A voir également:
- Infecté par TR/Crypt.XDR.Gen :(
- We tr - Télécharger - Téléchargement & Transfert
- Tr mail - Forum Messagerie
- Google tr - Télécharger - Traduction
- Sennheiser tr 4200 problème - Forum Casque / Micro / kit
- Objet tr ✓ - Forum iPhone
10 réponses
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
17 juin 2009 à 11:56
17 juin 2009 à 11:56
Bonjour,
Télécharge OTL de OLDTimer ici :
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/
et enregistre le sur ton Bureau.
Double clic sur OTL.exe pour le lancer.
Coche les 2 cases Lop et Purity
Coche la case devant "scan all users"
Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
Pour me le transmettre clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Télécharge OTL de OLDTimer ici :
http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/
et enregistre le sur ton Bureau.
Double clic sur OTL.exe pour le lancer.
Coche les 2 cases Lop et Purity
Coche la case devant "scan all users"
Clic sur Run Scan.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)
Pour me le transmettre clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le fichier ci-dessus.
Clique sur Ouvrir.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page.
Copie ce lien dans ta réponse.
Merci pour ta réponse :) Voici le lien: http://www.cijoint.fr/cjlink.php?file=cj200906/cijIJnc5Nb.txt
A part ça, je me suis déconnecté depuis mon dernier post, et à ma reconnection, Avira a lancé d'autres alertes, mais sous d'autres noms: Dr/Delphi.gen, TR/Hacktool.tcpz.A et un autre: W32/Virut.gen (ce dernier ne me plait pas trop je dois avouer, j'ai cru avoir lu des détails pas tres reluisants a son sujet...)
A tout hasard j'ai relancé un scan apres ces alertes, voici le log: http://www.cijoint.fr/cjlink.php?file=cj200906/cij6MjYKE3.txt
Il s'apelle Extra, et pas OTL par contre, voili voilou tu sais tout ! :)
A part ça, je me suis déconnecté depuis mon dernier post, et à ma reconnection, Avira a lancé d'autres alertes, mais sous d'autres noms: Dr/Delphi.gen, TR/Hacktool.tcpz.A et un autre: W32/Virut.gen (ce dernier ne me plait pas trop je dois avouer, j'ai cru avoir lu des détails pas tres reluisants a son sujet...)
A tout hasard j'ai relancé un scan apres ces alertes, voici le log: http://www.cijoint.fr/cjlink.php?file=cj200906/cij6MjYKE3.txt
Il s'apelle Extra, et pas OTL par contre, voili voilou tu sais tout ! :)
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
17 juin 2009 à 16:15
17 juin 2009 à 16:15
Re,
O4 - HKU\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd ()
Je ne garantis absolument rien sur la réaction de l'OS face à certains outils.
Je te conseille de faire au plus vite une sauvegarde de tes fichiers personnels.
Il y a un risque de File infector.
Donc aucun .exe, ni .scr, ni .htm ni .html dans la sauvegarde.
===========
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.
Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
O4 - HKU\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd ()
Je ne garantis absolument rien sur la réaction de l'OS face à certains outils.
Je te conseille de faire au plus vite une sauvegarde de tes fichiers personnels.
Il y a un risque de File infector.
Donc aucun .exe, ni .scr, ni .htm ni .html dans la sauvegarde.
===========
On va utiliser ComboFix.exe. Rends toi sur cette page web pour obtenir les liens de téléchargement, ainsi que des instructions pour exécuter l'outil:
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
* Vérifie que tu as fermé/désactivé tous les programmes anti-virus, anti-malware ou anti-spyware afin qu'ils n'interfèrent pas avec le travail de ComboFix.
Envoie le contenu de C:\ComboFix.txt dans ta prochaine réponse afin que je l'examine.
Voilà c'est fait !
Bon, mon clavier a rendu l'âme entre temps, je ne sais pas si c'est dû aux virus etc. ou juste une simple coincidence mais bon, ca m'aura donné l'occasion de ressortir mon ancien clavier :)
Bref, voici le log: http://www.cijoint.fr/cjlink.php?file=cj200906/cijXOQoIym.txt
Deux petits mots cependant, la première fois que j'ai lancé Combofix, ma connection internet plantait, et je n'avais pas installé la console de récupération Microsoft.
