36 réponses
crapoulou
Messages postés
28158
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 avril 2024
7 990
14 déc. 2010 à 16:11
14 déc. 2010 à 16:11
Salut,
Bienvenue sur le forum CommentCaMarche (CCM) !
Je vais t'aider dans la résolution de ton problème. Je vais t'expliquer brièvement comment va se dérouler la désinfection.
* Tout d'abord, il va falloir réaliser le diagnostic de ton PC avec des outils particuliers. Aucune information personnelle n'est divulguée » dans ce rapport. Si le nom de ta session correspond à ton Nom&Prénom, il te suffira de demander pour que je le modifie/supprime
* Ensuite, on utilisera des outils de désinfection efficaces pour éradiquer l'infection.
En retour, je te demanderai :
* De me signaler toute anomalie/amélioration au fur et à mesure que la désinfection progresse
* De ne pas créer plusieurs messages sur ce forum pour ce même problème (ni poster sur d'autres forums).
* En cas de doute, de question, n'hésite pas à me demander.
Sur ce, nous allons pouvoir commencer ...
***************
Désactive l'UAC (User Account Control) le temps de la désinfection.
Aide en images pour le faire.
(Manipulation inverse pour le remettre en fin de désinfection).
(Cela va permettre aux outils de désinfection de travailler correctement).
***************
Pour établir un diagnostic plus en profondeur de ton PC :
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau.
= = = = >>> En cliquant ici <<< = = = =
* Clique droit sur RSIT.exe puis sélectionne `Exécuter en tant qu'administrateur` pour le lancer.
* Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer).
* Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).
* Poste le contenu de log.txt et de info.txt.
Si tu as des soucis pour envoyer le fichier, héberge-le sur cijoint.fr.
Aide en images.
Bienvenue sur le forum CommentCaMarche (CCM) !
Je vais t'aider dans la résolution de ton problème. Je vais t'expliquer brièvement comment va se dérouler la désinfection.
* Tout d'abord, il va falloir réaliser le diagnostic de ton PC avec des outils particuliers. Aucune information personnelle n'est divulguée » dans ce rapport. Si le nom de ta session correspond à ton Nom&Prénom, il te suffira de demander pour que je le modifie/supprime
* Ensuite, on utilisera des outils de désinfection efficaces pour éradiquer l'infection.
En retour, je te demanderai :
* De me signaler toute anomalie/amélioration au fur et à mesure que la désinfection progresse
* De ne pas créer plusieurs messages sur ce forum pour ce même problème (ni poster sur d'autres forums).
* En cas de doute, de question, n'hésite pas à me demander.
Sur ce, nous allons pouvoir commencer ...
***************
Désactive l'UAC (User Account Control) le temps de la désinfection.
Aide en images pour le faire.
(Manipulation inverse pour le remettre en fin de désinfection).
(Cela va permettre aux outils de désinfection de travailler correctement).
***************
Pour établir un diagnostic plus en profondeur de ton PC :
Télécharge Random's System Information Tool (RSIT) de random/random et enregistre l'exécutable sur le Bureau.
= = = = >>> En cliquant ici <<< = = = =
* Clique droit sur RSIT.exe puis sélectionne `Exécuter en tant qu'administrateur` pour le lancer.
* Une première fenêtre s'ouvre, clique alors sur Continue (Disclaimer).
* Si la dernière version de HijackThis n'est pas détectée sur ton PC, RSIT le téléchargera et te demandera d'accepter la licence.
* Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront (probablement avec le bloc-notes).
* Poste le contenu de log.txt et de info.txt.
Si tu as des soucis pour envoyer le fichier, héberge-le sur cijoint.fr.
Aide en images.
crapoulou
Messages postés
28158
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 avril 2024
7 990
15 déc. 2010 à 21:54
15 déc. 2010 à 21:54
On va passer au plan B :
Télécharge Combofix :
= = = = >>> En cliquant ici <<< = = = =
* On va enregistrer ce fichier sur le Bureau : pour cela, sur le panneau de gauche, clique sur le Bureau.
