Divers trojans et vers
Fermé
Moulbit59mdr
Messages postés
87
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
11 juin 2014
-
19 juin 2010 à 12:28
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 - 20 juin 2010 à 19:55
ep44 Messages postés 7393 Date d'inscription samedi 10 novembre 2007 Statut Contributeur Dernière intervention 11 novembre 2010 - 20 juin 2010 à 19:55
A voir également:
- Divers trojans et vers
- Windows 7 vers windows 10 - Guide
- Transferer photo android vers pc - Guide
- Qwerty vers azerty - Guide
- Vers quelle adresse web renvoie ce lien - Guide
- Cloner disque dur vers ssd - Guide
13 réponses
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
19 juin 2010 à 12:30
19 juin 2010 à 12:30
Bonjour,
ok alors commence par suivre les instructions suivantes :
◊◊◊ Télécharge OTL sur ton Bureau. ◊◊◊
♦ Double-clique sur l'icône pour le lancer. Assure toi que toutes les autres fenêtres de Windows soient fermées et de le laisser travailler.
♦ Lorsque la fenêtre apparaît, cochez Rapport minimal sous Rapport en haut de la fenêtre.
♦ Coche les cases Recherche Lop et Recherche purity. en bas de la fenêtre:
♦ Sous la zone Personnalisation, copie/colle ceci :
♦Clique sur le bouton Analyse. Ne chance aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
♦ Une fois l'analyse terminée, cela ouvrira deux fenêtres du Bloc-notes Windows : OTL.txt et Extras.txt. Ils sont sauvegardés au même endroit que OtL.
♦ Copie/colle (Éditer -> Sélectionner Tout, Éditer -> Copier) le contenu des deux fichiers ici, un par message stp.
Utiliser http://www.cijoint.fr/index.php pour poster les rapports.
Merci
ok alors commence par suivre les instructions suivantes :
◊◊◊ Télécharge OTL sur ton Bureau. ◊◊◊
♦ Double-clique sur l'icône pour le lancer. Assure toi que toutes les autres fenêtres de Windows soient fermées et de le laisser travailler.
♦ Lorsque la fenêtre apparaît, cochez Rapport minimal sous Rapport en haut de la fenêtre.
♦ Coche les cases Recherche Lop et Recherche purity. en bas de la fenêtre:
♦ Sous la zone Personnalisation, copie/colle ceci :
netsvcs %SYSTEMDRIVE%\*.exe /md5start eventlog.dll scecli.dll netlogon.dll cngaudit.dll sceclt.dll ntelogon.dll logevent.dll iaStor.sys nvstor.sys atapi.sys cdrom.sys IdeChnDr.sys viasraid.sys AGP440.sys vaxscsi.sys nvatabus.sys viamraid.sys nvata.sys nvgts.sys iastorv.sys ViPrt.sys eNetHook.dll ahcix86.sys KR10N.sys nvstor32.sys ahcix86s.sys /md5stop %systemroot%\*. /mp /s CREATERESTOREPOINT
♦Clique sur le bouton Analyse. Ne chance aucun paramètre si on ne te l'a pas demandé. L'analyse prendra peu de temps.
♦ Une fois l'analyse terminée, cela ouvrira deux fenêtres du Bloc-notes Windows : OTL.txt et Extras.txt. Ils sont sauvegardés au même endroit que OtL.
♦ Copie/colle (Éditer -> Sélectionner Tout, Éditer -> Copier) le contenu des deux fichiers ici, un par message stp.
Utiliser http://www.cijoint.fr/index.php pour poster les rapports.
Merci
Moulbit59mdr
Messages postés
87
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
11 juin 2014
13
19 juin 2010 à 14:31
19 juin 2010 à 14:31
Bonjour, et merci de m'aider voici le 1er lien, qui correspond à OTL.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijYR2lHoc.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijYR2lHoc.txt
Moulbit59mdr
Messages postés
87
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
11 juin 2014
13
19 juin 2010 à 14:32
19 juin 2010 à 14:32
Voici le 2e lien qui correspond à Extras.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijNJogKFg.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijNJogKFg.txt
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
19 juin 2010 à 14:44
19 juin 2010 à 14:44
Bonjour,
Rien d'infectieux sur tes rapports par contre il te faut désinstaller
Regarde ici
http://forum.zebulon.fr/findpost-t119393-p967356.html
Ensuite on peux faire un deuxième scan pour confirmer le premier
◊◊◊ Télécharge ZHPDiag de Nicolas Coolman◊◊◊
♦ Sauvegarde-le sur le Bureau.
