Il y a actuellement 429 visiteurs
Vendredi 29 Mars 2024
accueilactualitésdossierscomparer les prixtélécharger gratuitement vos logicielsoffres d'emploiforum informatique
Connexion
Créer un compte

[Résolu] Remake de Bagle en mode Démoniaque

Un ordinateur qui ralentit, des écrans publicitaires qui apparaissent, des applications qui refusent de démarrer ou encore votre navigateur qui s'obstine à ouvrir une page douteuse sont autant d'éléments qui indiquent que l'intégrité de votre ordinateur est menacée par un virus. Vous trouverez dans ce forum quelques conseils et logiciels pour surfer tranquillement.
Règles du forum
Pour afficher un rapport d'analyse ou un rapport d'infection (HijackThis, OTL, AdwCleaner etc...)‎, veuillez utiliser le système de fichiers joints interne au forum. Seuls les formats les .txt et .log de moins de 1Mo sont acceptés. Pour obtenir de l'aide pour insérer vos fichiers joints, veuillez consulter ce tutoriel

[Résolu] Remake de Bagle en mode Démoniaque

Message le 04 Aoû 2014 16:49

Coucou PC-Info :)

Tout va bien ?

Moi, j'ai une petite fille (non, rien à voir avec Bagle hein), une petite étoile qui se prénomme Stella et fait maintenant 3 mois (demain) mais pas ses nuits (dans nos dents) :)

Bon, si je viens ici sur cette section en particulier, c'est que j'ai tout perdu depuis que je n'aide plus.

J'ai récupéré le portable de ma cousine que je dois lui envoyer dans 48 heures et elle a une version de Bagle.

Du côté des téléchargements, pas d'archives bizarres ou d'éléments cr4cks, s3r14ls ou autres...

En lui demandant ce qu'elle avait fait, hormis tenter d'installer Skype (site vérolé ?), rien de bizarre...

Symptômes :

  • Impossible d'installer un AV ;
  • Impossible d'installer un pare-feu ;
  • Impossible d'installer un utilitaire de désinfection (ComboFix, Mbam) ;
  • Impossible d'installer un logiciel quelconque ;
  • Après installation en mode sans échec, utilisation des utilitaires impossible.

Manipulations :

  • J'ai passé plusieurs fois ComboFix en mode sans échec (cf PJ) mais certains éléments ne voulaient pas se supprimer avant redémarrage. Sauf qu'au redémarrage classique, CF ne se lance pas.
  • HiJackThis ne me donne rien d'affreux (cf PJ)
  • Mbam ne trouve rien d'affreux non plus (ou ne se lançait pas en Mode sans échec, je ne sais plus).
  • J'ai épluché les programmes installés et je n'ai rien vu d'exotique.

J'ai tenté de récupérer FindyKill mais impossible de trouver un site crédible et sûr... Du coup, je fais quoi ? :o

Merci :roll:

hijackthis.log


ComboFix.txt
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 


Re: Remake de Bagle en mode Démoniaque

Message le 04 Aoû 2014 18:44

Bonsoir
normal pour FindyKill qui n'est plus à jour donc ne pas utiliser.
Fait ceci en mode sans échec.
Télécharger sur le bureau<< RogueKiller >> (by tigzy)
Quitter tous les programmes
Lancer RogueKiller.exe.
Attendre que le Prescan ait fini ...
Cliquer sur Scan. Cliquer sur Rapport et copier-coller le contenu du notepad
Cliquer sur Suppression. Cliquer sur Rapport et copier-coller le contenu du notepad
Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.

Ensuite:
* Télécharge >> OTL <<sur ton bureau.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven / W8 fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"
Image

