4 Worm.AutoRun après formatage c:\WINDOWS\Sys - Page 3

Résolu
Précédent
  • 1
  • 2
  • 3
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Fais ça :

    ▶ Télécharge RstAssociations

    ▶ Lance le, attends qu'il ai chargé.

    ▶ Clique sur Tous, puis Restaurer.

    ▶ Poste le rapport qui apparaît

    ===========

    Passe combofix stp
    0
  2. cumular Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
     
    je ne parviens pas à trouver un lien pour telecharger rstassociations
    celui au dessus ne fonctionne pas non plus
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    les liens sont dead en effet fais ça :

    Avertissement: Il y aura une courte extinction du bureau pendant que l'outil travaillera --> pas de panique.

    Télécharge Pre_scan (de gen-hackman)

    ♦ Enregistre le sur ton bureau
    Renomme Pre_Scan.exe en Pre_Scan.pif
    ▶ Exécute Pre_scan. Si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    ♦ Colle le contenu du rapport "Pre_Scan.txt" qui apparaîtra; à terme, sur ton bureau.
    0
  4. cumular Messages postés 12 Date d'inscription   Statut Membre Dernière intervention  
     
    j'y pige rien mais c'est magique ce truc
    mon clic c: refonctionne
    merci !!!

    Mis à jour le 25/04/2011 | 13.20 par g3n-h@ckm@n
    Utilisateur : david (Administrateurs)
    Ordinateur : SHADOKO

    Système d'exploitation : Microsoft Windows XP (32 bits)
    Internet Explorer : 6.0.2900.2180
    Mozilla Firefox : 4.0 (fr)

    Scan : 15:32:43 | 27/04/2011

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKCU\..\..\Winlogon] | Shell -> Modification apportée : -> explorer.exe

    ¤

    [HKLM\..\..\Winlogon] | Shell -> Aucune modification : Explorer.exe -> Explorer.exe
    [HKLM\..\..\Winlogon] | AutoRestartShell -> Aucune modification : 1 -> 1
    [HKLM\..\..\Winlogon] | userinit -> Aucune modification : C:\WINDOWS\system32\userinit.exe, -> C:\WINDOWS\system32\userinit.exe,
    [HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : 0 -> 1

    ¤¤¤¤¤¤¤¤¤¤ Associations

    [.exe] : exefile
    [exefile | command] : "%1" %*
    [.com] : comfile
    [comfile | command] : "%1" %*
    [.reg] : regfile
    [regfile | command] : regedit.exe "%1"
    [.scr] : scrfile
    [scrfile | command] : "%1" /S
    [.bat] : batfile
    [batfile | command] : "%1" %*
    [.cmd] : cmdfile
    [cmdfile | command] : "%1" %*
    [.pif] : piffile
    [piffile | command] : "%1" %*

    ¤

    [Firefox | Command] | @ -> Modification apportée : C:\Program Files\Mozilla Firefox\firefox.exe -> "C:\Program Files\Mozilla Firefox\Firefox.exe"
    [Firefox - Safemode | Command] | @ -> Aucune modification : "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode -> "C:\Program Files\Mozilla Firefox\firefox.exe" -safe-mode
    [IE | Command] | @ -> Modification apportée : "%programfiles%\Internet Explorer\iexplore.exe" -> "C:\Program Files\Internet Explorer\iexplore.exe"
    [Applications | IE | Command] | @ -> Aucune modification : "C:\Program Files\Internet Explorer\iexplore.exe" %1 -> "C:\Program Files\Internet Explorer\iexplore.exe" %1

    ¤

    [Assoc | Applications] | @ -> Aucune modification : http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s -> http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s

    ¤

    ¤

    ¤¤¤¤¤¤¤¤¤¤ Services

    [Ndisuio] | Start -> Aucune modification : 3 -> 3
    [lmhosts] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [LanmanWorkstation] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [LanmanServer] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [agp440] | Start -> Modification apportée : 0 -> 2 : Service Actif
    [Audiosrv] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [ERSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [Bits] | Start -> Modification apportée : 3 -> 2 : Service Redemarré
    [CryptSvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [SharedAccess] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [wuauserv] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [wscsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif
    [wzcsvc] | Start -> Aucune modification : 2 -> 2 : Service Actif

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer

    [HKCU | Main] | Start Page -> Modification apportée : https://www.google.fr/?gws_rd=ssl -> https://www.google.com/?gws_rd=ssl
    [HKCU | Main] | Local Page -> Aucune Modification : C:\WINDOWS\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
    [HKCU | Main] | Search Page -> Aucune Modification : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    [HKLM | Main] | Start Page -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home -> https://www.msn.com/fr-fr/?ocid=iehp
    [HKLM | Main] | Local Page -> Modification apportée : %SystemRoot%\system32\blank.htm -> C:\WINDOWS\system32\blank.htm
    [HKLM | Main] | Default_Search_URL -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
    [HKLM | Main] | Default_Page_URL -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome -> https://www.msn.com/fr-fr/?ocid=iehp
    [HKLM | Main] | Search Page -> Modification apportée : http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch -> https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF

    ¤¤¤¤¤¤¤¤¤¤ Processus

    C:\WINDOWS\explorer.exe -> Processus stoppé
    \WINDOWS\explorer.exe -> Processus stoppé

    ¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine

    ¤¤¤¤¤¤¤¤¤¤ IFEO

    ¤¤¤¤¤¤¤¤¤¤ Mountpoints2

    Supprimé : [HKCU\..\..\Mountpoints2\{1dab5903-6861-11e0-8e39-806d6172696f}] -> command : C:\

    ¤¤¤¤¤¤¤¤¤¤ MBR

    MBRCheck, version 1.2.3
    (c) 2010, AD

    Command-line: -za C:\MBR\MBR.bin
    Windows Version: Windows XP Home Edition
    Windows Information: Service Pack 2 (build 2600)
    Logical Drives Mask: 0x0000001d

    Analysis of file "C:\MBR\MBR.bin":
    Windows XP MBR code detected

    Done!

    ¤¤¤

    explorer.exe -> Processus redémarré

    Fin : 15:33:30

    ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ok en attente de combofix
    0
  7. cumular
     
    j'ai raté le coche ?
    que dois je faire avec combofix ?
    0
Précédent
  • 1
  • 2
  • 3