Ensuite apres le premier reboot du premier scan, ma connection remarchait, du coup j'ai pu l'installer rapidement et relancer un second scan. Le log qui est en lien est celui du second scan, le premier s'est fait écraser et je n'ai pas pu le récupérer :(
En tous cas, dénouement heureux ou pas, je te remercie pour le coup de pouce, vraiment :) Si un jour je peux te rendre la pareil ... xD
Bon, mon clavier a rendu l'âme entre temps, je ne sais pas si c'est dû aux virus etc. ou juste une simple coincidence mais bon, ca m'aura donné l'occasion de ressortir mon ancien clavier :)
Bref, voici le log: http://www.cijoint.fr/cjlink.php?file=cj200906/cijXOQoIym.txt
Deux petits mots cependant, la première fois que j'ai lancé Combofix, ma connection internet plantait, et je n'avais pas installé la console de récupération Microsoft.
Ensuite apres le premier reboot du premier scan, ma connection remarchait, du coup j'ai pu l'installer rapidement et relancer un second scan. Le log qui est en lien est celui du second scan, le premier s'est fait écraser et je n'ai pas pu le récupérer :(
En tous cas, dénouement heureux ou pas, je te remercie pour le coup de pouce, vraiment :) Si un jour je peux te rendre la pareil ... xD
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Edit: A la suite du scan de Combofix, j'ai lancé Avira, il me trouve toujours une infection du troyen TR/hacktool.tcpz.A
L'un est dans la quarantaine de Combofix (Qoobox si je ne me trompe pas), donc pas de prb j'imagine, les deux autres par contre sont dans D:/windows/system/drivers/sysdrv32.sys et dans d:/system volume information/restore/un truc trop long a tapper :)
Pour Qoobox et le system restore, j'imagine que c'est normal, pour le windows/system/drivers, peut etre moins à priori.
L'un est dans la quarantaine de Combofix (Qoobox si je ne me trompe pas), donc pas de prb j'imagine, les deux autres par contre sont dans D:/windows/system/drivers/sysdrv32.sys et dans d:/system volume information/restore/un truc trop long a tapper :)
Pour Qoobox et le system restore, j'imagine que c'est normal, pour le windows/system/drivers, peut etre moins à priori.
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
17 juin 2009 à 18:22
17 juin 2009 à 18:22
Re,
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Driver::
sysdrv32
amd64si
Rootkit::
d:\windows\system32\drivers\sysdrv32.sys
d:\windows\no6.exe
d:\windows\system32\no6.exe
d:\windows\system32\62.scr
d:\windows\system32\70.scr
d:\windows\system32\drivers\amd64si.sys
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Data Serivce"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"d:\\WINDOWS\\System32\\62.scr"=-
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
===============
On va contrôler cette histoire de virut.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : d:\windows\system32\drivers\tcpip.sys
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
Tu recommences avec :
d:\windows\system32\ntoskrnl.exe
d:\windows\explorer.exe
d:\windows\system32\sfcfiles.dll
============
Tu refais tourner OTL et tu postes le rapport par un lien cijoint.
Copie ou imprime les instructions avant
Déconnecte toi d'internet et ferme toutes tes applications.
Désactive tes protections (antivirus, parefeu, garde en temps réel de l'antispyware)
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Driver::
sysdrv32
amd64si
Rootkit::
d:\windows\system32\drivers\sysdrv32.sys
d:\windows\no6.exe
d:\windows\system32\no6.exe
d:\windows\system32\62.scr
d:\windows\system32\70.scr
d:\windows\system32\drivers\amd64si.sys
Registry::
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Windows Data Serivce"=-
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"d:\\WINDOWS\\System32\\62.scr"=-
Enregistre ce fichier sous le nom CFscript
Fait un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe
Clique sur le fichier CFscript, maintient le doigt enfoncé et glisse la souris pour que l'icône du CFscrïpt vienne recouvrir l'icône de Combofix. Relache la souris. Combofix va démarrer.
Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
Réactive ton parefeu, ton antivirus, la garde de ton antispyware
Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Attention : cette manip a été fait pour cet ordi. Tout réutilisation peut endommager sévèrement le système d'exploitation.
===============
On va contrôler cette histoire de virut.
Rends toi sur ce site :
https://www.virustotal.com/gui/
Clique sur parcourir et cherche ce fichier : d:\windows\system32\drivers\tcpip.sys
Clique sur Send File.
Un rapport va s'élaborer ligne à ligne.
Attends la fin. Il doit comprendre la taille du fichier envoyé.
Sauvegarde le rapport avec le bloc-note.