* Clique enfin sur le bouton Enregistrer en bas de page à droite.
* Assure toi que tous les programmes sont fermés avant de lancer le fix ! Ne lance pas le fix tout de suite !
* Fais un clic droit sur combofix.exe et sélectionne "Exécuter en mode administrateur".
* Clique sur Oui au message de Limitation de Garantie qui s'affiche.
* Il est possible que ton pare-feu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure : accepte !
Note :
Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
* Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
* Note : Le rapport se trouve également là : C:\ComboFix.txt
Télécharge Combofix :
= = = = >>> En cliquant ici <<< = = = =
* On va enregistrer ce fichier sur le Bureau : pour cela, sur le panneau de gauche, clique sur le Bureau.
* Clique enfin sur le bouton Enregistrer en bas de page à droite.
* Assure toi que tous les programmes sont fermés avant de lancer le fix ! Ne lance pas le fix tout de suite !
* Fais un clic droit sur combofix.exe et sélectionne "Exécuter en mode administrateur".
* Clique sur Oui au message de Limitation de Garantie qui s'affiche.
* Il est possible que ton pare-feu te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sure : accepte !
Note :
Ne ferme pas la fenêtre qui vient de s'ouvrir , tu te retrouverais avec un bureau vide !
* Lorsque le scan est terminé, un rapport sera généré : poste en le contenu dans ton prochain message.
* Note : Le rapport se trouve également là : C:\ComboFix.txt
crapoulou
Messages postés
28158
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 avril 2024
7 990
16 déc. 2010 à 10:27
16 déc. 2010 à 10:27
Bien.
As-tu bien envoyé le fichier infectieux sur les deux adresses comme demandé précédemment ?!
****
Envoie un nouveau rapport ZHPdiag pour faire le point et commencer la fin de désinfection de ton PC.
As-tu bien envoyé le fichier infectieux sur les deux adresses comme demandé précédemment ?!
****
Envoie un nouveau rapport ZHPdiag pour faire le point et commencer la fin de désinfection de ton PC.
crapoulou
Messages postés
28158
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 avril 2024
7 990
14 déc. 2010 à 16:26
14 déc. 2010 à 16:26
Tu as envoyé deux fois le fichier info.txt ;-).
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
crapoulou
Messages postés
28158
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 avril 2024
7 990
14 déc. 2010 à 16:36
14 déc. 2010 à 16:36
Suppression avec AD-R :
Télécharge AD-R (de C_XX ) sur ton bureau :
= = = =>>> En cliquant ici <<<= = = =
/!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\
* Exécute AD-R.
* Au menu principal clique sur le bouton "Nettoyer".
* Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous Ad-Report-CLEAN[1].txt)
*****************
Analyse ces fichiers :
Sur le site de Virustotal :
https://www.virustotal.com/gui/
Parcourir > Sélectionne ton fichier > Analyser, patiente que l'analyse soit terminée.
Poste bien les rapports en indiquant le fichier analysé à chaque fois !
(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).
Télécharge AD-R (de C_XX ) sur ton bureau :
= = = =>>> En cliquant ici <<<= = = =
/!\ Déconnecte-toi et ferme toutes applications en cours, désactive ton antivirus le temps de la manipulation/!\
* Exécute AD-R.
* Au menu principal clique sur le bouton "Nettoyer".
* Poste le rapport qui apparaît à la fin.
(Le rapport est sauvegardé aussi sous Ad-Report-CLEAN[1].txt)
*****************
Analyse ces fichiers :
C:\windows\SYSTEM32\Rezip.exe C:\windows\system32\drivers\ounxcm.sys
Sur le site de Virustotal :
https://www.virustotal.com/gui/
Parcourir > Sélectionne ton fichier > Analyser, patiente que l'analyse soit terminée.
Poste bien les rapports en indiquant le fichier analysé à chaque fois !
(Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant).
Voici le rapport de ad remover : http://www.cijoint.fr/cjlink.php?file=cj201012/cijdrorW0e.txt
Le rapport de Rezip.exe :
File name:
Rezip.exe
Submission date:
2010-12-14 15:56:26 (UTC)
Current status:
queued queued (#1) analysing finished
Result:
0/ 43 (0.0%)
Le rapport de ounxcm.sys :
File name:
ounxcm.sys
Submission date:
2010-12-14 15:58:20 (UTC)
Current status:
queued (#9) queued analysing finished
Result:
2/ 43 (4.7%)
ClamAV 0.96.4.0 2010.12.14 BC.Heuristics.Rootkit.B-9.MV
eSafe 7.0.17.0 2010.12.14 Win32.TrojanHorse
Le rapport de Rezip.exe :
File name:
Rezip.exe
Submission date:
2010-12-14 15:56:26 (UTC)
Current status:
queued queued (#1) analysing finished
Result:
0/ 43 (0.0%)
Le rapport de ounxcm.sys :
File name:
ounxcm.sys
Submission date:
2010-12-14 15:58:20 (UTC)
Current status:
queued (#9) queued analysing finished
Result:
2/ 43 (4.7%)
ClamAV 0.96.4.0 2010.12.14 BC.Heuristics.Rootkit.B-9.MV
eSafe 7.0.17.0 2010.12.14 Win32.TrojanHorse
crapoulou
Messages postés
28158
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 avril 2024
7 990
14 déc. 2010 à 21:04
14 déc. 2010 à 21:04
On n'a pas tout à fait terminé :
Télécharge Malwarebytes' Anti-Malware
= = = = >>> En cliquant ici <<< = = = =
- Enregistre le sur le bureau
- Double clique sur le fichier téléchargé pour lancer le processus d'installation
- Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware
- Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-clique sur l'icône de malwarebytes pour le relancer
- Dans l'onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre
- A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés.
- Clique sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
- Rends toi dans l'onglet rapport/log
- Tu clique dessus pour l'afficher.
- Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu clique droit dans le cadre de la réponse et coller
Si tu as besoin d'aide regarde ce tutorial ICI
Télécharge Malwarebytes' Anti-Malware
= = = = >>> En cliquant ici <<< = = = =
- Enregistre le sur le bureau
- Double clique sur le fichier téléchargé pour lancer le processus d'installation
- Lorsqu'il te le sera demandé, mets à jour Malwarebytes anti malware
- Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes
- Une fois la mise à jour terminée, ferme Malwarebytes
- Double-clique sur l'icône de malwarebytes pour le relancer
- Dans l'onglet, Recherche, probablement ouvert par défaut,
- Sélectionne Exécuter un examen complet
- Clique sur Rechercher
- Le scan démarre
- A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur `Afficher les résultats' pour afficher tous les objets trouvés.
- Clique sur Ok pour poursuivre.
- Si des malwares ont été détectés, cliques sur Afficher les résultats
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
- Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse.
- Rends toi dans l'onglet rapport/log
- Tu clique dessus pour l'afficher.
