Pre_scan g3n-h@ckm@n / Security Protection

Résolu
arnoarno35 Messages postés 37 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,
Bloqué (utilitaires qui se ferment) dans la résolution de ma désinfection de Security Protection, je me permets de poster mon log pre_scan.

http://www.cijoint.fr/cjlink.php?file=cj201108/cijVhdyf7N.txt

Merci par avance.

toute piste / info / remarque est la bienvenue

50 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

La difficulté porte sur le blocage d’utilitaires qui se ferment lors de la désinfection associée à Security Protection et la publication du log pre_scan pour analyse. Des précisions indiquent la nécessité d’utiliser le bon rapport (pre_scan vs pre_script) et que les outils sur le bureau doivent être actifs et régulièrement mis à jour. Par ailleurs, des éléments pratiques mentionnent des répertoires observés (C_windows, Downloaded program files) et recommandent de consulter le rapport Delfix, ou d’utiliser Defogger et Combofix selon les instructions. En outre, il faut noter que des restes peuvent subsister dans certains répertoires et que consulter le rapport Delfix peut clarifier les étapes suivantes.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g3n-h@ckm@n
     
    il est meme pas complet et si je preconise de poster dans un nouveau sujet c'est certainement pas pre_script , tu dois confondre avec pre_scan

    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    1
  2. g3n-h@ckm@n
     
    ce n'est pas ce qui est demandé

    les outils s'ils sont demandés à etre sur le bureau c'est qu'ils doivent l'etre

    et si tu comptes garder les outils pour plus tard , c'est inutile ils sont remis à jour tous les jours
    1
  3. g3n-h@ckm@n
     
    salut desinstalle adobe reader

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
    sans les lignes , en une seule fois en le mettant en surbrillance :
    ___________________________________________________
    Registry::
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Adobe Reader Speed Launcher]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\H3O8CABBPI]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\JP595IR86O]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Load]
    [-HKEY_CURRENT_USER\Software\14177BD63960526830FDD3286B0266CE]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\conhost]

    file::
    C:\WINDOWS\3419245397e5206.xkx
    C:\WINDOWS\Jkowaa.exe
    C:\Documents and Settings\lara.huriaux\Application Data\Microsoft\conhost.exe
    C:\Documents and Settings\lara.huriaux\g2mdlhlpx.exe

    folder::
    C:\Documents and Settings\lara.huriaux\Application Data\Adobe\plugs
    C:\Documents and Settings\lara.huriaux\Application Data\Adobe\shed
    C:\WINDOWS\1249790240

    attrib::

    ___________________________________________________

    copie-le (ctrl+c ou clique droit sur la selection puis => copier)

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer
    0
    1. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      slt Gen

      http://www.commentcamarche.net/forum/affich-22898807-security-protection-utilitaires-inactifs
      0
  4. g3n-h@ckm@n
     
    c'est quoi ce souc ?

    http://www.commentcamarche.net/forum/affich-22898807-security-protection-utilitaires-inactifs

    Merci FRANCK !
    0
    1. Utilisateur anonyme
       
      Bonjour Gen

      Je viens de demander de fermer le topic sur lequel j'intervenait.
      Bonne continuation

      @+
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. arnoarno35 Messages postés 37 Statut Membre
     
    pas de souk.
    dans d'autres postes tu invites les gens à poster plutôt leur propre log pré-script dans un nouveau fil. voilà pourquoi.

    log pré-script.

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 1.0.2.65 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤ XP | Vista | Seven - 32/64 bits ¤¤¤¤¤

    Mise à jour : 20/08/2011 | 11.30 Par g3n-h@ckm@n
    Utilisateur : lara.huriaux (Administrateurs)
    Ordinateur : LARAHURIAUX
    Système d'exploitation : Microsoft Windows XP (32 bits)
    Internet Explorer : 8.0.6001.18702
    Mozilla Firefox : 5.0 (fr)

    Switchs possibles :

    processes:: | file:: | folder:: | Registry::
    Driver:: | replace:: | DNS:: | Command::
    attrib:: | txt:: | Host:: | NsLook::
    list:: | IP::

    Script : 16:23:20

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Modification du registre effectuée

    ¤

    Supprimé : C:\WINDOWS\3419245397e5206.xkx
    Absent : C:\WINDOWS\Jkowaa.exe
    Absent : C:\Documents and Settings\lara.huriaux\Application Data\Microsoft\conhost.exe
    Supprimé : C:\Documents and Settings\lara.huriaux\g2mdlhlpx.exe

    ¤

    Absent : C:\Documents and Settings\lara.huriaux\Application Data\Adobe\plugs
    Absent : C:\Documents and Settings\lara.huriaux\Application Data\Adobe\shed
    0
  7. g3n-h@ckm@n
     
    alors t'as ps tout collé dans le texte qui s'ouvre
    0
  8. arnoarno35 Messages postés 37 Statut Membre
     
    voici une nouvelle version plus exhaustive du log.

    http://www.cijoint.fr/cjlink.php?file=cj201108/cij6rbeCaT.txt

    merci pour ton implication.
    0
  9. arnoarno35 Messages postés 37 Statut Membre
     
    @Guillaume5188 :
    - si je renomme combofix.exe en asdehi.exe, alors lorsque je lance, peu apres le disclaimer, il s'arrête, détecté j'imagine par le virus comme les autres utilitaires (d'où "feu" mon message utilitaires inactifs....)
    - si je le renomme juste en asdehi je ne sais pas comment lancé l'exécutable.
    0
  10. g3n-h@ckm@n
     
    Télécharge ici :OTL

    enregistre le sur ton Bureau.