Code: Tout sélectionner
netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
activex
/md5start
afd.sys
atapi.sys
cdfs.sys
cdrom.sys
dfsc.sys
hdaudbus.sys
i8042prt.sys
ipnat.sys
ipsec.sys
mrxsmb.sys
netbt.sys
ntfs.sys
parport.sys
rasl2tp.sys
rdpdr.sys
smb.sys
tcpip.sys
tdx.sys
volsnap.sys
explorer.exe
services.exe
svchost.exe
userinit.exe
wininit.exe
winlogon.exe
kernel32.dll
rpcss.dll
user32.dll
/md5stop
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.*
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%SystemDrive%\$RECYCLE.BIN\* /s
%SystemDrive%\RECYCLER\* /s
%SystemRoot%\assembly\GAC\*.*
%SystemRoot%\assembly\GAC_32\*.*
%SystemRoot%\assembly\GAC_64\*.*
%SystemRoot%\Installer\* /s
%LOCALAPPDATA%\*.
%LOCALAPPDATA%\*.*
%LOCALAPPDATA%\Google\Desktop\* /s
%ProgramFiles%\Google\Desktop\* /s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software
hkcu\software
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
nslookup http://www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT

* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés


Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Remake de Bagle en mode Démoniaque

Message le 04 Aoû 2014 18:59

Coucou bernard53.

bernard53 a écrit:normal pour FindyKill qui n'est plus à jour donc ne pas utiliser.


Ok, tu confirmes que je suis vraiment dépassé :)

Voilà qui est fait pour RK, je suis en train de faire l'autre.

rk.txt


A tout.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Re: Remake de Bagle en mode Démoniaque

Message le 04 Aoû 2014 19:07

Si c'est pas toi qui a installé le proxy sur le pc valide ceci pour RoqueKiller.
Cliquer sur Scan. Cliquer sur Rapport et copier-coller le contenu du notepad
Cliquer sur Suppression. Cliquer sur Rapport et copier-coller le contenu du notepad
Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Remake de Bagle en mode Démoniaque

Message le 04 Aoû 2014 19:10

bernard53 a écrit:Si c'est pas toi qui a installé le proxy sur le pc valide ceci pour RoqueKiller.


Ma cousine ne doit pas savoir ce qu'est un proxy et, de mon côté, pas besoin donc c'est bien encore l'infection.

On a donc une machine zombie ?

Quand OTL a fini, je relance RK.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Re: Remake de Bagle en mode Démoniaque

Message le 04 Aoû 2014 19:20

Re.

Voilà les deux logs OTL.

OTL.txt


Extras.Txt
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Re: Remake de Bagle en mode Démoniaque

Message le 04 Aoû 2014 19:29

bernard53 a écrit:Si c'est pas toi qui a installé le proxy sur le pc valide ceci pour RoqueKiller.


Nouveau passage de RogueKiller, rapport en PJ.

RKreport_SCN_08042014_202713.log


On avance ;)
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Re: Remake de Bagle en mode Démoniaque

Message le 04 Aoû 2014 19:44

très bien juste ceci car rien de grave sur le pc.

* Fait un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven / W 8 fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure-toi que dans la section "Rapport" (en haut à droite) la case " Rapport minimal" soit cochée.

* Copies et colles le contenu que tu va télécharger suivant le lien suivant dans la partie inférieure d'OTL "Personnalisation"
Image

Rapport OTL.txt

* Cliques sur l'icône Correction (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport s'ouvrir "OTL.log"
* Copie et colle le ou les rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Joins ces rapports dans ta prochaine réponse en suivant ce tutoriel.

 dis moi si qui te reste comme symptômes ensuite
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Remake de Bagle en mode Démoniaque

Message le 04 Aoû 2014 20:03

OTL a voulu redémarrer pour terminer la désinfection, je l'ai laissé faire.

08042014_205237.log


Mince alors, pas de machine zombie finalement ? :)

Concernant les news, je ne peux toujours pas installer d'antivirus (je teste la nouvelle version d'Avira et le téléchargement de l'AV se solde par un échec comme avant).

Quand j'installe MBAM, j'ai une superbe erreur.

Code: Tout sélectionner
Erreur interne : Expression error 'Runtime Error (at 79:177):

External exception E06D7363.'


On dirait qu'il reste des bouts.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Re: Remake de Bagle en mode Démoniaque

Message le 04 Aoû 2014 21:06

Désinstalle Spybot qui peux en être la cause.
Redémarre le pc ensuite puis nouveau teste de MalwaresBytes s.t.p.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Remake de Bagle en mode Démoniaque

Message le 05 Aoû 2014 08:03

a vérifier si comodo n'est pas aussi la cause du blocage d'installation.
Le désactiver pour test au besoin.
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Remake de Bagle en mode Démoniaque

Message le 05 Aoû 2014 11:46

Bonjour.

