Liens détournés vers homepage google
Résolu/Fermé
draculito
-
14 août 2011 à 02:00
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 15 août 2011 à 16:57
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 15 août 2011 à 16:57
A voir également:
- Liens détournés vers homepage google
- Google maps satellite - Guide
- Dns google - Guide
- Google earth - Télécharger - 3D
- Google - Guide
- Créer un compte google - Guide
24 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
14 août 2011 à 14:15
14 août 2011 à 14:15
2011/08/14 14:06:49.0125 3984 d0ce2d12 (8f2bb1827cac01aee6a16e30a1260199) C:\WINDOWS\304991952:791794413.exe
Ca doit être max++ : https://www.malekal.com/sirefef-b-rootkit-win32-zaccess-max/
Ca marche une restauration du système à una date antérieure à l'infection ?
Ca doit être max++ : https://www.malekal.com/sirefef-b-rootkit-win32-zaccess-max/
Ca marche une restauration du système à una date antérieure à l'infection ?
Ah, j'ai oublié une chose essentielle. Un processus nommé "304991952:791794413.exe" apparaît dans le Task Manager. Les nombres sont probablement aléatoires, je n'ai rien trouvé sur le net, mais c'est le même nom d'un reboot à l'autre.
Ce processus existe en mode normal comme en mode sans échec.
Ce processus existe en mode normal comme en mode sans échec.
Up, si qqun est dispo pour m'aider ?
Pour info, le .exe cité précédemment fait 484ko dans le Task Manager.
Merci de votre aide svp.
Pour info, le .exe cité précédemment fait 484ko dans le Task Manager.
Merci de votre aide svp.
Bonjour, désolé de faire un nouveau up mais je crains que mon pb soit passer aux oubliettes. Je sais que c'est le WE, que c'est l'été, et que tout le monde fait de son mieux, mais il y a de l'activité sur le forum et des problèmes postés récemment sont déjà pris en charge...
Vu que je suis poli, que je n'écris pas en SMS et que j'ai essayé de donner un maximum d'info dans le message initial, j'imagine que ce n'est qu'un oubli.
Pour les nouvelles, j'ai essayé de faire un scan par ZHPDiag et (à nouveau) par Malwarebytes, et à chaque fois le scan s'interrompt brutalement, sans indiquer de message d'erreur (ni par le soft, ni par windows). Comme indiqué dans le 1er message, ces soft sont ensuite inacessibles (boite de dialogue windows "don't have permission to access). J'ai désinstallé ces softwares pour l'instant.
Donc je n'ai actuellement aucun moyen de diagnostic disponible (sauf Combofix que je n'ai pas encore lancé).
Merci de votre aide.
Vu que je suis poli, que je n'écris pas en SMS et que j'ai essayé de donner un maximum d'info dans le message initial, j'imagine que ce n'est qu'un oubli.
Pour les nouvelles, j'ai essayé de faire un scan par ZHPDiag et (à nouveau) par Malwarebytes, et à chaque fois le scan s'interrompt brutalement, sans indiquer de message d'erreur (ni par le soft, ni par windows). Comme indiqué dans le 1er message, ces soft sont ensuite inacessibles (boite de dialogue windows "don't have permission to access). J'ai désinstallé ces softwares pour l'instant.
Donc je n'ai actuellement aucun moyen de diagnostic disponible (sauf Combofix que je n'ai pas encore lancé).
Merci de votre aide.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
14 août 2011 à 14:10
14 août 2011 à 14:10
Salut,
Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement surtout en respectant l'ordre des étapes et attendre d'avoir fini chaque étape pour passer à la suivante.
Bien poster les rapports comme demandés afin de pouvoir les analyser.
Les étapes de la procédure doivent être suivies l'une après l'autre et pas à faire en même temps.
ETAPE 1 :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.
ETAPE 2 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
ETAPE 3 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Bienvenue.
Voici la procédure à suivre.
Prière de lire attentivement les instructions pour les suivre correctement surtout en respectant l'ordre des étapes et attendre d'avoir fini chaque étape pour passer à la suivante.