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    => Clique ici pour voir la Configuration

    ▶Clic sur Analyse.

    A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

    Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    juste au niveau du bouton , en fin de chargement du fichier , Un lien de cette forme apparaitra :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    ▶ Copie ce lien dans ta réponse.

    ▶▶ Tu feras la meme chose avec le "Extra.txt" qui logiquement sera aussi sur ton bureau.
    0
  11. arnoarno35 Messages postés 37 Statut Membre
     
    salut,

    OTL a pu tourner, avec un message "scans complete" en fin.
    par contre un message d'erreur intermediaire est apparu:

    http://www.cijoint.fr/cjlink.php?file=cj201108/cij136LElf.gif

    le scan otl.txt:

    http://www.cijoint.fr/cjlink.php?file=cj201108/cijvin9vj1.txt

    l'extras.txt:

    http://www.cijoint.fr/cjlink.php?file=cj201108/cijCwbTklA.txt
    0
  12. g3n-h@ckm@n
     
    re

    ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur OTL.exe pour le lancer.

    ▶Copie la liste qui se trouve en gras ci-dessous,

    ▶ colle-la dans la zone sous "Personnalisation" :


    :processes
    explorer.exe
    iexplore.exe
    firefox.exe
    msnmsgr.exe
    Teatimer.exe

    :OTL
    FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
    FF - prefs.js..network.proxy.http: "127.0.0.1"
    FF - prefs.js..network.proxy.http_port: 55414
    O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
    O16 - DPF: {C7C7152F-6E85-44F3-A14B-A7F85FDDEA3B} http://localhost/Corpv7/bin/tol7inst.cab (InstallerCtrl Class)
    O16 - DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)
    O16 - DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab (Java Plug-in 1.6.0_22)

    :Files
    C:\WINDOWS\1249790240
    C:\Documents and Settings\All Users\Application Data\PKP_DLev.DAT
    C:\Documents and Settings\All Users\Application Data\PKP_DLes.DAT
    C:\Documents and Settings\All Users\Application Data\PKP_DLet.DAT
    @Alternate Data Stream - 816 bytes -> C:\WINDOWS\1249790240:3753279925.exe

    :commands
    [CLEARALLRESTOREPOINTS]
    [emptytemp]
    [start explorer]
    [reboot]


    ▶ Clique sur "Correction" pour lancer la suppression.

    ▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
    0
  13. arnoarno35 Messages postés 37 Statut Membre
     
    après lancement de la correction, le pc ne reboote pas.
    il reste figé, sans explorer (ecran vide)..

    si je relance un explorer.exe, je constate que OTL ne tourne plus, et que mon OTL.exe est "désactivé": fichier présent sans icone, et si je doubleclique dessus: "windows ne peut acceder au ..."

    le même symptome lorsque j'essayais de faire tourner les autres utilitaires.
    0
  14. arnoarno35 Messages postés 37 Statut Membre
     
    idem en essayant de renommer au préalable OTL.exe en winlogon.exe
    0
  15. g3n-h@ckm@n
     
    poste C:\_OTL\Moved Files\la_date_et_l'heure.log
    0
  16. arnoarno35 Messages postés 37 Statut Membre
     
    salut,
    je n'ai pas de xxx.log.
    j'ai 2 repertoires dans moved files:
    - C_windows : avec 1249790240 et repertoire Downloaded program files qui contient Tol7Inst.inf
    - C_documents and settings: qui contient all user / application data et les 3 fichiers PKPxxx.dat
    0
  17. arnoarno35 Messages postés 37 Statut Membre
     
    idem, reste bloqué en "sans explorer".
    pas de log, et je ne vois apparaitre dans moved files que le fichier - C_windows : avec 1249790240.
    0
  18. g3n-h@ckm@n
     

    /!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

    __________________________________________________________
    >Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
    >>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
    =====================================================


    ▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

    Telecharge ici : Combofix

    Avant d'utiliser ComboFix :

    Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
    La simple désactivation du résident n'est pas suffisante.
    Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
    Choisis la version adéquate (32 ou 64 bits)/!\

    Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

    ▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

    ▶ Lance le

    Une fenêtre apparait : clique sur "Disable"

    ▶ Fais redémarrer l'ordinateur si l'outil te le demande

    Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

    _________________________________________________________
    >> referme les fenêtres de tous les programmes en cours.
    >> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
    >>la protection en temps réel de ton Antivirus et de tes Antispywares,
    >>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    °°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "executer en tant que...."


    sur combofix renommé

    ¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

    ▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

    ▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    ▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
  19. arnoarno35 Messages postés 37 Statut Membre
     
    salut,
    combofix a pu tourné à priori jusqu'au bout.
    rapport:
    http://www.cijoint.fr/cjlink.php?file=cj201108/cijLQHBmdM.txt
    0
  • 1
  • 2
  • 3