Cheval de Troie : Agent_r.ARN

Question

Bonjour, 
En faisant mon analyse avec AVG 2011, je découvre que je suis infecté d'un cheval de troie depuis hier...
Aucun site ne parle de ce cheval de troie là...
Qui peut me dire comment s'en débarraser ?
Mon ordi n'arrête plus de planter depuis hier...
Merci pour votre réponse.


Configuration: Windows XP / Firefox 3.6.24

forever374 · Answer

un cheval de droit est un virus qui se contracte via des site de porno ou allor des pop up

sa commence pas des pop up puis si tu ne le detruie pas il se transformera en polymorph ( indetectable par ton antivirus mais il est bien la mdr )

desinstale avg et instal MSE 

Microsoft
Security
Essential

g3n-h@ckm@n · Answer

salut un peu de serieux

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

netsvcs
safebootminimal
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
CREATERESTOREPOINT 

&#9654 Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\OTL.txt)

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et Extra.txt ici : https://www.cjoint.com/ puis donne les liens obtenus

krysst · Answer

Bonjour,
Merci pour ton aide.
Voici le lien : http://cjoint.com/?AKyjSGxdp4p
A bientôt,
Krysst

krysst · Answer

Voilà le extra text : http://cjoint.com/?AKyrMc6h47X
Merci,
Christian

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWcleaner sur ton bureau : 

ADWCleaner (Merci à Xplode) 

Lance le, 

clique sur suppression et poste son rapport. 

========================= 

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours 

telecharge et enregistre ceci sur ton bureau : 

Pre_Scan 

si le lien ne fonctionne pas : 

http://www.archive-host.com 

Avertissement: Il y aura une extinction du bureau pendant le scan --> pas de panique.  

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau. 

si 'outil est bloqué par l'infection utilise cette version : Version .pif 

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy" 

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr 

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler  

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan 

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long) 

heberge le rapport ici : https://www.cjoint.com/ puis donne le lien obtenu

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

krysst · Answer

voilà déjà un 1er résultat : http://cjoint.com/?AKysBk8FuEH

krysst · Answer

voilà la suite : http://cjoint.com/?AKytF3saBTv

g3n-h@ckm@n · Answer

desinstalle Firefox et reinstalle la derniere version :

https://www.mozilla.org/en-US/firefox/new/

==========================

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

Lance Pre_script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"AdobeBridge"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"=-
"Cpqset"=-
""=-      
"HP Software Update"=-
"QuickTime Task"=-
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved]  
""=-      
[-HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{5986838D-31CA-424C-AD9C-29ABD33A05F8}]
[-HKLM\Software\13fe]  
[-HKLM\Software\59f]      
[-HKLM\Software\BrowserChoice]  
[HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]  
"1900:UDP"=-
"2869:TCP"=-

file::
C:\Documents and Settings\Samy\Bureau\cacaoweb[1].exe                   
C:\Documents and Settings\Samy\Application Data\qvjsge.dat 
C:\WINDOWS\keys.ini    
C:\Documents and Settings\All Users\Application Data\59CFF8A718.sys      
C:\Documents and Settings\All Users\Application Data\GbiXkHS.dat      

folder::
C:\WINDOWS\$NtUninstallKB61292$       
C:\WINDOWS\95E1E426EE9E4F688F0258A5A09B38F3.TMP      

attrib::                      

clean::     
___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail 

si ton bureau ne reapparait pas => ctrl+alt+supp , gestionnaire des taches => onglet fichier => nouvelle tache puis tape explorer

krysst · Answer

quand je glisse une icone sur pre_scan, c'est pre_scan qui s'ouvre... je n'ai pas de pre-script ?

g3n-h@ckm@n · Answer

prends-le ici

http://dl.dropbox.com/u/21363431/Pre_Script.exe

krysst · Answer

voilà : 	http://cjoint.com/?AKyuIkNe7o5

g3n-h@ckm@n · Answer

&#9654 Télécharge Reload_TDSSKiller

&#9654 Lance le 

choisis : lancer le nettoyage

l'outil va automatiquement télécharger la derniere version puis 

TDSSKiller va s'ouvrir , clique sur "Start Scan"

Si TDSS.tdl2 est détecté l''option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l''option cochée sur Skip 
Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas

une fois qu'il a terminé , redemarre s'il te le demande pour finir de nettoyer

sinon , ferme tdssKiller et le rapport s'affichera sur le bureau

&#9654 Copie/Colle son contenu dans ta prochaine réponse.

krysst · Answer

voilà : http://cjoint.com/?AKyvGg4E1k3

g3n-h@ckm@n · Answer

mmmmmm......