J'ai désinstallé Spybot et Comodo Dragon puis kické Comodo firewall.

Toujours la même erreur :

Code: Tout sélectionner
Erreur interne : Expression error 'Runtime Error (at 79:177):

External exception E06D7363.'


Et Avira ne peut toujours pas se télécharger l'AV.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Re: Remake de Bagle en mode Démoniaque

Message le 05 Aoû 2014 12:07

ok pour MalwaresBytes.
Regarde là :
http://forum.malekal.com/supprimer-malw ... ml#p370437

notamment lance le mbam-clean.exe
Puis essai de télécharger Avast au lieu d'Avira qui demande un fichier moins gourmand
Avatar de l'utilisateur
bernard53
PC-Infopraticien
PC-Infopraticien
 
Messages: 12778
Inscription: 08 Déc 2009 19:51
 

Re: Remake de Bagle en mode Démoniaque

Message le 05 Aoû 2014 13:09

bernard53 a écrit:mbam-clean.exe


J'ai passé le cleaner Mbam et j'ai finalisé l'installation.

MAJ de la base de données et je lance un examen avec recherche de toutes les vermines.

Je te tiens au jus.

bernard53 a écrit:Puis essai de télécharger Avast au lieu d'Avira qui demande un fichier moins gourmand


Je ne suis pas un fanatique d'Avast mais, si je n'y arrive pas, ce sera lui.
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Re: Remake de Bagle en mode Démoniaque

Message le 05 Aoû 2014 15:48

Re.

Mbam a fini son nettoyage, de nombreuses occurrences pour Nosibay...

mbam.txt


On est bon ou je fais tourner encore un utilitaire (HiJackThis) au cas où ?
Avatar de l'utilisateur
r@in | b0w
PC-Infopraticien
PC-Infopraticien
 
Messages: 7714
Inscription: 09 Déc 2007 12:37
Localisation: Parrot Sec
 

Suivante


Sujets similaires

Message Mode jeu ?
BonjourJe me posais des questions au sujet du "mode jeu", est ce vraiment utile/efficace ?Selon Microsoft, ce mode optimiserait les performances du PC pendant le jeu et empêcherait les mises à jour, les notifications, etc....Ce mode étant activé par défaut, les mises à jour de Windows se f ...
Réponses: 1

Message [Résolu] comment utiliser opera
Bonjour J'ai installé opera, je n'arrive pas à le mettre en français ? Il y a aussi la page d'accueil qui me gêne, pleine de petites fenêtres qui ne m'intéressèrent pas. Merci
Réponses: 13

Message [Résolu] Impossible lancer Windows défender hors ligne WIN10
Salut à vous j'ai voulu lancer Windows Defender hors ligne et malgré plusieurs tentatives et démarrages, il ne se passe rien je suis allé sur mon disque dur C où est installé Windows Defender et puis sur offline j'ai cliqué sur en administrateur : OfflineScannerShellet voici le message Je précis ...
Réponses: 64

Message mot de pass [Résolu]
bonjour quand j'allume le pc il demande un mot de passe et option de connexion ..comment je peu supprimé ça pour que l'ordi s'allume sans cet option ...si y a moyen ça sera bien ps: installation Windows car j'ai remplacé mon DD par un SSD ce week-endmerci
Réponses: 23

Message [Résolu]Paramètrage de mon profil
Bonjour, Lorsque je veux ajouter une signature dans mon profil ==> Modifier la signature, la visualisation de celle-ci se fait bien mais lorsque je valide, rien apparait sous mes messages. Il y a t-il un temps de délai pour voir apparaitre ma signature en bas de mes messages (normalement cela do ...
Réponses: 4

Message [Résolu] Le fameux soucis du "voile blanc" sur un écran.
Bonjour/Bonsoir, je viens à vous aujourd'hui car j'ai acheter un écran LG 24M47VQ-P ( Je crois qu'il s'âgit la de la réph mais je ne suis pas sur ) et lorsque je le branche il fonctionne parfaitement cependant il y a une chose qui me dérange fortement c'est un voile blanc qui viens se mettre sur l'é ...
Réponses: 15


Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 19 invités


.: Nous contacter :: Flux RSS :: Données personnelles :.