Cheval de troie Win32/Olmarik
Résolu/Fermé
arno83600
Messages postés
89
Date d'inscription
mardi 13 octobre 2009
Statut
Membre
Dernière intervention
6 mars 2012
-
13 oct. 2009 à 01:48
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 21 oct. 2009 à 20:24
Destrio5 Messages postés 85926 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 - 21 oct. 2009 à 20:24
A voir également:
- Cheval de troie Win32/Olmarik
- Cheval de troie virus download - Télécharger - Antivirus & Antimalwares
- Hacktool win32 autokms ✓ - Forum Virus / Sécurité
- Message cheval de troie ✓ - Forum Virus / Sécurité
- Supprimer cheval de troie windows defender - Forum Virus / Sécurité
- Mail menace cheval de troie ✓ - Forum Vos droits sur internet
88 réponses
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 oct. 2009 à 00:29
14 oct. 2009 à 00:29
ComboFix est sur ton Bureau ?
arno83600
Messages postés
89
Date d'inscription
mardi 13 octobre 2009
Statut
Membre
Dernière intervention
6 mars 2012
1
14 oct. 2009 à 00:30
14 oct. 2009 à 00:30
oui, pas sur le bureau, mais je l'ai
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 oct. 2009 à 00:35
14 oct. 2009 à 00:35
/!\ Seul arno83600 peut suivre cette procédure. /!\
1/
---> Ouvre le Bloc-notes.
---> Copie le texte ci-dessous par sélection puis Ctrl+C :
KillAll::
Driver::
isfrxjiatpxa
DMSKSSRh
Cmrfpinrsnu
PEVSystemStart
File::
C:\WINDOWS\system32\calc.dll
C:\DOCUME~1\Loulou\ntuser.dll
Folder::
C:\Program Files\RXToolBar
C:\Program Files\SpySpotter3
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSxmlHpr]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SemanticInsight]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySpotter]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySpotter System Defender]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Loulou^Menu Démarrer^Programmes^Démarrage^ChkDisk.dll]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Loulou^Menu Démarrer^Programmes^Démarrage^ChkDisk.lnk]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\drivers\svchost.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{01f35c08-c02b-11dc-b2ac-0015580574ed}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{11a7f2a2-5468-11de-b36a-0015580574ed}]
--> Colle la sélection dans le Bloc-notes.
--> Enregistre ce fichier sur le Bureau (Impératif).
--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.
2/
--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif
--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.
--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
--> Une fois le scan achevé, un rapport va s'afficher : poste-le.
--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt
1/
---> Ouvre le Bloc-notes.
---> Copie le texte ci-dessous par sélection puis Ctrl+C :
KillAll::
Driver::
isfrxjiatpxa
DMSKSSRh
Cmrfpinrsnu
PEVSystemStart
File::
C:\WINDOWS\system32\calc.dll
C:\DOCUME~1\Loulou\ntuser.dll
Folder::
C:\Program Files\RXToolBar
C:\Program Files\SpySpotter3
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSxmlHpr]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SemanticInsight]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySpotter]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpySpotter System Defender]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Loulou^Menu Démarrer^Programmes^Démarrage^ChkDisk.dll]
[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Loulou^Menu Démarrer^Programmes^Démarrage^ChkDisk.lnk]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\system32\drivers\svchost.exe"=-
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{01f35c08-c02b-11dc-b2ac-0015580574ed}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{11a7f2a2-5468-11de-b36a-0015580574ed}]
--> Colle la sélection dans le Bloc-notes.
--> Enregistre ce fichier sur le Bureau (Impératif).
--> Nom du fichier : CFScript
--> Type du fichier : tous les fichiers
--> Clique sur Enregistrer.
--> Quitte le Bloc-notes.
2/
--> Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :
http://www.searchengines.pl/phpbb203/pliki/picasso/virus/programs/combofix/combofix_cfscript.gif
--> Une fenêtre bleue va apparaître : au message qui apparaît, tu acceptes.
--> Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal !
Ne touche à rien tant que le scan n'est pas terminé.
--> Une fois le scan achevé, un rapport va s'afficher : poste-le.
--> Si le fichier ne s'ouvre pas, il se trouve ici C:\Combofix.txt
arno83600
Messages postés
89
Date d'inscription
mardi 13 octobre 2009
Statut
Membre
Dernière intervention
6 mars 2012
1
14 oct. 2009 à 00:46
14 oct. 2009 à 00:46
peux tu me redonner un lien pour combofix, il veut pas démarrer...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 oct. 2009 à 00:48
14 oct. 2009 à 00:48
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
arno83600
Messages postés
89
Date d'inscription
mardi 13 octobre 2009
Statut
Membre
Dernière intervention
6 mars 2012
1
14 oct. 2009 à 00:59
14 oct. 2009 à 00:59
quand je veux lancer combofix en suivant tes instructions à la lettre, j'ai un message qui apparait dans la barre en bas a droite de l'écran ( petit triangle jaune avec point d'exclamation ) qui dit : Le fichier ou le repertoire \Combofix\profiles.folder.dat est endommagé ou illisible. Exécuter l'utilitaire CHKDSK
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 oct. 2009 à 01:00
14 oct. 2009 à 01:00
--> Menu Démarrer > Exécuter > Tape combofix /u et valide.
--> Réexécute ComboFix.
--> Réexécute ComboFix.
arno83600
Messages postés
89
Date d'inscription
mardi 13 octobre 2009
Statut
Membre
Dernière intervention
6 mars 2012
1
14 oct. 2009 à 01:04
14 oct. 2009 à 01:04
même chose avec le message \Combofix\profiles.Folder.folder.dat
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 oct. 2009 à 01:05
14 oct. 2009 à 01:05
---> Télécharge ToolsCleaner2 sur ton Bureau.
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
* Double-clique sur ToolsCleaner2.exe pour le lancer.
* Clique sur Recherche et laisse le scan agir.
* Clique sur Suppression pour finaliser.
* Tu peux, si tu le souhaites, te servir des Options Facultatives.
* Clique sur Quitter pour obtenir le rapport.
* Poste le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur (C:\).
arno83600
Messages postés
89
Date d'inscription
mardi 13 octobre 2009
Statut
Membre
Dernière intervention
6 mars 2012
1
14 oct. 2009 à 01:10
14 oct. 2009 à 01:10
Voici le rapport Tcleaner :
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\OTM.exe: trouvé !
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\Ad-R.exe: trouvé !
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\catchme.exe: trouvé !
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\Rsit.exe: trouvé !
C:\Documents and Settings\Loulou\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Loulou\Recent\HijackThis.lnk: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
---------------------------------
--> Suppression:
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\OTM.exe: supprimé !
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\Ad-R.exe: supprimé !
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\catchme.exe: supprimé !
C:\Documents and Settings\Loulou\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Loulou\Recent\HijackThis.lnk: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\Rsit.exe: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Combofix: ERREUR DE SUPPRESSION !!
C:\Qoobox: supprimé !
C:\_OTM: ERREUR DE SUPPRESSION !!
C:\Rsit: supprimé !
Fichiers temporaires nettoyés !
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\Combofix: trouvé !
C:\Qoobox: trouvé !
C:\_OTM: trouvé !
C:\Rsit: trouvé !
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\OTM.exe: trouvé !
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\Ad-R.exe: trouvé !
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\catchme.exe: trouvé !
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\Rsit.exe: trouvé !
C:\Documents and Settings\Loulou\Bureau\ComboFix.exe: trouvé !
C:\Documents and Settings\Loulou\Recent\HijackThis.lnk: trouvé !
C:\Program Files\trend micro\HijackThis.exe: trouvé !
C:\Program Files\trend micro\hijackthis.log: trouvé !
C:\Qoobox\Quarantine\catchme.log: trouvé !