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

krysst · Answer

Comment tu le mets à jour ?

g3n-h@ckm@n · Answer

c'est proposé à l installation sinon à l'onglet mise à jour

Krysst · Answer

Bonjour,
Cela fait maintenant plus de 35 heures que l'analyse est en cours avec Malwarebytes... A ce stade :
- seuls 128842 fichiers ont été analysés
- 0 éléments infectés
Cela progresse toujours, mais très très lentement...
Est ce bien normal ?
Continue-t-on ainsi ?

Krysst · Answer

Bonjour,
L'analyse est finalement terminée, après plus de 60h de travail...
Voilà le résultat : 	http://cjoint.com/?AKBwdCJdVcs
Au passage,  AVG a disparu de mon écran...
Est ce qu'il faut supprimer les fichiers indiqués ?
A bientôt...

g3n-h@ckm@n · Answer

re

as-tu bien supprimé les objets infectieux detectés par malwarebytes ?

Krysst · Answer

Ils sont dans la quarantaine de Malwarebytes... je ne savais pas si je pouvais les effacer...
Il y a t il d'autres actions à effectuer ?

g3n-h@ckm@n · Answer

refais un scan OTL stp

krysst · Answer

avec le texte en gras ?

krysst · Answer

voilà le résultat : http://cjoint.com/?AKDpsUB1ioS
je l'ai fait avec le texte en gras comme la 1ère fois.

g3n-h@ckm@n · Answer

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! 

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.


&#9654Copie la liste qui se trouve en gras ci-dessous,

&#9654 colle-la dans la zone sous "Personnalisation" :


:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe

:OTL
SRV - File not found [Auto | Stopped] --  -- (0172131272974299mcinstcleanup) McAfee Application Installer Cleanup (0172131272974299)      
DRV - [2009/11/11 07:43:00 | 000,051,800 | ---- | M] (McAfee, Inc.) [Kernel | Boot | Running] -- C:\WINDOWS\System32\drivers\SbAlg.sys -- (SbAlg) 
DRV - [2009/11/11 07:42:52 | 000,013,256 | ---- | M] (McAfee, Inc.) [File_System | Boot | Running] -- C:\WINDOWS\System32\drivers\SbFsLock.sys -- (SbFsLock)  
DRV - [2009/11/11 07:42:50 | 000,040,088 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\System32\drivers\rsvlock.sys -- (RsvLock)   
DRV - [2009/05/15 16:15:14 | 000,214,024 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\mfehidk.sys -- (mfehidk) 
DRV - [2009/05/15 16:15:14 | 000,079,816 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mfeavfk.sys -- (MfeAVFK)
DRV - [2009/05/15 16:15:14 | 000,055,336 | ---- | M] (McAfee, Inc.) [Kernel | System | Running] -- C:\WINDOWS\system32\drivers\mfetdik.sys -- (mfetdik)  
DRV - [2009/05/15 16:15:14 | 000,035,272 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mfebopk.sys -- (MfeBOPK)  
DRV - [2009/05/15 16:15:14 | 000,034,248 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\WINDOWS\system32\drivers\mferkdk.sys -- (MfeRKDK) 
O33 - MountPoints2\{59c89648-2976-11e0-afc2-002713be20d2}\Shell\Shell00\Command - "" = E:\Start.exe  
SafeBootMin: 45973413.sys - Driver      
SafeBootNet: 45973413.sys - Driver      
[2011/11/23 22:49:12 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Ask   

:commands
[CLEARALLRESTOREPOINTS]
[emptytemp]
[start explorer]
[reboot]


&#9654 Clique sur "Correction" pour lancer la suppression.


