[Réglé] (aide) Redirection vers d'autres sites. • page 5

[Boubou2509]

Voila :

Code: Tout sélectionner

RogueKiller V7.5.4 [07/06/2012]  par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode sans echec avec prise en charge reseau
Utilisateur: SON [Droits d'admin]
Mode: Suppression -- Date: 09/06/2012 16:56:11

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 6 ¤¤¤
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
[ZeroAccess] HKCR\[...]\InprocServer32 :  (\\.\globalroot\systemroot\Installer\{a822ef32-eabc-c648-0ad8-3d92e1305c4b}\n.) -> REPLACED (c:\windows\system32\wbem\wbemess.dll)
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKCU\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0)
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\Assembly\GAC\Desktop.ini present!

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1       activate.adobe.com


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD1001FALS-00E8B0 +++++
--- User ---
[MBR] 935548c087fe8dffd6826bac51bf1617
[BSP] 286f811e403ec579c11e76e335b4c899 : Windows 7 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 453767 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 929521664 | Size: 499999 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: WDC WD10EALX-009BA0 +++++
--- User ---
[MBR] 79e1924bbbec31288602d3a194f43879
[BSP] b15e37206050aa966e10acbd426ac460 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 953867 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt


Pour le truc que tu as demandé je l'ai fais , je crois que ca a fonctionné je crois que sa a crée un point de restauration.
mais toujours pas de rapport

[jeanmimigab]

c'est bien ce que je je craignait

[ZeroAccess] (LOCKED) windir\Assembly\GAC\Desktop.ini present!

c'est galère à désinfecter avec le rootkit lancé...je ne te promet rien, mais on va tenter de le virer en liveCD

Si tu en as le courage et le temps, fais cela...

Insère un CD (ou un DVD) vierge dans ton graveur...si une fenêtre s'ouvre te demandant ce que tu veux faire, ferme cette fenêtre.

• Télécharge OTLPENet.iso sur ton bureau.
• Insère un CD vierge dans ton graveur, si une fenêtre s'ouvre te demandant ce que tu veux faire, ferme cette fenêtre.
• Fais un double-clic sur l'icône d'OTLPENet.iso et suis les instructions pour graver le CD/DVD automatiquement

Redémarrage du pc infecté sous environnement Reatogo-XPE OTLPE

• Insères le CD/DVD gravé dans le lecteur du pc infecté.
• Si ton pc ne boot pas automatiquement sur le CD, je t'invite sur ce lien : Malekal's forum • Booter sur un CD ou DVD : Tutorials Windows

• Le setup se charge en RAM

• Une fois le CD lancé Windows se charge (comptez 15 à 20 minutes) et vous arrivez sur le bureau REATOGO-X-PE.

• Double cliquer sur OTLPE

• Une fenêtre s'ouvre : "Browse for folder" ; navigue jusqu'au dossier "Windows" de ton pc, fais un clic-gauche dessus afin qu'il apparaisse dans la zone de saisie en bas de la fenêtre et clique sur "OK"

• Une fenêtre s'ouvre : Do you wish to load the remote registry ; Cliques sur "YES"

• Une seconde : Do you wish to load remote user profile(s) for scanning, cliques sur "YES"

• Veillez à ce que la case"Automatically Load All Remaining Users" soit cochée et cliquez sur "OK"

• OTL se lance tu arrives sur cette fenêtre

• Utilises une clé usb pour sauver le contenu du cadre ci-dessous dans un fichier bloc notes/txt
• Tu connectes la clef au PC, tu recherches le fichier bloc note/txt que tu as crées, tu l'ouvres et fais un "copié/collé" de son contenu sous"Custom Scans/Fixes"

%temp%\smtmp\1\*.* /s
%temp%\smtmp\2\*.* /s
%temp%\smtmp\4\*.* /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon /s
HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command /s
HKCR\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
NetSvcs
%systemroot%\system32\drivers\*.sys /lockedfiles
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
services.exe
consrv.dll
winload.exe
ntoskrnl.exe
bootvid.dll
hal.dll
tpm.sys
ksecdd.sys
clfs.sys
ci.dll
kdcom.dll
kdusb.dll
kd1394.dll
spldr.sys
sptd.sys
explorer.exe
userinit.exe
winlogon.exe
tcpip.sys
Sfloppy.sys
Changer.sys
cdrom.sys
disk.sys
ndis.sys
usbscan.sys
usbprint.sys
tdtcp.sys
tdpipe.sys
swmidi.sys
splitter.sys
rdpwd.sys
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
RASACD.SYS
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles

• cliques Run Scan pour démarrer le scanne.
• une fois terminé, le fichier se trouve là C:\OTL.txt
• Fais un copié/collé du fichier "OTL.txt" sur ta clef USB et postes son contenu dans ta prochaine réponse.

[Boubou2509]

je fais le faire de suite faut attendre 5 mn que le logiciel se télécharge .