- Une fois affiché, cliques sur édition en haut du bloc notes, et puis sur sélectionner tout
- Tu recliques sur édition et puis sur copier et tu reviens sur le forum et dans ta réponse
- Tu clique droit dans le cadre de la réponse et coller
Si tu as besoin d'aide regarde ce tutorial ICI
Malwarebytes' Anti-Malware 1.50 www.malwarebytes.org Version de la base de données: 5311 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 14/12/2010 22:27:22 mbam-log-2010-12-14 (22-27-22).txt Type d'examen: Examen complet (C:\|D:\|) Elément(s) analysé(s): 449866 Temps écoulé: 1 heure(s), 8 minute(s), 24 seconde(s) Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 6 Processus mémoire infecté(s): (Aucun élément nuisible détecté) Module(s) mémoire infecté(s): (Aucun élément nuisible détecté) Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté) Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté) Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté) Dossier(s) infecté(s): (Aucun élément nuisible détecté) Fichier(s) infecté(s): c:\program files\mIRC\mmp\nhtmln_2.92.dll (Backdoor.IRCFlood) -> Quarantined and deleted successfully. c:\program files\mIRC\systeme\dll\dmu.dll (Riskware.HideWindow) -> Quarantined and deleted successfully. c:\program files\list_kill'em\shcut.L_K (Trojan.Downloader) -> Quarantined and deleted successfully. c:\Users\nicovideo\AppData\Roaming\logs.dat (Bifrose.Trace) -> Quarantined and deleted successfully. c:\Users\nicovideo\AppData\Local\Temp\UuU.uUu (Malware.Trace) -> Quarantined and deleted successfully. c:\Users\nicovideo\AppData\Local\Temp\XxX.xXx (Malware.Trace) -> Delete on reboot.
Voila mon log de MAM
J'ai l'impression que ca les supprime tjr pas :s
crapoulou
Messages postés
28158
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 avril 2024
7 990
14 déc. 2010 à 23:09
14 déc. 2010 à 23:09
"J'ai l'impression que ca les supprime tjr pas :s"
C'est-à-dire ?
Des éléments infectieux ont été détectés.
******
Pourquoi as-tu utilisé List_Kill'em ?!
C'est-à-dire ?
Des éléments infectieux ont été détectés.
******
Pourquoi as-tu utilisé List_Kill'em ?!
J'avais utilisé avant de faire toute cette démarche j'avais regardé sur le net.
Ben là je viens de redémarrer l'ordinateur et j'ai toujours un firefox d'ouvert je ne sais pourquoi.. MAM me les enlève mais ils réapparaissent aussitôt
Ben là je viens de redémarrer l'ordinateur et j'ai toujours un firefox d'ouvert je ne sais pourquoi.. MAM me les enlève mais ils réapparaissent aussitôt
crapoulou
Messages postés
28158
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 avril 2024
7 990
15 déc. 2010 à 10:44
15 déc. 2010 à 10:44
j'ai toujours un firefox d'ouvert
Peux-tu me faire une capture d'écran stp sur ce qui te dérange stp ?
Peux-tu me faire une capture d'écran stp sur ce qui te dérange stp ?
Voici ce que j'ai dans mes processus :
http://img253.imageshack.us/img253/4207/93845844.jpg
Un firefox de trop, j'ai vu sur internet que ce virus ouvrait un firefox.exe ou un iexplorer.exe qui envoyer divers info a des hackeurs ou atre donc c'est pas terrible
Et deuxièmement apres un scan de MAM et tout à la poubelle, j'ai encore les virus. Il se localise dans AppData/Temp :
http://img63.imageshack.us/img63/4359/tempsm.jpg
http://img253.imageshack.us/img253/4207/93845844.jpg
Un firefox de trop, j'ai vu sur internet que ce virus ouvrait un firefox.exe ou un iexplorer.exe qui envoyer divers info a des hackeurs ou atre donc c'est pas terrible
Et deuxièmement apres un scan de MAM et tout à la poubelle, j'ai encore les virus. Il se localise dans AppData/Temp :
http://img63.imageshack.us/img63/4359/tempsm.jpg
crapoulou
Messages postés
28158
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 avril 2024
7 990
15 déc. 2010 à 20:15
15 déc. 2010 à 20:15
Supprime les fichiers temporaires avec cet outil :
* Télécharge Ccleaner Slim
(Cet utilitaire n'est pas là pour enlever des virus ou autres infections !)
= = = = >>> En cliquant ici <<< = = = =
* Installe le.
* Choisis l'onglet Nettoyeur
Quitte ton navigateur Internet avant de le lancer, décoche la dernière case (Avancé si elle est cochée) puis clique sur "lancer le nettoyage" quand il aura terminé le scan cliques en bas à droite sur "lancer le nettoyage" et accepte par oui.