♦ Double-clique sur ZHPDiag.exe afin de lancer ZHPDiag.
♦ Coche toutes les options et clique sur le bouton Lancer le diagnostic.
♦ Lorsque l'analyse sera terminée, un fichier au format texte s'affiche dans la zone résultat de droite.
♦ Clique sur le bouton Sauvegarder le fichier sous et valide ZHPDiag.Txt, si tu souhaites le conserver.
♦ Copie le résultat dans le Presse-Papier de Windows.
♦ Colle le résultat dans le forum avec ta prochaine réponse.
Utiliser http://www.cijoint.fr/index.php pour poster les rapports.
Merci
Rien d'infectieux sur tes rapports par contre il te faut désinstaller
Regarde ici
http://forum.zebulon.fr/findpost-t119393-p967356.html
Ensuite on peux faire un deuxième scan pour confirmer le premier
◊◊◊ Télécharge ZHPDiag de Nicolas Coolman◊◊◊
♦ Sauvegarde-le sur le Bureau.
♦ Double-clique sur ZHPDiag.exe afin de lancer ZHPDiag.
♦ Coche toutes les options et clique sur le bouton Lancer le diagnostic.
♦ Lorsque l'analyse sera terminée, un fichier au format texte s'affiche dans la zone résultat de droite.
♦ Clique sur le bouton Sauvegarder le fichier sous et valide ZHPDiag.Txt, si tu souhaites le conserver.
♦ Copie le résultat dans le Presse-Papier de Windows.
♦ Colle le résultat dans le forum avec ta prochaine réponse.
Utiliser http://www.cijoint.fr/index.php pour poster les rapports.
Merci
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Moulbit59mdr
Messages postés
87
Date d'inscription
lundi 14 avril 2008
Statut
Membre
Dernière intervention
11 juin 2014
13
19 juin 2010 à 15:04
19 juin 2010 à 15:04
Voici le rapport dfe ZHPDiag
http://www.cijoint.fr/cjlink.php?file=cj201006/cijxWh4D25.txt
S'il n'y avait rien d'infectieux c'est peut etre parce qu'avant d'utiliser OTL j'avais déja fait des scans avec ZHP et Antimalware...?
Pour etrust je m'en occuperai un peu plus tard. Bien vu, j'avais eu des problèmes à l'enlever :D
http://www.cijoint.fr/cjlink.php?file=cj201006/cijxWh4D25.txt
S'il n'y avait rien d'infectieux c'est peut etre parce qu'avant d'utiliser OTL j'avais déja fait des scans avec ZHP et Antimalware...?
Pour etrust je m'en occuperai un peu plus tard. Bien vu, j'avais eu des problèmes à l'enlever :D
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
19 juin 2010 à 16:25
19 juin 2010 à 16:25
Rien d'infectieux sur ton PC.
Par contre un peu de ménage à faire
Utilise ces logiciels qui vont t'aider à faire un mettre un coup de balai.
◊◊◊ Télécharge TFC par OldTimersur ton Bureau ◊◊◊
♦ Fait un double clic sur TFC.exe pour le lancer. (Note: Si vous êtes sous Vista, faites un clic droit sur le fichier et choisissez "Exécuter en tant qu'Administrateur").
♦ L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
♦ Clique sur le bouton Start pour lancer le processus.
♦ Selon la fréquence à laquelle tu supprime tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
♦ Lorsqu'il a terminé, l'outil devrait faire redémarrer le système. S'il ne le fait pas, il faut faire redémarrer manuellement le PC toi-même pour terminer le nettoyage.