Bien poster les rapports comme demandés afin de pouvoir les analyser.
Les étapes de la procédure doivent être suivies l'une après l'autre et pas à faire en même temps.
ETAPE 1 :
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Poste le rapport ici.
ETAPE 2 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
ETAPE 3 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Encore des news (désolé de flood, je pense que c'est utile).
A la lecture d'autres pbs similaires sur le forum, j'ai lancé Reload_TDSSKiller, qui lui aussi s'est planté en cours de scan, mais a tout de même écrit une partie du log résultat.
La dernière ligne du log porte sur le fameux processus 304991952:791794413.exe déjà cité...
J'ai uploadé le rapport du TDSS Killer : http://www.cijoint.fr/cjlink.php?file=cj201108/cijCYzWxHT.txt
A la lecture d'autres pbs similaires sur le forum, j'ai lancé Reload_TDSSKiller, qui lui aussi s'est planté en cours de scan, mais a tout de même écrit une partie du log résultat.
La dernière ligne du log porte sur le fameux processus 304991952:791794413.exe déjà cité...
J'ai uploadé le rapport du TDSS Killer : http://www.cijoint.fr/cjlink.php?file=cj201108/cijCYzWxHT.txt
Salut et merci pour ta réponse :)
Je synthétise proprement le résultat des étapes indiquées
Etape 1 : TDSS Killer --> voir message précédent avec le rapport de scan
Etape 2 : Malwarebytes
--> Mise à jour ok (N°7463)
--> comme proposé dans le lien que tu indiquais, si le software était bloqué par le malware, j'ai lancé Rkill (en mode normal). Les seuls process tués étaient des chrome.exe (le browser était pourtant déjà fermé).
Pour être sûr, j'ai tout de même redémarré en mode sans échec + network (comme proposé dans ton lien), lancer Rkill (aucun process tué), et lancé Malware. Même résultat que précédemment, le soft s'arrête avant la fin du scan.
L'étape 2 ayant échoué, je n'ai pas fait l'étape 3.
Je n'ai pas encore tenté de restauration du système. Est ce que, vu la situation, c'est la solution que tu recommandes ?
Corollaire : suite à la restauration, est ce que je repasse les étapes 1/2/3 ?
Corollaire n°2 : est-ce possible de savoir via quel site il s'est propagé sur mon PC ? Pour info, le site cestpasfaux.tv était inaccessible qques heures avant l'infection.
Je synthétise proprement le résultat des étapes indiquées
Etape 1 : TDSS Killer --> voir message précédent avec le rapport de scan
Etape 2 : Malwarebytes
--> Mise à jour ok (N°7463)
--> comme proposé dans le lien que tu indiquais, si le software était bloqué par le malware, j'ai lancé Rkill (en mode normal). Les seuls process tués étaient des chrome.exe (le browser était pourtant déjà fermé).
Pour être sûr, j'ai tout de même redémarré en mode sans échec + network (comme proposé dans ton lien), lancer Rkill (aucun process tué), et lancé Malware. Même résultat que précédemment, le soft s'arrête avant la fin du scan.
L'étape 2 ayant échoué, je n'ai pas fait l'étape 3.
Je n'ai pas encore tenté de restauration du système. Est ce que, vu la situation, c'est la solution que tu recommandes ?
Corollaire : suite à la restauration, est ce que je repasse les étapes 1/2/3 ?
Corollaire n°2 : est-ce possible de savoir via quel site il s'est propagé sur mon PC ? Pour info, le site cestpasfaux.tv était inaccessible qques heures avant l'infection.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
14 août 2011 à 14:53
14 août 2011 à 14:53
Malwarebyte est inefficace contre ce malware.
Vois si la restauration du système fonctionne.
Vois si la restauration du système fonctionne.
Mauvaise nouvelle : je n'ai plus de point de restauration antérieur à l'infection !!
Au début de l'infection, j'ai pu constater en utilisant CCleaner qu'il y avait bien des points de restauration (l'un des onglets donne la liste des points de restauration).
Ce matin, j'ai eu une mise à jour automatique de windows (update de IE7), que j'ai accepté. Il n'y avait qu'une seule mise à jour, et pas le traditionnel Malware Removal Tools que j'espérais.