Attention, il risque de vider ta corbeille : si tu veux récupérer des fichiers effacés par erreur, mieux vaut le faire maintenant.
* Choisis l'onglet Registre
- Clique sur Chercher des erreurs
- Une fois la recherche terminée, clic sur Réparer les erreurs sélectionnées (par défaut, tout est sélectionné, laisse comme ça)
- Au message Voulez-vous sauvegarder les changements faits dans le registre, réponds Oui et enregistre le fichier au format « .reg » en le nommant par la date par exemple en le mettant sur le bureau. Puis continue.
- A la fenêtre qui s'ouvre ensuite, clique sur Corriger toutes les erreurs sélectionnées puis OK
- Recommence jusqu'à ce qu'aucune erreur n'apparaisse (ou une seule récurrente).
- Ferme Ccleaner.
* Tutoriel en images ICI si besoin.
Note : La sauvegarde utilisée permet de remettre tel que la base était avant la manipulation au cas où il y aurait des soucis mais cela ne m'est jamais arrivé ! Il vaut mieux prendre des précautions, c'est tout. ;-)
*************
Télécharge SEAF.exe de C_XX sur ton bureau :
= = = = =>>> En cliquant ici <<<= = = = =
* Clique droit sur SEAF.exe et sélectionne "Exécuter en tant qu'administrateur" pour le lancer.
* Une fenêtre va s'ouvrir.
* Copie-colle ceci dans la barre de recherche blanche firefox.exe
* Coche sur la droite : "Chercher également dans le registre"
* Coche en bas "Afficher les ADS" et "Informations supplémentaires" tape sur [Entrée]
* Clique ensuite sur "Lancer la recherche".
* Patiente pendant la recherche.
* Une fenêtre avec un rapport au format ".txt" va s'afficher.
* Copie/colle ce rapport dans ta prochaine réponse.
* Télécharge Ccleaner Slim
(Cet utilitaire n'est pas là pour enlever des virus ou autres infections !)
= = = = >>> En cliquant ici <<< = = = =
* Installe le.
* Choisis l'onglet Nettoyeur
Quitte ton navigateur Internet avant de le lancer, décoche la dernière case (Avancé si elle est cochée) puis clique sur "lancer le nettoyage" quand il aura terminé le scan cliques en bas à droite sur "lancer le nettoyage" et accepte par oui.
Attention, il risque de vider ta corbeille : si tu veux récupérer des fichiers effacés par erreur, mieux vaut le faire maintenant.
* Choisis l'onglet Registre
- Clique sur Chercher des erreurs
- Une fois la recherche terminée, clic sur Réparer les erreurs sélectionnées (par défaut, tout est sélectionné, laisse comme ça)
- Au message Voulez-vous sauvegarder les changements faits dans le registre, réponds Oui et enregistre le fichier au format « .reg » en le nommant par la date par exemple en le mettant sur le bureau. Puis continue.
- A la fenêtre qui s'ouvre ensuite, clique sur Corriger toutes les erreurs sélectionnées puis OK
- Recommence jusqu'à ce qu'aucune erreur n'apparaisse (ou une seule récurrente).
- Ferme Ccleaner.
* Tutoriel en images ICI si besoin.
Note : La sauvegarde utilisée permet de remettre tel que la base était avant la manipulation au cas où il y aurait des soucis mais cela ne m'est jamais arrivé ! Il vaut mieux prendre des précautions, c'est tout. ;-)
*************
Télécharge SEAF.exe de C_XX sur ton bureau :
= = = = =>>> En cliquant ici <<<= = = = =
* Clique droit sur SEAF.exe et sélectionne "Exécuter en tant qu'administrateur" pour le lancer.
* Une fenêtre va s'ouvrir.
* Copie-colle ceci dans la barre de recherche blanche firefox.exe
* Coche sur la droite : "Chercher également dans le registre"
* Coche en bas "Afficher les ADS" et "Informations supplémentaires" tape sur [Entrée]
* Clique ensuite sur "Lancer la recherche".