---------------------------------
--> Suppression:
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\OTM.exe: supprimé !
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\Ad-R.exe: supprimé !
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\catchme.exe: supprimé !
C:\Documents and Settings\Loulou\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Documents and Settings\Loulou\Recent\HijackThis.lnk: supprimé !
C:\Program Files\trend micro\HijackThis.exe: supprimé !
C:\Documents and Settings\Loulou\Mes documents\Mes fichiers reçus\Rsit.exe: supprimé !
C:\Program Files\trend micro\hijackthis.log: supprimé !
C:\Qoobox\Quarantine\catchme.log: supprimé !
C:\Combofix: ERREUR DE SUPPRESSION !!
C:\Qoobox: supprimé !
C:\_OTM: ERREUR DE SUPPRESSION !!
C:\Rsit: supprimé !
Fichiers temporaires nettoyés !
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 oct. 2009 à 01:11
14 oct. 2009 à 01:11
Redémarre ton PC et recommence.
arno83600
Messages postés
89
Date d'inscription
mardi 13 octobre 2009
Statut
Membre
Dernière intervention
6 mars 2012
1
14 oct. 2009 à 01:12
14 oct. 2009 à 01:12
je recommence quoi? Combofix ou toolscleaner?
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 oct. 2009 à 01:12
14 oct. 2009 à 01:12
ToolsCleaner.
arno83600
Messages postés
89
Date d'inscription
mardi 13 octobre 2009
Statut
Membre
Dernière intervention
6 mars 2012
1
14 oct. 2009 à 01:19
14 oct. 2009 à 01:19
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\Combofix: trouvé !
C:\_OTM: trouvé !
C:\Documents and Settings\Loulou\Bureau\ComboFix.exe: trouvé !
---------------------------------
--> Suppression:
C:\Documents and Settings\Loulou\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Combofix: ERREUR DE SUPPRESSION !!
C:\_OTM: ERREUR DE SUPPRESSION !!
--> Recherche:
C:\Combofix: trouvé !
C:\_OTM: trouvé !
C:\Documents and Settings\Loulou\Bureau\ComboFix.exe: trouvé !
---------------------------------
--> Suppression:
C:\Documents and Settings\Loulou\Bureau\ComboFix.exe: ERREUR DE SUPPRESSION !!
C:\Combofix: ERREUR DE SUPPRESSION !!
C:\_OTM: ERREUR DE SUPPRESSION !!
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 oct. 2009 à 01:25
14 oct. 2009 à 01:25
Ok...
Peux-tu faire la manip' en mode sans échec ?
Peux-tu faire la manip' en mode sans échec ?
arno83600
Messages postés
89
Date d'inscription
mardi 13 octobre 2009
Statut
Membre
Dernière intervention
6 mars 2012
1
14 oct. 2009 à 01:34
14 oct. 2009 à 01:34
impossible de démarrer en mode sans échec.... quand je lui demande, il redémarre en boucle...
arno83600
Messages postés
89
Date d'inscription
mardi 13 octobre 2009
Statut
Membre
Dernière intervention
6 mars 2012
1
14 oct. 2009 à 01:49
14 oct. 2009 à 01:49
j'ai, par miracle, réussi à lancer combofix avec le bloc notes CFScript. L'ordi a redémarré 2 fois tout seul, et puis et rvenu en mode normal. par contre je ne trouve pas de rapport combofix, c'est normal?
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 oct. 2009 à 01:52
14 oct. 2009 à 01:52
--> Refais un scan RSIT et poste le rapport log.
arno83600
Messages postés
89
Date d'inscription
mardi 13 octobre 2009
Statut
Membre
Dernière intervention
6 mars 2012
1
14 oct. 2009 à 01:55
14 oct. 2009 à 01:55
redonne lien rsit, svp
Destrio5
Messages postés
85926
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 297
14 oct. 2009 à 01:56
14 oct. 2009 à 01:56