Aujourd'hui, dans la liste des points de restauration (que ce soit via l'outil de restauration et via CCleaner), seul le dernier point est affiché, et il correspond à mon avis à l'heure de la mise à jour (~11h). Le nom du point de restauration est "Software Distribution Service 3.0".
Il n'y a rien d'autre...
Est-ce possible que l'update IE7 soit un fake et ait supprimé les points de restauration ? C'est pourtant étonnant vu le délai entre l'infection et la demande de mise à jour (infection vers 20h, PC allumé jusqu'à 4h, rallumé vers 10h, et demande d'update vers 11h). Bref, peu importe dans mon cas, le mal est fait, mais je le précise au cas où ça se reproduirait chez d'autre...
Au début de l'infection, j'ai pu constater en utilisant CCleaner qu'il y avait bien des points de restauration (l'un des onglets donne la liste des points de restauration).
Ce matin, j'ai eu une mise à jour automatique de windows (update de IE7), que j'ai accepté. Il n'y avait qu'une seule mise à jour, et pas le traditionnel Malware Removal Tools que j'espérais.
Aujourd'hui, dans la liste des points de restauration (que ce soit via l'outil de restauration et via CCleaner), seul le dernier point est affiché, et il correspond à mon avis à l'heure de la mise à jour (~11h). Le nom du point de restauration est "Software Distribution Service 3.0".
Il n'y a rien d'autre...
Est-ce possible que l'update IE7 soit un fake et ait supprimé les points de restauration ? C'est pourtant étonnant vu le délai entre l'infection et la demande de mise à jour (infection vers 20h, PC allumé jusqu'à 4h, rallumé vers 10h, et demande d'update vers 11h). Bref, peu importe dans mon cas, le mal est fait, mais je le précise au cas où ça se reproduirait chez d'autre...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
14 août 2011 à 17:49
14 août 2011 à 17:49
Non pour la mise à jour.
Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://pjjoint.malekal.com/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
La procédure ComboFix est terminée. Le lien vers le rapport de scan : http://www.cijoint.fr/cjlink.php?file=cj201108/cij2NHRtMq.txt
NB : le processus xxxxxx:xxxxxx.exe mentionné plus haut a disparu du Task Manager.
NB : le processus xxxxxx:xxxxxx.exe mentionné plus haut a disparu du Task Manager.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
Modifié par Malekal_morte- le 14/08/2011 à 18:50
Modifié par Malekal_morte- le 14/08/2011 à 18:50
Ca c'est la réponse à ta question précédente, comment c'est venu... :
c:\documents and settings\draculito\Application Data\Adobe\plugs
c:\documents and settings\draculito\Application Data\Adobe\plugs\mmc1330765.txt
c:\documents and settings\draculito\Application Data\Adobe\plugs\mmc158.exe
c:\documents and settings\draculito\Application Data\Adobe\plugs\mmc69.exe
c:\documents and settings\draculito\Application Data\Adobe\shed
c:\documents and settings\draculito\Application Data\Adobe\shed\thr1.chm
Trojan.Karagany que tu as choppé par un exploit sur site web.
Ca veux dire que tu as des programmes pas à jour qui permettent l'infection de ton PC.
=> https://www.malekal.com/java-exploit-en-augmentation-tdss-hiloti/
DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
Enregistre ce fichier sous le nom CFScript
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
[*]Combofix se lance, laisse toi guider..
[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.
Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
c:\documents and settings\draculito\Application Data\Adobe\plugs
c:\documents and settings\draculito\Application Data\Adobe\plugs\mmc1330765.txt
c:\documents and settings\draculito\Application Data\Adobe\plugs\mmc158.exe
c:\documents and settings\draculito\Application Data\Adobe\plugs\mmc69.exe
c:\documents and settings\draculito\Application Data\Adobe\shed
c:\documents and settings\draculito\Application Data\Adobe\shed\thr1.chm
Trojan.Karagany que tu as choppé par un exploit sur site web.
Ca veux dire que tu as des programmes pas à jour qui permettent l'infection de ton PC.