Puis
◊◊◊ Télécharge Ccleaner ◊◊◊
♦ Aide toi de ce tuto pour l'utiliser
http://www.swl1f.net/viewtopic.php?f=14&t=69
Malwarebytes pour contrôle.
◊◊◊ Télécharge Malwarebytes ◊◊◊
Une aide pour l'installation
http://www.swl1f.net/viewtopic.php?f=14&t=68
♦ Installe le
♦ Lance malwarebytes
♦ Clique pour commencer sur Mise à jour et ensuite sur Rechercher des mises à jour
♦ Coche "Exécuter un examen complet"
♦ Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
♦ Clique sur Supprimer la sélection
♦ Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
♦ Fait copier coller et poste le rapport
Utiliser http://www.cijoint.fr/index.php pour poster les rapports.
Merci
Pense aussi à faire une défragmentation.
Par contre un peu de ménage à faire
Utilise ces logiciels qui vont t'aider à faire un mettre un coup de balai.
◊◊◊ Télécharge TFC par OldTimersur ton Bureau ◊◊◊
♦ Fait un double clic sur TFC.exe pour le lancer. (Note: Si vous êtes sous Vista, faites un clic droit sur le fichier et choisissez "Exécuter en tant qu'Administrateur").
♦ L'outil va fermer tous les programmes lors de son exécution, donc vérifie que tu as sauvegardé tout ton travail en cours avant de commencer.
♦ Clique sur le bouton Start pour lancer le processus.
♦ Selon la fréquence à laquelle tu supprime tes fichiers temporaires, cela peut durer de quelques secondes à une minute ou deux. Laisse le programme s'exécuter sans l'interrompre.
♦ Lorsqu'il a terminé, l'outil devrait faire redémarrer le système. S'il ne le fait pas, il faut faire redémarrer manuellement le PC toi-même pour terminer le nettoyage.
Puis
◊◊◊ Télécharge Ccleaner ◊◊◊
♦ Aide toi de ce tuto pour l'utiliser
http://www.swl1f.net/viewtopic.php?f=14&t=69
Malwarebytes pour contrôle.
◊◊◊ Télécharge Malwarebytes ◊◊◊
Une aide pour l'installation
http://www.swl1f.net/viewtopic.php?f=14&t=68
♦ Installe le
♦ Lance malwarebytes
♦ Clique pour commencer sur Mise à jour et ensuite sur Rechercher des mises à jour
♦ Coche "Exécuter un examen complet"
♦ Si tu es en présence d'une infection à la fin de l'examen clique sur "ok"
♦ Clique sur Supprimer la sélection
♦ Pour poster le rapport Clique sur l'onglet Rapports/Logs, sélectionne celui t'intéresse et clique sur Ouvrir
♦ Fait copier coller et poste le rapport
Utiliser http://www.cijoint.fr/index.php pour poster les rapports.
Merci
Pense aussi à faire une défragmentation.
je vais faire tout ce que tu as écris juste avant, mais là patr exemple j'ai un message d'AVG qui me dit qu'une menace a été bloquée.
Nom du fichier : 1.xiaozai619.2288.org/vipvip/AHHS3.js
Le nom de la menace est : Exploit IE 6&7 0-day exploit (type 332)
Nom du processus : C:\WINDOWS\system32\399C13\F79955.exe
ID du processus: 3284
Cela a t il un sens pour toi?
NB: Depuis que j'ai ces problèmes de "menace", de temps en temps une fenetre IE s'ouvre avec des pages de jeux chinois...
Et aussi un autre symptome : une fenetre s'ouvre pour me dire qu'il y a une erreur dans l'execution du script de la page IE.
et dans les infos qu'il donne il y a URL : http://1.xiaozai619.2288.org etc
voilà tu sais tout ^^ c'est pour cela que je pense à un virus
Nom du fichier : 1.xiaozai619.2288.org/vipvip/AHHS3.js
Le nom de la menace est : Exploit IE 6&7 0-day exploit (type 332)
Nom du processus : C:\WINDOWS\system32\399C13\F79955.exe
ID du processus: 3284
Cela a t il un sens pour toi?
