Pb virus...
Résolu/Fermé
olpm
Messages postés
17
Date d'inscription
mercredi 7 février 2007
Statut
Membre
Dernière intervention
20 juin 2010
-
17 juin 2010 à 18:05
Utilisateur anonyme - 24 juin 2012 à 11:18
Utilisateur anonyme - 24 juin 2012 à 11:18
A voir également:
- Pb virus...
- Youtu.be virus - Accueil - Guide virus
- Svchost.exe virus - Guide
- Faux message virus ordinateur - Accueil - Arnaque
- Faux message virus iphone - Forum iPhone
- Softonic virus ✓ - Forum Virus
9 réponses
fred08700
Messages postés
3389
Date d'inscription
lundi 19 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
9 février 2014
550
17 juin 2010 à 18:11
17 juin 2010 à 18:11
salut
Télécharger rkill depuis l'un des liens ci-dessous:
http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe
* Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.
Une bref fenêtre noire indiquera que l'installation s'est bien déroulée
N.B: ne pas redémarrer le pc après avoir fait Rkil sans quoi l'infection pourrait se réactiver et passer à malwarebyte
puis
● Télécharges Malwarebytes
● Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
● Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
● Lance une analyse complète en cliquant sur "Exécuter un examen complet"
● Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
● L'analyse peut durer un bon moment.....
● Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
● Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
● Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
● Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.
MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.
Télécharger rkill depuis l'un des liens ci-dessous:
http://download.bleepingcomputer.com/grinler/rkill.pif
https://download.bleepingcomputer.com/grinler/rkill.scr
https://download.bleepingcomputer.com/grinler/rkill.com
https://download.bleepingcomputer.com/grinler/rkill.exe
* Si vous avez un message qui signale que Rkill est un indésirable, ignorez la et lancez de nouveau Rkill après désactivation du logiciel le considérant comme néfaste.
Une bref fenêtre noire indiquera que l'installation s'est bien déroulée
N.B: ne pas redémarrer le pc après avoir fait Rkil sans quoi l'infection pourrait se réactiver et passer à malwarebyte
puis
● Télécharges Malwarebytes
● Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
● Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
● Lance une analyse complète en cliquant sur "Exécuter un examen complet"
● Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen"
● L'analyse peut durer un bon moment.....
● Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats"
● Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
● Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
● Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée
Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections.
MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.
fred08700
Messages postés
3389
Date d'inscription
lundi 19 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
9 février 2014
550
18 juin 2010 à 14:12
18 juin 2010 à 14:12
salut
rapport malwarebytes ==> No action taken
Donc , tu n'a pas fait ceci : ? Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
Recommences rkill et malwarebytes
et poste le rapport
ensuite , et seulement après le scan malwrebytes , fais ceci:
● Télécharges ZHPDiag ( de Nicolas coolman ).
● Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )
● Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau
● Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.
● Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.
● Rends toi sur www.cjoint.com
● Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "
● Séléctionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau
● Cliques ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
rapport malwarebytes ==> No action taken
Donc , tu n'a pas fait ceci : ? Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK"
Recommences rkill et malwarebytes
et poste le rapport
ensuite , et seulement après le scan malwrebytes , fais ceci:
● Télécharges ZHPDiag ( de Nicolas coolman ).
● Double clique sur le fichier d'installation, puis installes le avec les paramètres par défaut ( N'oublies pas de cocher " Créer une icône sur le bureau " )
● Lances ZHPDiag en double cliquant sur l'icône présente sur ton bureau
● Cliques sur la loupe en haut à gauche, puis laisse l'outil scanner.
● Une fois le scan terminé, cliques sur l'icône en forme de disquette et enregistres le fichier sur ton bureau.
● Rends toi sur www.cjoint.com
● Cliques sur " Parcourir " dans la partie " Joindre un fichier[...] "
● Séléctionnes le rapport ZHPdiag.txt qui se trouve sur ton bureau
● Cliques ensuite sur " Créer le lien cjoint " et copie/colle le dans ton prochain message
olpm
Messages postés
17
Date d'inscription
mercredi 7 février 2007
Statut
Membre
Dernière intervention
20 juin 2010
18 juin 2010 à 22:56
18 juin 2010 à 22:56
Bonjour,
Merci pour ces précisions.
- J'ai fait ce que tu m'a dits : j'ai relancé rkill et un scan avec malwarebytes -> j'ai supprimé ce qui a été trouvé. J'ai refait un scan -> il n'y a rien de détecté
- j'ai téléchargé et lancé ZHPDiag. J'ai voulu envoyé le rapport à www.cijoint.fr mais je n'y suis pas arrivé : « connexion perdue » à chaque tentative. Il doit y avoir un pb sur le site...Si tu veux je peux te l'envoyer par mail ou bien poster le contenu ici mais il y en a toute une tartine...