=> https://www.malekal.com/java-exploit-en-augmentation-tdss-hiloti/
DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
driver:: d0ce2d12 ADS:: C:\WINDOWS\system32\304991952:791794413.exe
Enregistre ce fichier sous le nom CFScript
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
[*]Combofix se lance, laisse toi guider..
[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.
Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
Pour info, ComboFix indiquait (lors de sa 1ère exécution) qu'il s'agissait du Rootkit ZeroAccess.
Voici le lien du log de la 2nde exécution de ComboFix : http://pjjoint.malekal.com/files.php?id=4c71b2dc48z7g10l11w6s12v14t15v7s5g10o15p8i5y10m8n12m5o11u12r6
Voici le lien du log de la 2nde exécution de ComboFix : http://pjjoint.malekal.com/files.php?id=4c71b2dc48z7g10l11w6s12v14t15v7s5g10o15p8i5y10m8n12m5o11u12r6
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
Modifié par Malekal_morte- le 14/08/2011 à 19:08
Modifié par Malekal_morte- le 14/08/2011 à 19:08
oui c'est l'autre nom de Maxx++
Désinstalle Hitman truc ça sert à rien .....
Retente TDSSKiller voir si ça passe.
Ne nettoye rien avec. Poste juste le rapport.
Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
Désinstalle Hitman truc ça sert à rien .....
Retente TDSSKiller voir si ça passe.
Ne nettoye rien avec. Poste juste le rapport.
Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
Le log de TDSS Killer, qui semble clean : http://pjjoint.malekal.com/files.php?id=96d22aea22v11w14n13e8v13x8p8q7e14i15z11z12d7m11i7d10w5u9n7v13
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
Modifié par Malekal_morte- le 14/08/2011 à 19:27
Modifié par Malekal_morte- le 14/08/2011 à 19:27
OK, je pense qu'on a repris la main sur le système.
Fais un scan OTL histoire de voir : https://forums.commentcamarche.net/forum/affich-22884002-liens-detournes-vers-homepage-google#4
Possible que ton antivirus soit explosé, faut le désinstaller et réinstaller dans ce cas.
Je vais bouger donc je répondrais tard ou demain :)
Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
Fais un scan OTL histoire de voir : https://forums.commentcamarche.net/forum/affich-22884002-liens-detournes-vers-homepage-google#4
Possible que ton antivirus soit explosé, faut le désinstaller et réinstaller dans ce cas.
Je vais bouger donc je répondrais tard ou demain :)
Yes, no, maybe
I don't know
Can you repeat the question?
You're not the boss of me now
Les log de OTL
--> OTL.txt : http://pjjoint.malekal.com/files.php?id=9b13b8d24dv13h8o10m12q15t6v15e13r15z15v12f5i15l13x6z11c9h8128
--> Extras.txt : http://pjjoint.malekal.com/files.php?id=bde700abdcv6f14h11g6z12e10u9m12u11w12o9c11b5z9x11v11u11o11c14f9
Je n'ai pas d'antivirus (pas tapé) vu qu'un firewall a toujours été suffisant depuis 10 ans, sauf pour Blaster quand il est apparu.
Vu ce que j'ai lu aujourd'hui sur les rootkits, des scans online (après infection) seront inefficaces, donc je vais peut-être revoir ma position.
--> OTL.txt : http://pjjoint.malekal.com/files.php?id=9b13b8d24dv13h8o10m12q15t6v15e13r15z15v12f5i15l13x6z11c9h8128
--> Extras.txt : http://pjjoint.malekal.com/files.php?id=bde700abdcv6f14h11g6z12e10u9m12u11w12o9c11b5z9x11v11u11o11c14f9
Je n'ai pas d'antivirus (pas tapé) vu qu'un firewall a toujours été suffisant depuis 10 ans, sauf pour Blaster quand il est apparu.
Vu ce que j'ai lu aujourd'hui sur les rootkits, des scans online (après infection) seront inefficaces, donc je vais peut-être revoir ma position.