* Patiente pendant la recherche.
* Une fenêtre avec un rapport au format ".txt" va s'afficher.
* Copie/colle ce rapport dans ta prochaine réponse.
crapoulou
Messages postés
28158
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 avril 2024
7 990
15 déc. 2010 à 20:34
15 déc. 2010 à 20:34
Il n'y a qu'un fichier firefox.exe sur ton système :
"C:\Program Files\Mozilla Firefox\firefox.exe"
Remarques-tu quelque chose d'étrange dans AppData/Temp ?
Si oui, quoi, quel fichier ?
"C:\Program Files\Mozilla Firefox\firefox.exe"
Remarques-tu quelque chose d'étrange dans AppData/Temp ?
Si oui, quoi, quel fichier ?
Quand je supprime le deuxième firefox.exe dans les processus, il revient automatiquement mais quand firefox est fermé. Et dans app data j'ai les fichier Uuu.Uuu et Xxx.Xxx et xxxyyyzzz qui sont des virus je suis sûr et quand je les supprime il réapparaisse aussitôt.
Voici les fchiers : http://img63.imageshack.us/img63/4359/tempsm.jpg
Je suis sur que ces fichiers sont en rapport avec le firefox.exe
Voici les fchiers : http://img63.imageshack.us/img63/4359/tempsm.jpg
Je suis sur que ces fichiers sont en rapport avec le firefox.exe
crapoulou
Messages postés
28158
Date d'inscription
mercredi 28 novembre 2007
Statut
Modérateur, Contributeur sécurité
Dernière intervention
16 avril 2024
7 990
15 déc. 2010 à 20:57
15 déc. 2010 à 20:57
Le fichier .dat est-il lisible avec Notepad ?
Quels fichiers suspectes-tu ?
Les outils que je te fais installer seront supprimés en fin de désinfection, ne te fais pas de souci.
*********
Pour une analyse plus en profondeur :
Télécharge ZHPDiag sur ton bureau :
= = = = =>>>En cliquant ici <<<= = = = = =
Une fois le téléchargement achevé, clique droit sur ZHPDiag.exe et sélectionne "Exécuter en tant qu'administrateur". Suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
Clique droit sur le raccourci ZHPDiag sur ton Bureau et sélectionne "Exécuter en tant qu'administrateur" pour le lancer.
/!\ L'outil a créé 2 icônes ZHPDiag et ZHPFix /!\
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page. Copie ce lien dans ta réponse.
Aide en images pour poster un rapport sur cijoint.
*********
Télécharge SystemLook sur ton Bureau.
* Clique droit sur SystemLook.exe puis "Exécuter en tant qu'administrateur" pour le lancer.
* Copie - colle le contenu du texte ci-dessous dans la zone texte de SystemLook :
:dir
C:\Users\Nicovideo\AppData\Roaming /s
:file
C:\Users\Nicovideo\AppData\Roaming\Windows Live\Microsoft_KB95340.exe
Clique sur le bouton Look pour démarrer l'examen.
A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie - colle le rapport dans ta prochaine réponse.
Note :
Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt
:dir Liste le contenu d'un dossier. Avec /s en récursif (les sous dossiers)
:file Propriétés d'un fichier avec /s en récursif :
:reg Recherche d'un élément de registre avec /s en récursif (les sous-clés)
:folderfind Liste là où il trouve ce nom de dossier
:regfind Liste les clés trouvée portant ce nom
http://jpshortstuff.247fixes.com/SystemLook.exe Autre lien de téléchargement si besoin.
Quels fichiers suspectes-tu ?
Les outils que je te fais installer seront supprimés en fin de désinfection, ne te fais pas de souci.