Encore merci pour ton aide
Merci pour ces précisions.
- J'ai fait ce que tu m'a dits : j'ai relancé rkill et un scan avec malwarebytes -> j'ai supprimé ce qui a été trouvé. J'ai refait un scan -> il n'y a rien de détecté
- j'ai téléchargé et lancé ZHPDiag. J'ai voulu envoyé le rapport à www.cijoint.fr mais je n'y suis pas arrivé : « connexion perdue » à chaque tentative. Il doit y avoir un pb sur le site...Si tu veux je peux te l'envoyer par mail ou bien poster le contenu ici mais il y en a toute une tartine...
Encore merci pour ton aide
fred08700
Messages postés
3389
Date d'inscription
lundi 19 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
9 février 2014
550
19 juin 2010 à 08:59
19 juin 2010 à 08:59
salut
recommences , le site ci-joint est parfois surchargé -)
recommences , le site ci-joint est parfois surchargé -)
olpm
Messages postés
17
Date d'inscription
mercredi 7 février 2007
Statut
Membre
Dernière intervention
20 juin 2010
19 juin 2010 à 09:48
19 juin 2010 à 09:48
je viens de tester à nouveau : toujours pareil. je tenterai à nouveau ce soir après le boulot
olpm
Messages postés
17
Date d'inscription
mercredi 7 février 2007
Statut
Membre
Dernière intervention
20 juin 2010
19 juin 2010 à 20:02
19 juin 2010 à 20:02
bonsoir
je viens d'utiliser le site que tu m'as indiqué. voici le lien qui a été créé : http://ww38.toofiles.com/fr/oip/documents/txt/zhpdiag.html
je viens d'utiliser le site que tu m'as indiqué. voici le lien qui a été créé : http://ww38.toofiles.com/fr/oip/documents/txt/zhpdiag.html
Utilisateur anonyme
19 juin 2010 à 22:32
19 juin 2010 à 22:32
juste pour avancer fred08700 :-)
tu as un rootkit tdss, très difficile à virer !!!
/!\enregistre seulement tes données sur un autre support que ton disque dure !
télecharge combofix sur ton bureau sans le lancer, change son nom en l'enregistrant sur ton bureau .
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\INSTALLES LA CONSOLE DE RECUPERATION
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
tu as un rootkit tdss, très difficile à virer !!!
/!\enregistre seulement tes données sur un autre support que ton disque dure !
télecharge combofix sur ton bureau sans le lancer, change son nom en l'enregistrant sur ton bureau .
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
ou ici :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
A lire
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
Avant d'utiliser ComboFix :
► Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.
► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
Une fois fait, sur ton bureau double-clic sur Combofix.exe.
- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.
/!\INSTALLES LA CONSOLE DE RECUPERATION
/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
fred08700
Messages postés
3389
Date d'inscription
lundi 19 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
9 février 2014
550
Modifié par fred08700 le 20/06/2010 à 10:32
Modifié par fred08700 le 20/06/2010 à 10:32
Salut OLPM et Electricien69
Désolé pour le temps de réponse , j'étais de mariage (et encore aujourd'hui)
Electricien69 Merci pour le coup de main -)
Peux-tu m'indiquer la ligne où se trouve le rootkit tdss . Serais-ce en ligne 081 ?
Merci et à demain -)
Désolé pour le temps de réponse , j'étais de mariage (et encore aujourd'hui)
Electricien69 Merci pour le coup de main -)
Peux-tu m'indiquer la ligne où se trouve le rootkit tdss . Serais-ce en ligne 081 ?
Merci et à demain -)
salut,
elles sont là :
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
il y a d'autres infections, mais la plus grosse est la TDSS, je ne sais pas si combofix peut faire face, mais au pire TDSSKILLER fera l'affaire ou combo rénomé en MSE :-)
@++
elles sont là :
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
il y a d'autres infections, mais la plus grosse est la TDSS, je ne sais pas si combofix peut faire face, mais au pire TDSSKILLER fera l'affaire ou combo rénomé en MSE :-)
@++
olpm
Messages postés
17
Date d'inscription
mercredi 7 février 2007
Statut
Membre
Dernière intervention
20 juin 2010
20 juin 2010 à 12:29
20 juin 2010 à 12:29
je viens de faire la procédure de Electricien69 : conbofix m'a indiqué que la protection en temps reel de McAffee (mon ancien anti-virus) était encore active... j'ai essayé de voir où il pouvait bien être (processus, programmes...) mais je n'ai rien trouvé.