NB: Depuis que j'ai ces problèmes de "menace", de temps en temps une fenetre IE s'ouvre avec des pages de jeux chinois...
Et aussi un autre symptome : une fenetre s'ouvre pour me dire qu'il y a une erreur dans l'execution du script de la page IE.
et dans les infos qu'il donne il y a URL : http://1.xiaozai619.2288.org etc
voilà tu sais tout ^^ c'est pour cela que je pense à un virus
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
19 juin 2010 à 21:36
19 juin 2010 à 21:36
Fait le scan avec Malwarebytes et tiens moi au courant.
Pour ce dossier 399C13 je pense que tu peux le virer, il serait sage de la mettre dans la quarantaine de ton Antivirus et de voir.
Pour ce dossier 399C13 je pense que tu peux le virer, il serait sage de la mettre dans la quarantaine de ton Antivirus et de voir.
Voici le résultat du scan avec malebytemalware
http://www.cijoint.fr/cjlink.php?file=cj201006/cij1MGVOmr.txt
il a trouvé 23 objets infectés.
http://www.cijoint.fr/cjlink.php?file=cj201006/cij1MGVOmr.txt
il a trouvé 23 objets infectés.
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
20 juin 2010 à 15:14
20 juin 2010 à 15:14
très bien,
peux tu faire ce qui suit stp
◊ ◊ ◊ Télécharge Combofix depuis l'un des liens ci-dessous: ◊ ◊ ◊
Lien 1
Lien 2
♦ IMPORTANT !!! Enregistre ComboFix.exe sur ton Bureau
♦ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils
♦ Fait un double clic sur combofix.exe et suit les invites.
♦ Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur ton PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage.
♦ Suit les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.
◊ ◊ Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.
♦ Une fois fait clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.
♦ Lorsque l'outil aura terminé, il affichera un rapport, copie le contenu de C:\ComboFix.txt dans votre prochaine réponse.
peux tu faire ce qui suit stp
◊ ◊ ◊ Télécharge Combofix depuis l'un des liens ci-dessous: ◊ ◊ ◊
Lien 1
Lien 2
♦ IMPORTANT !!! Enregistre ComboFix.exe sur ton Bureau
♦ Désactive tes applications antivirus et anti-spyware, en général via un clic droit sur l'icône de la Zone de notification. Sinon, elles risquent d'interférer avec nos outils
♦ Fait un double clic sur combofix.exe et suit les invites.
♦ Lors de son exécution, ComboFix va vérifier si la Console de récupération Microsoft Windows est installée. Avec des infections comme celles d'aujourd'hui, il est fortement conseillé de l'avoir pré-installée sur ton PC avant toute suppression de nuisibles. Elle te permettra de démarrer dans un mode spécial, de récupération (réparation), qui nous permet de vous aider plus facilement si jamais ton ordinateur rencontre un problème après une tentative de nettoyage.
♦ Suit les invites pour permettre à ComboFix de télécharger et installer la Console de récupération Microsoft Windows, et lorsque cela vous est demandé, acceptez le Contrat de Licence Utilisateur Final pour installer la Console de récupération Microsoft Windows.
◊ ◊ Note importante: Si la Console de récupération Microsoft Windows est déjà installée, ComboFix continuera ses procédures de suppression de nuisibles.
♦ Une fois fait clique sur Oui/Yes, pour poursuivre avec la recherche de nuisibles.
♦ Lorsque l'outil aura terminé, il affichera un rapport, copie le contenu de C:\ComboFix.txt dans votre prochaine réponse.
voilà le rapport de combofix
http://www.cijoint.fr/cjlink.php?file=cj201006/cijGWZrYAa.txt
je suis étonné il n'a pas supprimé le dossier 399C13...
que penses tu de ce rapport?
http://www.cijoint.fr/cjlink.php?file=cj201006/cijGWZrYAa.txt
je suis étonné il n'a pas supprimé le dossier 399C13...
que penses tu de ce rapport?
j'ai refait un scan avec antimalwarebyte après combofix, il a trouvé 11 éléments infectés. Voici le rapport :
http://www.cijoint.fr/cjlink.php?file=cj201006/cijOXqgHig.txt
http://www.cijoint.fr/cjlink.php?file=cj201006/cijOXqgHig.txt
ep44
Messages postés
7393
Date d'inscription
samedi 10 novembre 2007
Statut
Contributeur
Dernière intervention
11 novembre 2010
3
20 juin 2010 à 19:55
20 juin 2010 à 19:55
Quand tu exécutes Malwarebytes il te faut faire la suppression.