Copie le dans ta réponse.
Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant
Tu recommences avec :
d:\windows\system32\ntoskrnl.exe
d:\windows\explorer.exe
d:\windows\system32\sfcfiles.dll
============
Tu refais tourner OTL et tu postes le rapport par un lien cijoint.
^^Marie^^
Messages postés
113926
Date d'inscription
mardi 6 septembre 2005
Statut
Membre
Dernière intervention
28 août 2020
3 276
17 juin 2009 à 18:45
17 juin 2009 à 18:45
Salut
Pou suivre
++
Pou suivre
++
Re, désolé du retard de cette réponse, mais mon OS a définitivement rendu l'âme. En fait internet plantait avant que je ne puisse finir les scans sur virustotal, ensuite les alertes d'antivir ont recommencé à spammer, avec de nouveaux venus à chaque fois etc... :/
Du coup, j'ai formaté mon disque système et j'ai tout réinstallé. Une fois la poussière retombée, j'ai mis à jour Avira, et fais un scan complet, plus rien à priori. Dans le détail j'ai deux petits disques durs, un "système" et un pour le stockage. J'ai effacé la partition du premier, que j'ai également formaté, et réinstallé windows dessus.
Pour le moment tout à l'air d'aller pour le mieux dans le meilleur des mondes mais, j'aimerais savoir par contre s'il y a une manip à réaliser pour être définitivement sûr que la tempête est derrière (scan et autres) ? Et aussi, vu que je suis loin d'être au fait sur les virus/worms/malewares/troyens etc. est ce qu'il y a d'autres mesures à prendre en réaction ? (Dans le doute, j'ai déjà changé mes mots de pass à l'aide d'un autre ordinateur, et ne me suis pas reconnecté avec l'ancien pour le moment. Parfois, ça aide d'être en pleine période de concours xD)
En tous cas merci beaucoup pour ton aide ! Je pourrai suivre ce topic sans problème à partir de maintenant :) Bonne journée à toi ! (à vous avec ^^Marie^^)
Du coup, j'ai formaté mon disque système et j'ai tout réinstallé. Une fois la poussière retombée, j'ai mis à jour Avira, et fais un scan complet, plus rien à priori. Dans le détail j'ai deux petits disques durs, un "système" et un pour le stockage. J'ai effacé la partition du premier, que j'ai également formaté, et réinstallé windows dessus.
Pour le moment tout à l'air d'aller pour le mieux dans le meilleur des mondes mais, j'aimerais savoir par contre s'il y a une manip à réaliser pour être définitivement sûr que la tempête est derrière (scan et autres) ? Et aussi, vu que je suis loin d'être au fait sur les virus/worms/malewares/troyens etc. est ce qu'il y a d'autres mesures à prendre en réaction ? (Dans le doute, j'ai déjà changé mes mots de pass à l'aide d'un autre ordinateur, et ne me suis pas reconnecté avec l'ancien pour le moment. Parfois, ça aide d'être en pleine période de concours xD)
En tous cas merci beaucoup pour ton aide ! Je pourrai suivre ce topic sans problème à partir de maintenant :) Bonne journée à toi ! (à vous avec ^^Marie^^)
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
22 juin 2009 à 12:14
22 juin 2009 à 12:14
Bonjour,
réexécute le post 1.
Ca va permettre de voir.
réexécute le post 1.
Ca va permettre de voir.
Forcément il suffisait que je le dise pour que ma ligne téléphone soit en dérangement >.<"
Bref, voilà le scan d'OTL
http://www.cijoint.fr/cjlink.php?file=cj200906/cijWnAvAMc.txt
Par contre il fait une erreur pendant la procédure, le nom de l'erreur est : "Access violation at address 00200069. Write of address 015AB270."
Donc je ne sais pas ce que ça vaut du coup :/
A part ça, Avira m'a refait une alerte, mais juste une, et plus rien depuis deux jours :)
Encore merci pour le coup de patte ! :)
Bref, voilà le scan d'OTL
http://www.cijoint.fr/cjlink.php?file=cj200906/cijWnAvAMc.txt
Par contre il fait une erreur pendant la procédure, le nom de l'erreur est : "Access violation at address 00200069. Write of address 015AB270."
Donc je ne sais pas ce que ça vaut du coup :/
A part ça, Avira m'a refait une alerte, mais juste une, et plus rien depuis deux jours :)
Encore merci pour le coup de patte ! :)