&#9654 Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.

krysst · Answer

Est ce que ça va être long comme analyse ?
Tout s'est éteint sur le bureau sauf la fenêtre OTL et un sablier?
J'ai besoin de mon ordi pour bosser ce matin...

krysst · Answer

Bon, l'ordi semble bloqué... rien ne bouge depuis ce matin... 
Plus de 4h que c'est comme ça...
Un conseil ?
J'ai vraiment besoin de mon ordi pour bosser...
Merci par avance...

g3n-h@ckm@n · Answer

bon redemarre-le

krysst · Answer

j'ai plus de bureau, je redémarre avec le bouton on/off ?

krysst · Answer

windows ne redemarre plus !!!

g3n-h@ckm@n · Answer

donne des precisions stp

krysst · Answer

ca me marque windows n'a pas pu redémarré , manque le fichier system32/Drivers/SbAlg.sys

g3n-h@ckm@n · Answer

bah c'est un reste de McAfee !!! 

bon redemarre ton pc et tapote la touche F5 (F8 sur certains PC) puis choisis mode sans echec 

le pc demarre-t-il ?

krysst · Answer

non impossible... ça revient toujours sur la page 
- mode sans echec
- etc...

krysst · Answer

ça me dit d'essayer de réparer avec le fichier original d'installation... je vais tout perdre ??

krysst · Answer

qu'est ce que je fais ?

g3n-h@ckm@n · Answer

essaie "derniere bonne configuration connue"

krysst · Answer

c'est là que ça marque de mettre le cd d'installation

krysst · Answer

en mode sans echec, ça boucle et il ne se passe rien

g3n-h@ckm@n · Answer

non

krysst · Answer

donc je fais quoi ?

g3n-h@ckm@n · Answer

là ou il y a 

mode sans echec 
 "  " "  " " " "  " " " "avec prise en charge reseau
invité de commande 

tu selectionnes : 

derniere bonne configuration connue

krysst · Answer

oui... c'est là qu'il marque il manque le fichier... et de tenter de réparer avec le cd d'install.

g3n-h@ckm@n · Answer

ok tu l'as pas le cd d'install ?

krysst · Answer

j'ai plein de cd 
- cd du systeme d'exploitation
- application and driver recovery dvd
c'est lequel ?

g3n-h@ckm@n · Answer

systeme d'exploitation mais j'y pense tu ne dois pas avoir ce fichier dedans , il va falloir qu on le remette en place à la main

as-tu un cd vierge sous la main ?

krysst · Answer

un cd-R.. ça va..

g3n-h@ckm@n · Answer

oui

suis ces indications (prends la version network) 

https://forum.malekal.com/viewtopic.php?t=23453&start=

demarre le pc qui demarre plus dessus via un demarrage sur cd :

aide :

https://www.commentcamarche.net/faq/7322-booter-sur-cd-changer-sequence-de-boot

dis-moi quand tu en es là

krysst · Answer

j'ai mis le cd rom, changé l'ordre... rien n'y fait... ça demarre pas

g3n-h@ckm@n · Answer

tu as bien executé OTLPENet.exe qui t'a ouvert un logiciel de gravure et qui t'a gravé l'image iso ?

krysst · Answer

j'ai gravé le cd.. ça a mis ok...
mais j'ai l'impression que c'est le cd sur l'ordi planté qui ne veut pas démarrer...

g3n-h@ckm@n · Answer

dont sur le cd tu as plusieurs fichiers/dossiers et non juste un seul correct ?

krysst · Answer

dans le bios il y a : legacy boot order,
j'ai mis USB CD-ROM en 1er...
mais il ne se passe rien au démarrage de windows, le cd ne tourne pas

g3n-h@ckm@n · Answer

usb cd-rom ?

t'as pas cdrom tout court ?

krysst · Answer

sur le cd, j'ai juste un fichier OTLPENet

krysst · Answer

non j'ai pas cd rom tout court

- USB CDROM
- NOTEBOOK UPGRADE BAY
-NOTEBOOK HARD DRIVE
-USB FLOPPY
-USB HARD DRIVESD CARD
-DOCK UPGRADE BAY

g3n-h@ckm@n · Answer

tu as mal lu

il fallait executer le fichier que tu as telechargé , ce qui t'ouvrait un logiciel de gravure (IMGBurn à mon souvenir) , et te proposait de graver le contenu de l'image OTLPENet.iso

krysst · Answer

exact me suis trompé de cd..
c'est en train de démarrer
désolé.. suis trop nul !!

g3n-h@ckm@n · Answer

lol ok quand tu es sur le bureau de reatogo on reglera ce souci normalement ton pc devrait repartir

krysst · Answer

mauvaise nouvelle... le cd a touné... le logiciel était en train de se cahrger et une fenetre bleue est apparue ..
A problem has been detected and windows been shut down
la fenetre est bloquée

g3n-h@ckm@n · Answer

pas la premiere fois que je vois ca avec ce cd live

pas grave tu as une clé usb sous la main ?

