélectionné et presses Ok.

Si ton système d'exploitation est Windows Vista ou Windows Seven, tu auras ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)

• Presses Ok.
• OTLPE se lance.

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
SAVEMBR:0
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

• Copies l'intégralité du cadre ci-dessus sous Custom Scan/Fixes
• Cliques sur Run Scan.
• Patientes pendant l' analyse.

• Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
• Héberges le rapport OTLPE sur CJoint.com
• Postes le lien donné.

[monsieur_H]

merci encore pour ta réponse.

Je crois que je suis maudit. Mon lecteur CD est un bad game des laptops Toshiba. Je n'arrive pas à l'utiliser avec un CD vierge. J'ai donc gravé ce que tu m'avais dis sur un autre PC, mais pareil, il ne peux pas le lire. CF capture d'ecran:



J'ai donc monté l'image sur daemon tool et copié collé le contenu sur mon deuxieme hardrive, mais impossible de démarrer dessus. En fait, ma carte mere ne supporte que le hdd1, le lecteur cd qui marche pas, et un autre truc qui s'appelle LAN (aucune idée de ce que c'est, ça a quand meme aucun rapport avec le LAN wifi?). Si tu sais ce que c'est, c'est peut etre la solution.

Sinon va falloir trouver une autre solution. :'(

En tous cas un énorme merci pour ton aide

[Yanis91270]

Tu n'avais pas à l'installer l'iso avec Daemon tools, tu n'as pas du tout lit le tutoriel. Si tu n'as pas de CD, as tu une Clef USB ? si oui, je t'envoie le rapport.

[monsieur_H]

je n'ai pas installé l'iso avec daemon tool, enfin pas dans un premier temps. Ca c'est ce que j'ai fait dans un deuxieme temps quand j'ai vu que ça marchait pas.

J'ai suivis la procedure pour graver le cd, mais comme je t'ai dis, impossible de graver un cd avec ce lecteur. Alors j'ai essayé de le graver avec un autre PC, toujours en suivant la procedure standard que tu m'as doné, mais cette fois mon PC ne lis pas le CD.

J'ai donc pensé à autre chose, démarrer sur clef USB ou disque dur D: . C'est là que j'ai utilisé Daemon tool, j'ai mounté l'ISO du lien que tu m'avais passé (ISO que j'ai retrouvé en fouillant dans les temporaires). Puis j'ai copié collé le contenu de l'image disque sur une clef USB. Le problème etant cette fois que ma carte mère ne semble pas pouvoir booter sur une clef ou sur le disque D. Comme je disais, les seuls choses sur lesquels mon PC veut bien booter dans le BIOS, c'est le disque dur 1, les CD, et un truck qui s'appelle LAN.

Désolé pour mon précédent message pas clair Tu penses que je peux quand même booter sur clef USB?

[Yanis91270]

• Insères ta clef USB. (Assures toi qu'elles soit vide ! Si ce n'est pas le cas, formates-là !)
• Télécharges PetoUSB sur ton Bureau.
• Décompresses l'archive PetoUSB.

• Télécharges OTLPENet sur ton Bureau.
• Une fois le téléchargement terminée.

• Tu obtiens alors un fichier imgburn (qui permet la gravure) et l'image du CD en format ISO => OTLPE_New_Net.iso
C'est ce fichier image qui nous intéresse, à nouveau en faisant un clic droit dessus, vous pouvez extraire le contenu, choisissez dans le menu déroulant extraire vers OTLPE afin d'obtenir un répertoire OTLPE avec le contenu de l'image. #Image

• Lances PetoUSB.
• Dans la partie Source Path to built BartPE/WinPE Files, cliquez sur les "..." et ajoutez le dossier OTLPE qui se trouve sur ton Bureau. Cochez la case Enable File Copy comme indiqué sur l'image. #Image
• Cliques sur Start. Acceptes les avertissements et patientes.

• Démarres en bootant sur la Clef USB Comment Booter sur une clef USB (Sur le tutoriel, c'est pour un DVD-Om, mais tu as juste à mettre en première position l' USB)









• Ton système doit montrer un bureau REATOGO-X-PE



• Doubles-cliques sur l'icône OTLPE.
• Cliques sur Yes.



• Sélectionnes ta session.
• Vérifies que Automatically Load All Remaining Users est sélectionné et presses Ok.

Si ton système d'exploitation est Windows Vista ou Windows Seven, tu auras ce message : "RunScanner Error - Target is not windows 2000 or later", il faut donc aller et sélectionner jusqu'au dossier c:\windows dans l'arborescence en dessous de local disk (c:)

• Presses Ok.
• OTLPE se lance.

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
SAVEMBR:0
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT

• Copies l'intégralité du cadre ci-dessus sous Custom Scan/Fixes
• Cliques sur Run Scan.
• Patientes pendant l' analyse.

• Une fois terminé, le rapport est sauvegardé sur ton disque dur C:\_OTL\ sous la forme date_heure.txt.
• Héberges le rapport OTLPE sur CJoint.com
• Postes le lien donné.

[monsieur_H]

j'ai fait tout comme tu m'as dit mais au moment où il reboot sur ma clef il me dis "retirez le disque, appuyer sur une touche pour continuer" et là il reboot sous windows

Je précise que j'ai essayé avec 2 clefs USB, sur mon port USB et sur mon port Esata mais toujours le même message

[Yanis91270]

Es-tu sûr d'avoir mit en Boot 1 = USB ?

Si ça fail toujours, démarre en Mode Sans Échec avec Prise en Charge de Réseau puis:

• Télécharges RogueKiller sur ton Bureau.

/!\ Utilisateur de Windows Vista et Windows Seven : Clique droit sur le logo de RogueKiller, « Exécuter en tant qu'Administrateur » /!\

• Lances RogueKiller.
• Attends que le PreScan ait fini.
• Cliques sur Scan.
• Patientes le temps du scan.
• Cliques sur Suppression.
• Patientes le temps de la suppression.
• Cliques sur Rapport.
• Enregistres le rapport sur ton Bureau.
• Héberges le rapport RogueKiller sur CJoint.com
• Postes le lien donné.

[monsieur_H]

Impossible de redemarrer sur une clef USB, j'ai tout essayé, j'ai donc penché pour la deuxieme solution

Grosse saloperie ce virus, il m’empêchait carrément de lancer le mode sans echec, dès que j'ouvrais la session il resetait le PC

Heureusement j'ai pu ouvrir l'ordi en mode sans echec avec invite de commande. J'ai fait le scan et plus de traces visibles du virus.

Voici le rapport, http://cjoint.com/12nv/BKDqlByrjAB.htm merci pour ton aide et pour ta patience

[Yanis91270]

J'aimerais le rapport de Suppression s'il te plait. RKreport[2].txt sur ton Bureau si tu l'as passé.

[monsieur_H]

exact, pas vu que j'avais eu ça
http://cjoint.com/12nv/BKDs5l5cAE4.htm

edit : euh.. j'ai l'impression que les deux fichiers sont les mêmes

[Yanis91270]

Non, c'est bien celui-là. As-tu accès au Windows Normal ?

[monsieur_H]

Oui oui, plus de traces visibles du virus là.