Pour compléter le tableau, actuellement, le PC semble tourner correctement (pas de process anormal dans le Task Manager, pas de redirection vers de fausses pages web) à l'exception des 2 points suivants.
1/ Firefox freeze toujours après le lancement d'une page. Ca dure environ 20-30s. Je ferais une desinstallation/réinstallation.
2/ les exécutables de Internet Explorer et de Mediamonkey sont inopérants (Boite de dialogue "Windows cannot access the specified device, path or file, you may not have the permission to access the item".
Je mentionne particulièrement Mediamonkey vu que je l'ai vu dans le log Extras.txt de OTL (alors qu'il n'est pas sensé lancer quoi que ce soit au démarrage du PC) et que c'était le seul programme "utilisateur" en activité lorsque l'infection s'est déclarée.
J'essayerai des désinstallations/réinstallations mais je ne fais rien pour l'instant pour ne pas interférer avec les diagnostics déjà réalisés.
1/ Firefox freeze toujours après le lancement d'une page. Ca dure environ 20-30s. Je ferais une desinstallation/réinstallation.
2/ les exécutables de Internet Explorer et de Mediamonkey sont inopérants (Boite de dialogue "Windows cannot access the specified device, path or file, you may not have the permission to access the item".
Je mentionne particulièrement Mediamonkey vu que je l'ai vu dans le log Extras.txt de OTL (alors qu'il n'est pas sensé lancer quoi que ce soit au démarrage du PC) et que c'était le seul programme "utilisateur" en activité lorsque l'infection s'est déclarée.
J'essayerai des désinstallations/réinstallations mais je ne fais rien pour l'instant pour ne pas interférer avec les diagnostics déjà réalisés.
J'en ai profité pour passer un coup de Malwarebytes, qui a trouvé 7 fichiers infectés, dont redbook.sys et kbipx32.dll qui étaient impliqués au début de l'infection. Ces fichiers ont été placés en quarantaine.
Le compte-rendu du scan : http://pjjoint.malekal.com/files.php?id=02ea6f33045r5b5y1111n6e7l11n13n6h15n8y11q5v8k11x12r13n12b15
Une seconde passe de Malwarebytes ne détecte rien d'anormal. Le compte-rendu de ce second scan : http://pjjoint.malekal.com/files.php?id=250ae3663cw13g13v13l13v13e11f13i8v10g5v6x14t11i5i8r11f14w9k15g13
Je pense qu'il sera nécessaire de réparer les fichiers supprimés avec le CD windows mais j'attends ta confirmation avant d'aller plus loin.
Le compte-rendu du scan : http://pjjoint.malekal.com/files.php?id=02ea6f33045r5b5y1111n6e7l11n13n6h15n8y11q5v8k11x12r13n12b15
Une seconde passe de Malwarebytes ne détecte rien d'anormal. Le compte-rendu de ce second scan : http://pjjoint.malekal.com/files.php?id=250ae3663cw13g13v13l13v13e11f13i8v10g5v6x14t11i5i8r11f14w9k15g13
Je pense qu'il sera nécessaire de réparer les fichiers supprimés avec le CD windows mais j'attends ta confirmation avant d'aller plus loin.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 656
15 août 2011 à 08:05
15 août 2011 à 08:05
"Windows cannot access the specified device, path or file, you may not have the permission to access the item".
C'est l'infection qui fait ça.
Menu Démarrer / Tous les programmes / Accessoires et clic droit/executer en tant qu'administrateur sur invites de commandes.
Faut taper la commande suivante :
cacls "chemin de l'exe" /P "Tout le monde:F"
exemple :
cacls "C:\Program Files\Mediamonkey\Mediamonkey.exe" /P "Tout le monde:F"
à répeter pour tous les .exe bloqués.
C'est l'infection qui fait ça.
Menu Démarrer / Tous les programmes / Accessoires et clic droit/executer en tant qu'administrateur sur invites de commandes.
Faut taper la commande suivante :
cacls "chemin de l'exe" /P "Tout le monde:F"
exemple :
cacls "C:\Program Files\Mediamonkey\Mediamonkey.exe" /P "Tout le monde:F"
à répeter pour tous les .exe bloqués.