*********
Pour une analyse plus en profondeur :
Télécharge ZHPDiag sur ton bureau :
= = = = =>>>En cliquant ici <<<= = = = = =
Une fois le téléchargement achevé, clique droit sur ZHPDiag.exe et sélectionne "Exécuter en tant qu'administrateur". Suis les instructions.
N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
Clique droit sur le raccourci ZHPDiag sur ton Bureau et sélectionne "Exécuter en tant qu'administrateur" pour le lancer.
/!\ L'outil a créé 2 icônes ZHPDiag et ZHPFix /!\
Clique sur la loupe pour lancer l'analyse.
Laisse l'outil travailler, il peut être assez long.
Ferme ZHPDiag en fin d'analyse.
Pour transmettre le rapport clique sur ce lien :
http://www.cijoint.fr/
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).
Sélectionne le fichier ZHPDiag.txt.
Clique sur "Cliquez ici pour déposer le fichier".
Un lien de cette forme :
http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt
est ajouté dans la page. Copie ce lien dans ta réponse.
Aide en images pour poster un rapport sur cijoint.
*********
Télécharge SystemLook sur ton Bureau.
* Clique droit sur SystemLook.exe puis "Exécuter en tant qu'administrateur" pour le lancer.
* Copie - colle le contenu du texte ci-dessous dans la zone texte de SystemLook :
:dir
C:\Users\Nicovideo\AppData\Roaming /s
:file
C:\Users\Nicovideo\AppData\Roaming\Windows Live\Microsoft_KB95340.exe
Clique sur le bouton Look pour démarrer l'examen.
A la fin, le Bloc-notes s'ouvre avec le résultat de l'analyse. Copie - colle le rapport dans ta prochaine réponse.
Note :
Le rapport peut aussi être trouvé sur ton Bureau sous le nom SystemLook.txt
:dir Liste le contenu d'un dossier. Avec /s en récursif (les sous dossiers)
:file Propriétés d'un fichier avec /s en récursif :
:reg Recherche d'un élément de registre avec /s en récursif (les sous-clés)
:folderfind Liste là où il trouve ce nom de dossier
:regfind Liste les clés trouvée portant ce nom
http://jpshortstuff.247fixes.com/SystemLook.exe Autre lien de téléchargement si besoin.
Voici le rapport de ZHP :
http://www.cijoint.fr/cjlink.php?file=cj201012/ciju3Xo17L.txt
Et le rapport de System Look :
http://www.cijoint.fr/cjlink.php?file=cj201012/cijNM1zZ3w.txt
Les fichiers que je suspectes et que Malwarebytes suspecte quand il fait une analyse c'est : Uuu.uuu, Xxx.xxx, MSN.abc, xxxyyyzzz.dat et logs.dat
Dans le xxxyyyzzz.dat il y a ecrit ça : Messenger|****@hotmail.fr | |
Avec *** mon adresse hotmail
Et dans les autres fichiers .uuu et .xxx il y a ecrit une heure : 21:10:19
Ca doit être l'heure a laquelle j'ouvre le fichier
http://www.cijoint.fr/cjlink.php?file=cj201012/ciju3Xo17L.txt
Et le rapport de System Look :
http://www.cijoint.fr/cjlink.php?file=cj201012/cijNM1zZ3w.txt
Les fichiers que je suspectes et que Malwarebytes suspecte quand il fait une analyse c'est : Uuu.uuu, Xxx.xxx, MSN.abc, xxxyyyzzz.dat et logs.dat
Dans le xxxyyyzzz.dat il y a ecrit ça : Messenger|****@hotmail.fr | |
Avec *** mon adresse hotmail
Et dans les autres fichiers .uuu et .xxx il y a ecrit une heure : 21:10:19
Ca doit être l'heure a laquelle j'ouvre le fichier
14 déc. 2010 à 16:25
Log.txt : http://www.cijoint.fr/cjlink.php?file=cj201012/cij8s2Vf5e.txt
Info.txt : http://www.cijoint.fr/cjlink.php?file=cj201012/cijsoiMMQ7.txt