Rootkit.gen // Plus rien sur mon DD - Page 2

Précédent
  • 1
  • 2
  1. gen-hackman
     
    selectionne ce texte sans les lignes :
    ___________________________________________________
    file::
    C:\ProgramData\2E86CD8D0E.sys
    C:\ProgramData\KGyGaAvL.sys
    C:\Users\Manon\AppData\Local\Temp\Qwl.exe
    C:\Windows\Qzavua.exe

    ___________________________________________________

    copie-le (ctrl+c) puis lance Pre_Script qui est sur ton bureau

    colle dans le document texte qui s'ouvre , puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    poste Pre_Script.txt qui apparaitra à coté de l'executable en fin de travail
    G3?-?@¢??@?......Concepteur de List_Kill'em...Pre_Scan....MBR_Repair....
    0
    1. Florian
       
      pfff, je suis pas encore tiré d'affaire. Windows Defender a détetcté quelque chose de plus
      "TrojanDownloader:Win32/Renos.PM" ...ça fait plaisir!



      Voici le dernier rapport de scan
      http://cjoint.com/11jn/AFgv5lSBDu7.htm
      0
    2. gen-hackman
       
      tu n'as pas pre_script sur le bureau ?
      0
    3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      Florian attent le retour de gen , mais tu nous dis
       Windows Defender a détetcté quelque chose 
      bizarre car si tu as la version 10 de antivir qui est la dernière version normalement il te demande de déactiver la garde résidente de windows defender , donc la tu dois avoir la version 9 de antivir ce qui est bizarre c'est que antivir noprmalement demande depuis près de 2 mois de mettre à jour avec la version 10 sinon plus de mise à jour à une certaine date !!!
      0
    4. Florian
       
      effectivement, j'ai la version 9, je ne l'ai pas encore mis à jour parce que c'est un ordinateur dont je me sers peu.

      @gen: oups, je te poste ça de suite
      http://cjoint.com/11jn/AFhhSobdro1.htm
      0
  2. gen-hackman
     
    pas bon t'as rien collé dans le texte ou tu as reactivé protections et tutti quanti
    0
  3. Florian
     
    je m'étais emmêlé les pinceaux entre Pre_scan / Pre_script

    http://cjoint.com/11jn/AFhxotovw7B.htm
    0
  4. gen-hackman
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Florian
     
    ok, tout s'est bien passé

    http://cjoint.com/data3/3FitVyBBOFh.htm
    0
  7. gen-hackman
     
    regarde dans le dossier C:\Qoobox tu dois avoir un fichier Autorun.inf.vir quelque part , ouvre-le avec le bloc notes et colle son contenu ici dans ta reponse
    0
  8. Florian
     
    ca marche pas quand je colle le contenu, c'est trop important apparemment

    http://cjoint.com/?3Fiu0koRmkl
    0
  9. Florian
     
    alors? ça donne quoi? je suis sorti d'affaire?
    0
  10. gen-hackman
     
    ben je peux pas l'ouvrir
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      gen je me suis amuser à changer le .vir en .txt et j'ai cela http://www.cijoint.fr/cjlink.php?file=cj201106/cij1AaeCCB.txt
      0
    2. gen-hackman
       
      quel bord$$ !!!!!!
      0
    3. Florian
       
      aye! tant que ça?
      0
  11. g3n-h@ckm@n
     
    donc j'avais raison ce autorun.inf n'est pas infectieux ca vient bien de l'imprimante HP
    0
  12. g3n-h@ckm@n
     
    bonjour

    tu pourrais me reposter C:\Combofix.txt via cjoint.com stp l'autre n'est plus accessif

    (ne relance pas combofix , poste juste son rapport comme precedemment)
    0
  13. Florian
     
    here you go! http://cjoint.com/11jn/AFpuMf4gwX0.htm
    0
  14. g3n-h@ckm@n
     

    __________________________________________________
    =>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
    =>il est fort déconseillé de le transposer sur un autre ordinateur !<=
    ----------------------------------------------------------------------------


    Toujours avec toutes les protections désactivées, fais ceci :

    ▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
    ▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

    ----------------------------------------------------------
    KillAll::

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "SunJavaUpdateSched"=-
    "QuickTime Task"=-
    "HP Software Update"=-
    [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\srvBE4]

    RegLockDel::
    [-HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\srvBE4]

    Driver::
    srvBE4

    Netsvc::
    srvBE4

    ------------------------------------------------------------------

    ▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
    ▶ Quitte le Bloc Notes

    ▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix

    ▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
    ▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
    ▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

    0
  15. Florian
     
    merci

    http://cjoint.com/data/0Fsi7EvjWdO.htm
    0
  16. g3n-h@ckm@n
     
    ok retelecharge pre_scan il devrait passer sans probleme maintenant le rootkit qui le bloquait a sauté

    Une copie infectée de c:\windows\system32\drivers\ndproxy.sys a été trouvée et désinfectée
    Copie restaurée à partir de - The cat found it :)
    0
Précédent
  • 1
  • 2