[Boubou2509]

Je n'arrive pas a lancer le cd :

J'ai un menu similaire a celui la :

http://www.google.fr/imgres?um=1&hl=fr&client=firefox-a&sa=N&rls=org.mozilla:fr:official&biw=1366&bih=639&tbm=isch&tbnid=s1a8XJTXfUnnlM:&imgrefurl=http://fspsa.free.fr/registre-sauvegarde.htm&docid=vOY7nRPViWMczM&imgurl=http://fspsa.free.fr/images/menu-demarrage-avance.gif&w=640&h=480&ei=InLTT4vtIMXPhAfYlPDcAw&zoom=1

quel option il faut choisir pour lancer le cd ?

[jeanmimigab]

yop,

ça c'est le screen du mode de démarrage, tu as surement tapotter F5 ou F8 pour en arriver là...

toi, il faut que tu accède au menu boot order du Bios, pour cela au moment où tu allume ton PC, le premier screen te propose l'accès à différente fonctions en sélectionnant les touche fonction "F*".
Tu doit avoir une touche fonction pour accéder au bios ( appelé aussi "setup" ou "boot menu" )

peut-tu me dire les choix qui te son proposés par les touches lors du premier screen ?

[Boubou2509]

DEL = BIOS SETUP
TAB = DISPLAY BIOS POST MESSAGE
F8 = BOOT MENU
ATL+F2 = FLASH2

J'ai appuyer sur supp au demarege pour acceder au bios
et dans la colone BOOT j'ai :

Boot device priority
Hard disk drives
Boot settings configuration
security .

Y'a pas le truc pour lancer le cd comme sur le lien du tuto

[jeanmimigab]

cool,

tu va dans "Boot device priority" et tu met ton lecteur CDRom/DVD en premier dans la liste.
ensuite au redémarrage, le bios lancera le lecteur CD/DVD

[Boubou2509]

Mhhhhh je ne trouve pas le fichier Windows , c'es sur qu'il est sur mon ordinateur ?

LE fichier qui se raproche le plus de windows c'est WINSXS. et quand je le lance message erreur .

sinon j'ai des System et system32

J'ai tout ouvert les fichiers regarder ligne par ligne il n'y a pas windows .
Quand je tape windows dans la barre de recherche il me met "target is not windows 2000 or later"

[jeanmimigab]

Ce n'est pas un fichier que tu doit sélectionner, mais un" dossier" qui se trouve à la racine du disque "C:\Windows\"

Normalement, il doit apparaitre dès que tu développes l'arborescence de C:\...

Si vraiment il n'apparait pas c'est qu'il y a un gros bug avec OTLPE

EDIT: vérifie quand même que ton disque système "C:\" ne soit pas représenté par une autre lettre ( par exemple "D:\" etc... )
et fais attention de ne pas explorer le contenu du CD via l'explorateur car il s'y trouve un système simplifié de Windows XP

[Boubou2509]

Surrement un beug j'ai pas de disque C:/ (j'ai jamais changer de lettre)

http://imageshack.us/f/803/img0810m.jpg/

[jeanmimigab]

salut,

arfff, la poisse, tu doit avoir un disque dure contrôlé en AHCI et OTLPE n'aime pas ça

Je te file la suite ce soir après le boulot...

[Boubou2509]

Ok ca marche ! bonne journée ^^

Et merci

[jeanmimigab]

Hello,

Relance roguekiller et choisis une fois de plus "suppression"

ensuite ne fais pas redémarrer le PC et fais la suite....

* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"

:OTL
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: PromptOnSecureDesktop = 0

:files
C:\Windows\Installer\{a822ef32-eabc-c648-0ad8-3d92e1305c4b}
C:\Users\SON\AppData\Local\Temp11.html
C:\Users\SON\AppData\Local\Temp1.html
C:\Windows\Assembly\GAC\Desktop.ini

:Commands
[emptytemp]

* Cliques sur l'icône "Correction" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport va s'ouvrir
* Copie et colle le rapports dans ta réponse stp...

@++

[Boubou2509]

voila voila :

Code: Tout sélectionner

All processes killed
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktop deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\\NoActiveDesktopChanges deleted successfully.
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System\\PromptOnSecureDesktop deleted successfully.
========== FILES ==========
C:\Windows\Installer\{a822ef32-eabc-c648-0ad8-3d92e1305c4b}\U folder moved successfully.
C:\Windows\Installer\{a822ef32-eabc-c648-0ad8-3d92e1305c4b}\L folder moved successfully.
C:\Windows\Installer\{a822ef32-eabc-c648-0ad8-3d92e1305c4b} folder moved successfully.
C:\Users\SON\AppData\Local\Temp11.html moved successfully.
C:\Users\SON\AppData\Local\Temp1.html moved successfully.
File\Folder C:\Windows\Assembly\GAC\Desktop.ini not found.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
 
User: Public
 
User: SON
->Temp folder emptied: 35077037 bytes
->Temporary Internet Files folder emptied: 134 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 1145996557 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 7995 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 2347130 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 737717106 bytes
 
Total Files Cleaned = 1 832,00 mb
 
 
OTL by OldTimer - Version 3.2.48.0 log created on 06122012_112355

Files\Folders moved on Reboot...
C:\Users\SON\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

[jeanmimigab]

Bonjour,

c'est pas mal...

est-ce que cela a évolué côté redirection ?