Très coriace la bestiole
- Toujours le PC démarré avec le CD d'OTLpenet
- Double clic sur OTLPE :
- Copie/colle le texte qui est en citation (Sans le mot citation) ci-dessous dans le cadre qui se trouve en dessous de Custom Scan/Fixes:OTL
SRV - File not found [Auto] -- -- (ASKUpgrade)
SRV - File not found [Auto] -- -- (ASKService)
DRV - [2011/10/20 22:03:54 | 000,000,000 | ---- | M] () [Kernel | On_Demand] -- C:\WINDOWS\3794865800 -- (880e31e2)
O2 - BHO: (AskBar BHO) - {201f27d4-3704-41d6-89c1-aa35e39143ed} - Reg Error: Value error. File not found
O2 - BHO: (no name) - {E3215F20-3212-11D6-9F8B-00D0B743919D} - File not found
O3 - HKLM\..\Toolbar: (Ask Toolbar) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - Reg Error: Value error. File not found
O4 - HKLM..\RunOnce: [*actioncoreadm.exe] C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\actioncoreadm.exe ()
O4 - HKU\.DEFAULT..\RunOnce: [nltide_2] File not found
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\restrictions present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDesktopCleanupWizard = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoRemoteRecursiveEvents = 1
O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoSMHelp = 1
O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000004 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000005 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000006 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000007 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000008 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000009 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000010 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000011 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000012 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000013 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000014 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000015 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000016 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000017 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000018 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000019 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000020 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000022 - File not found
O10 - Protocol_Catalog9\Catalog_Entries\000000000023 - File not found
O20 - Winlogon\Notify\ScCertProp: DllName - wlnotify.dll - File not found
O20 - Winlogon\Notify\Schedule: DllName - wlnotify.dll - File not found
O20 - Winlogon\Notify\SensLogn: DllName - WlNotify.dll - File not found
O20 - Winlogon\Notify\termsrv: DllName - WlNotify.dll - File not found
O20 - Winlogon\Notify\TPSvc: DllName - TPSvc.dll - File not found
O20 - Winlogon\Notify\wlballoon: DllName - wlnotify.dll - File not found
O30 - LSA: Authentication Packages - (xxvwxy.dll) - File not found
[2 C:\WINDOWS\system32\config\systemprofile\*.tmp files -> C:\WINDOWS\system32\config\systemprofile\*.tmp -> ]
@Alternate Data Stream - 816 bytes -> C:\WINDOWS\3794865800:2012335645.exe
:files
C:\WINDOWS\system32\win32k.sys | C:\WINDOWS\$NtUninstallKB979559$\win32k.sys /replace
C:\WINDOWS\$NtUninstallKB17939$
C:\WINDOWS\3794865800
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\actioncoreadm.exe
C:\WINDOWS\System32\xxvwxy.dll
C:\WINDOWS\{2521BB91-29B1-4d7e-9137-AC9875D77735}
C:\WINDOWS\System32\drivers\kgpfr2.cfg
C:\WINDOWS\System32\zipfldr.exe
:commands
[EMPTYTEMP] - Clique sur le bouton Run Fix
- Lorsque la suppression sera terminée, un fichier texte s'affichera poste son contenu dans ta prochaine réponse
Puis :::
Redémarre ton pc TOUJOURS SOUS OTLPE puis refais un moi un SCAN comme la première fois donc: - Redémarre le PC infecté avec le CD que tu viens de graver
- Tu va arriver sur un environnement Windows classique (XP) REATOGO-X-PE, patiente le temps de chargement est assez long
- Si ton PC est connecté en Ethernet tu auras accés au net
- Avec readtogo tu dois avoir un fichier nommé OTLPE
- Double clic dessus :
- Copie/colle le texte qui est en citation ci dessous dans le cadre qui se trouve en dessous de Custom Scan/Fixes
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
explorer.exe
userinit.exe
winlogon.exe
wininit.exe
csrss.exe
smss.exe
svchost.exe
services.exe
spoolsv.exe
alg.exe
ctfmon.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
i8042prt.sys
cdrom.sys
disk.sys
ndis.sys
tcpip.sys
imapi.sys
RDPCDD.sys
mountmgr.sys
aec.sys
rasacd.sys
redbook.sys
intelide.sys
mrxsmb10.sys
mrxsmb20.sys
termdd.sys
mrxsmb.sys
win32k.sys
storport.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
- Clique sur le bouton Runscan
- Ne change aucun réglage, sauf si cela t'es demandé par l'outil.
- Lorsque l'analyse sera terminée, deux fichiers textes s'ouvriront dans le Bloc-Notes.
- Poste le contenu de OTL.txt en lien en utilisant cet hébergeur http://www.1fichier.com/
- Ce dernier est beaucoup trop grand pour tenir dans une réponse
Bonne journée !