krysst · Answer

oui... mais la fenetre bleue est bloquée.. comment l'enlever ?

g3n-h@ckm@n · Answer

tu redemarreras le pc 

formate ta clé usb (poste de travail, clic droit sur la clé ,en format NTFS)

copie tout le contenu du cd dessus , puis essaie de demarrer le pc malade dessus

krysst · Answer

ça marche pas avec la clé usb... elle n'est pas reconnue pour démarrer
j'ai reessayé le cd, ça plante toujours...

g3n-h@ckm@n · Answer

re

c'est quoi le message comme quoi elle est pas reconnue ?

krysst · Answer

en fait le systeme ne demarre pas... donc je suppose qu'elle n'est pas reconnue..

g3n-h@ckm@n · Answer

essaie en reformatant la clé en FAT32

krysst · Answer

ok je reessaye

krysst · Answer

toujours pareil... ça demarre pas

g3n-h@ckm@n · Answer

ok essaie de demarrer le pc sur le cd du systeme d'exploitation 

ensuite tu fais R pour reparer

ensuite l'ecran devrait etre noir avec ecritures blanches te demandant sur quelle session de windows tu veux demarrer , à laquelle tu repondras "1"

confirme-moi deja ca de fonctionnel

krysst · Answer

oui ça ça fonctionne... il me demande un mot de passe administrateur... il n'y en a pas je crois je mets quoi ?

krysst · Answer

j'ai tapé enter sans mot de passe...
mais il met C:/Windows>
il doit vouloir quelque chose

g3n-h@ckm@n · Answer

c'est bon

dans l'ordre tape :

cd system32
cd restore
rstrui.exe

entrée à chaque fois

krysst · Answer

rstrui.exe : commande non reconnu

g3n-h@ckm@n · Answer

tape 

dir c:\windows

puis entrée

dans la liste vois-tu un dossier "Erunt" ?

krysst · Answer

je suppose que c'est dans l'ordre alphabétique...
il y a 
ehome
explorer.exe
...
Erunt
pas de Erunt

de plus le pc vient de s'arreter et de redemarrer

g3n-h@ckm@n · Answer

grrr ca va etre long !!...

tape 

dir "c:\_OTL\Moved Files"

krysst · Answer

le volume dans le lecteur C n'a pas de nom
Le numéro de série du volume est 8ce8-8e22

répertoire de c:\_OTL\Moved Files
Aucun fichier correspondant n'a été trouvé

g3n-h@ckm@n · Answer

rhalala !!

cd "c:\_OTL\Moved Files"

dir

krysst · Answer

le pc s'est encore éteint... tout à refaire...

krysst · Answer

apres avoir tapé 1, faut que je retape tout  ce qu'on a déjà fait ?

g3n-h@ckm@n · Answer

bizarre qu il s'éteigne sous console....

krysst · Answer

en fait il retourne à la page 
-echec
-... echec

la 1ère page

g3n-h@ckm@n · Answer

non retape que ca :

cd "c:\_OTL\Moved Files"

dir

krysst · Answer

le system n'a pas pu trouver le fichier sur le répertoire

il faut peut etre remettre le cd ?
 je suis trop nul, mais confirme moi qd meme..

g3n-h@ckm@n · Answer

heu booter sur le cd/console ? ben oui

krysst · Answer

je suis toujours sur le cd system...

sous c:\windows\system32\restore

j'ai tappé cd ... etc
et ça marque n'a pas pu trouver le fichier

g3n-h@ckm@n · Answer

non retape que ca :

cd "c:\_OTL\Moved Files"

dir

krysst · Answer

sous c:\windows

meme commentaire, n'a pas pu trouver le fichier

g3n-h@ckm@n · Answer

comment ca sous c:\windows .?

krysst · Answer

j'ai fait 
- R
- 1
- password
 là je tombe sous c:\windows
je tape : cd "c:\_OTL\Moved Files" 
et j'ai comme réponse : n'a pas pu trouver le fichier

krysst · Answer

acces refusé

g3n-h@ckm@n · Answer

dir c:

il te sort tout le contenu de c: ?

krysst · Answer

oui je pense... plusieurs pages

g3n-h@ckm@n · Answer

alors pourquoi il veut pas le faire avec le dossier otl ?

dir c:\_otl

krysst · Answer

ok

30/11/11 08:32a d------- 0 .
30/11/11 08:32a d------- 0 ..
30/11/11 08:32a d------- 0 MovedFiles
     3 Fichier(s)   0 octets
     35357024256 octets libres

c:\WINDOWS>

g3n-h@ckm@n · Answer

ah movedfiles etait collé !!! non mais quel ane !!!!!