j'ai tout de meme lancé l'analyse de combofix. voici le lien vers le fichier : http://ww38.toofiles.com/fr/oip/documents/txt/444_log.html
@+
j'ai tout de meme lancé l'analyse de combofix. voici le lien vers le fichier : http://ww38.toofiles.com/fr/oip/documents/txt/444_log.html
@+
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
Modifié par Electricien 69 le 20/06/2010 à 12:51
Modifié par Electricien 69 le 20/06/2010 à 12:51
vu que notre ami est au mariage, je l'avance :-)
attention, tu as deux antivirus sur ton pc :
bitedefender et Macafee,
il faut en conserver un sur ton pc, sans quoi, tu crées un confli logiciel sur ton pc,
redemarre ton pc si Combofix ne l'a pas déjà fait.
lance MBAM, tu l'as déjà sur ton pc,
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, redémarre ton pc !!!
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
puis, dans la foulée, repasse un autre zhpdig, dépose le rapport sur cijoint ou toofiles, colle le lien fourni sur ton prochain message
attention, tu as deux antivirus sur ton pc :
bitedefender et Macafee,
il faut en conserver un sur ton pc, sans quoi, tu crées un confli logiciel sur ton pc,
redemarre ton pc si Combofix ne l'a pas déjà fait.
lance MBAM, tu l'as déjà sur ton pc,
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre.
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
. rends toi dans l'onglet rapport/log
. tu cliques dessus pour l'afficher une fois affiché
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. Tu cliques droit dans le cadre de la réponse et coller
. À la fin du scan, redémarre ton pc !!!
Si tu as besoin d'aide regarde ce tutoriel :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
puis, dans la foulée, repasse un autre zhpdig, dépose le rapport sur cijoint ou toofiles, colle le lien fourni sur ton prochain message
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
20 juin 2010 à 13:16
20 juin 2010 à 13:16
Bonjour,
Juste pour suivre l'évolution.
Bonne chance
Juste pour suivre l'évolution.
Bonne chance
olpm
Messages postés
17
Date d'inscription
mercredi 7 février 2007
Statut
Membre
Dernière intervention
20 juin 2010
20 juin 2010 à 16:33
20 juin 2010 à 16:33
J'ai pu supprimer les restes de mcafee grâce à MCPR que j'ai trouvé sur le forum
voici le résultat de l'analyse avec malwarebytes :
http://ww38.toofiles.com/fr/oip/documents/txt/mbam-log-2010-06-2013-52-33.html
puis de zhpdiag :
http://ww38.toofiles.com/fr/oip/documents/txt/8779_zhpdiag.html
@+
voici le résultat de l'analyse avec malwarebytes :
http://ww38.toofiles.com/fr/oip/documents/txt/mbam-log-2010-06-2013-52-33.html
puis de zhpdiag :
http://ww38.toofiles.com/fr/oip/documents/txt/8779_zhpdiag.html
@+
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
Modifié par juju666 le 20/06/2010 à 19:35
Modifié par juju666 le 20/06/2010 à 19:35
Hello,
Pour avancer mon Jedi ;)
Le rootkit est toujours présent: [MD5.27949CCD505A6BE082D15547B1DFF90D] - (.Pas de propriétaire - DOT MFC Application.) -- C:\WINDOWS\system32\winsys2.exe [208896]
Tu as une clé que tu peux fixer avec ZHPFix: [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
Il existe encore:
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} . (.Sun Microsystems, Inc. - Java(TM) Quick Starter binary.) -- C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WinSys2] . (.Pas de propriétaire - DOT MFC Application.) -- C:\WINDOWS\system32\winsys2.exe
O8 - Extra context menu item: Translate with Babylon - (.not file.) - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O56 - MWPE:[HKCU\...\Policies\Explorer] - "NoDriveTypeAutoRun"=323
O56 - MWPE:[HKCU\...\Policies\Explorer] - "NoDriveAutoRun"=67108863
O64 - Services: CurCS - (.not file.) - 08b00b11 (08b00b11) .(.Pas de propriétaire - Pas de description.) - LEGACY_08B00B11 ?????