Fait ce qui suit dans l'ordre indiqué.
Sélectionne ceci :
♦ Copie le texte sélectionné (CTRL+C).
♦ Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
♦ Veille à ce que Retour à la ligne ne soit pas coché dans Format.
♦ Colle le texte copié dans ce bloc-notes (CTRL+V).
♦ Sauvegarde ce fichier sous le nom de CFScript.txt
♦ Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme ceci
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif
♦ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
♦ Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
♦ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
Ensuite relance Malwarebytes et supprime ce qu'il trouve (Appliquer les actions)
Ensuite
◊◊◊ Télécharge http://www2.gmer.net/gmer.zip ◊◊◊ sur ton Bureau.
♦ Tu noteras que le nom est aléatoire.
Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.
♦ Ferme les fenêtres de navigateur ouverte
♦ Déconnecte toi d'Internet puis ferme tous les programmes.
♦ Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
♦ Dans la section de droite de la fenêtre de l'outil, décoche l'option suivante:
Dans la section de droite de la fenêtre de l'outil, décoche l'option suivante:
♦ IAT/EAT
♦ Assure-toi que "Show All" est décoché**
♦ Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)
♦ Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;
♦ Nomme le fichier"root" et sauvegarde-le sur le Bureau ;
♦ Copie/colle le contenu de ce rapport dans ta réponse.
PS: Si les rapports ne rentrent pas dans le message, tu peux les mettre en pièce jointe.
Fait ce qui suit dans l'ordre indiqué.
Sélectionne ceci :
KillAll:: Driver:: rseb Registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\F79955] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "F79955"=- Folder:: c:\windows\system32\399C13 c:\windows\system32\4889B0 c:\windows\system32\1CB654 C:\WINDOWS\system32\863494
♦ Copie le texte sélectionné (CTRL+C).
♦ Ouvre le bloc-notes (programme>Accessoires >bloc-notes).
♦ Veille à ce que Retour à la ligne ne soit pas coché dans Format.
♦ Colle le texte copié dans ce bloc-notes (CTRL+V).
♦ Sauvegarde ce fichier sous le nom de CFScript.txt
♦ Fais un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme ceci
http://img399.imageshack.us/img399/7183/img210914jjufmoj0.gif
♦ Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises : c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
♦ Une fois le scan achevé, un rapport va s'afficher : Poste son contenu.
♦ Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt
Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.
Ensuite relance Malwarebytes et supprime ce qu'il trouve (Appliquer les actions)
Ensuite
◊◊◊ Télécharge http://www2.gmer.net/gmer.zip ◊◊◊ sur ton Bureau.
♦ Tu noteras que le nom est aléatoire.
Colle et sauvegarde ces instructions dans un fichier texte ou imprime-les, car tu devras fermer le navigateur.
♦ Ferme les fenêtres de navigateur ouverte
♦ Déconnecte toi d'Internet puis ferme tous les programmes.
♦ Si l'outil te lance un warning d'activité de rootkit et te demande de faire un scan ; clique "NO"
♦ Dans la section de droite de la fenêtre de l'outil, décoche l'option suivante:
Dans la section de droite de la fenêtre de l'outil, décoche l'option suivante:
♦ IAT/EAT
♦ Assure-toi que "Show All" est décoché**
♦ Clique maintenant sur le bouton "Scan" et patiente (cela peut prendre 10 minutes ou +)
♦ Lorsque l'analyse sera terminée, clique sur le bouton "Save..." (au bas à droite) ;
♦ Nomme le fichier"root" et sauvegarde-le sur le Bureau ;
♦ Copie/colle le contenu de ce rapport dans ta réponse.
PS: Si les rapports ne rentrent pas dans le message, tu peux les mettre en pièce jointe.