---\\ Internet Feature Controls (O81)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
Malheureusement je ne peux pas te dire de lancer tel ou tel outil car je suis en formation
A++
Pour avancer mon Jedi ;)
Le rootkit est toujours présent: [MD5.27949CCD505A6BE082D15547B1DFF90D] - (.Pas de propriétaire - DOT MFC Application.) -- C:\WINDOWS\system32\winsys2.exe [208896]
Tu as une clé que tu peux fixer avec ZHPFix: [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
Il existe encore:
O2 - BHO: Babylon IE plugin - {9CFACCB6-2F3F-4177-94EA-0D2B72D384C1} . (.Pas de propriétaire - Pas de description.) -- (.not file.)
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} . (.Sun Microsystems, Inc. - Java(TM) Quick Starter binary.) -- C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [WinSys2] . (.Pas de propriétaire - DOT MFC Application.) -- C:\WINDOWS\system32\winsys2.exe
O8 - Extra context menu item: Translate with Babylon - (.not file.) - C:\Program Files\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll
O56 - MWPE:[HKCU\...\Policies\Explorer] - "NoDriveTypeAutoRun"=323
O56 - MWPE:[HKCU\...\Policies\Explorer] - "NoDriveAutoRun"=67108863
O64 - Services: CurCS - (.not file.) - 08b00b11 (08b00b11) .(.Pas de propriétaire - Pas de description.) - LEGACY_08B00B11 ?????
---\\ Internet Feature Controls (O81)
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
Malheureusement je ne peux pas te dire de lancer tel ou tel outil car je suis en formation
A++
Utilisateur anonyme
20 juin 2010 à 19:51
20 juin 2010 à 19:51
Télécharge GMER sur ton bureau :
http://www2.gmer.net/gmer.zip
* Dézipper le programme.
* Double cliquer sur Gmer.exe
(il s'agit de l'onglet : Rootkit/Malware).
=> Des lignes rouges doivent apparaître en cas d'infection :
* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files
Tuto : https://www.malekal.com/tutorial-gmer/
http://www2.gmer.net/gmer.zip
* Dézipper le programme.
* Double cliquer sur Gmer.exe
(il s'agit de l'onglet : Rootkit/Malware).
=> Des lignes rouges doivent apparaître en cas d'infection :
* sur ces lignes rouges:
o Services: Clique droit puis delete service
o Process: Clique droit puis kill process
o Adl, file: Clique droit puis delete files
Tuto : https://www.malekal.com/tutorial-gmer/
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
20 juin 2010 à 20:38
20 juin 2010 à 20:38
Alors Jedi j'ai bien fait mon boulot d'analyste? ^^
Utilisateur anonyme
Modifié par Electricien 69 le 20/06/2010 à 21:13
Modifié par Electricien 69 le 20/06/2010 à 21:13
il y a une infection usb, en plus de rootkit !
on vire d'abord le rootkit, car le dropper a été viré par MBAM en début de poste
:-)
pour le reste, GMER nous en dira d'avantage :-)
jusqu'au retours de Fred08700
on vire d'abord le rootkit, car le dropper a été viré par MBAM en début de poste
:-)
pour le reste, GMER nous en dira d'avantage :-)
jusqu'au retours de Fred08700
fred08700
Messages postés
3389
Date d'inscription
lundi 19 janvier 2009
Statut
Contributeur sécurité
Dernière intervention
9 février 2014
550
Modifié par fred08700 le 21/06/2010 à 11:40
Modifié par fred08700 le 21/06/2010 à 11:40
bonjour , bonjour
Je suis la et je n'ai pas la tête qui tourne -)
Je vois que ça avance et je t'en remercie Electricien69.
en effet , il y a d'autres infections : Usb , conduit , TryMedia , des lignes à fixer...
En attendant le rapport Gmer . Encore merci
Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès.
[Pierre de Coubertin]
Je suis la et je n'ai pas la tête qui tourne -)
Je vois que ça avance et je t'en remercie Electricien69.
en effet , il y a d'autres infections : Usb , conduit , TryMedia , des lignes à fixer...
En attendant le rapport Gmer . Encore merci
Chaque difficulté rencontrée doit être l'occasion d'un nouveau progrès.
[Pierre de Coubertin]
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 796
24 juin 2012 à 10:29
24 juin 2012 à 10:29
On attend le rapport GMER :D
18 juin 2010 à 11:30
je viens de terminer la procédure que tu m'a indiquée. visiblement il y aurait 2 éléments infectés...
voici le rapport :
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Version de la base de données: 4211
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702
18/06/2010 11:23:00
mbam-log-2010-06-18 (11-23-00).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 199954
Temps écoulé: 40 minute(s), 52 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\gotnewupdate000.exe (Rogue.Agent) -> No action taken.
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
C:\Documents and Settings\BigBoss\Local Settings\Temp\e.exe (Trojan.Dropper) -> No action taken.