===============

dir c:\_otl\MovedFiles 

donne que les noms de droite apres les "---"

krysst · Answer

le volume dans le lecteur n'a pas de nom
numero de série ...
Répertoire de c:\_otl\MovedFiles
30/11/11 08:32a d------- 0 .
30/11/11 08:32a d------- 0 ..
30/11/11 08:32a d------- 0 11302011_073254
3 Fichier(s) 0 octets
35357024256 octets libres

g3n-h@ckm@n · Answer

dir c:\_otl\MovedFiles\11302011_073254

donne que les noms de droite apres les "---"

krysst · Answer

30/11/11 08:33a d------- 0 .
30/11/11 08:33a d------- 0 ..
30/11/11 08:33a d------- 0 C_WINDOWS

g3n-h@ckm@n · Answer

dir c:\_otl\MovedFiles\11302011_073254\C_WINDOWS\system32\drivers

donne que les noms de droite apres les "---"

krysst · Answer

30/11/11 08:33a d-------           0 .
30/11/11 08:33a d-------           0 ..
11/11/09 08:43a -a------   51800  SbAlg.sys

g3n-h@ckm@n · Answer

il est bien là :)

copy /y "c:\_otl\MovedFiles\11302011_073254\C_WINDOWS\system32\drivers\SbAlg.sys" "C:\WINDOWS\system32\drivers\SbAlg.sys"

en une seule ligne

krysst · Answer

ça met parametre non valide

g3n-h@ckm@n · Answer

ok  

appuie sur la fleche direction du haut 1 coup , ca va te remarquer toute cette ligne , tu reviens en arriere dans la ligne et tu vires "/y"  2 fois appui sur la touche supp
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

krysst · Answer

trop tard, le pc a encore redemarré...
je vais tout retaper

g3n-h@ckm@n · Answer

grrrrrr  

sans le : /y 

s'il te dit   

1 fichier copié on devrait avoir gagné  

donc :

copy "c:\_otl\MovedFiles\11302011_073254\C_WINDOWS\system32\drivers\SbAlg.sys" "C:\WINDOWS\system32\drivers\SbAlg.sys" 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤  
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

krysst · Answer

Accès refusé

g3n-h@ckm@n · Answer

jusqu'au bout il va nous faire ch$$$$ celui-là !!!!

attrib c:\_otl\MovedFiles\11302011_073254\C_WINDOWS\system32\drivers\SbAlg.sys

krysst · Answer

le parametre n'est pas valide

krysst · Answer

pour info avant que je ne tape attrib, le pc avait encore une fois redemarré

g3n-h@ckm@n · Answer

bizzare cette console de recuperation

attrib -s c:\_otl\MovedFiles\11302011_073254\C_WINDOWS\system32\drivers\SbAlg.sys

krysst · Answer

acces refusé

g3n-h@ckm@n · Answer

c:\kill'em\save_script\erdnt.exe

krysst · Answer

commande non reconnue

g3n-h@ckm@n · Answer

t'as un autre cd ?

krysst · Answer

oui juste 1... mais je ne sais pas si il est bon...

g3n-h@ckm@n · Answer

je pense qu'on devrait essayer sous kubuntu ( linux ) 

avec ce systeme d'exploitation aucun fichier ni acces n est refusé

il a un gestionnaire de fichiers integré et permet d etre utilisé sans l'installer

regarde si ton cd est bon

krysst · Answer

il est vierge..; donc on peut essayer

g3n-h@ckm@n · Answer

ok 

tu communiques avec quoi sur le forum là ? un windows ?

krysst · Answer

oui j'ai un petit samsung windows xp 10" pour mes déplacements...
pas tres puissant

krysst · Answer

et avec un lecteur cd externe

krysst · Answer

si tu es ok.. je te propose qu'on arrete là pour ce soir... il me reste 3 h à dormir pour faire 2h de route et une grosse reunion demain...

peut on reprendre demain soir ?

g3n-h@ckm@n · Answer

ok

=============================================

t'as pas essayé avec ton lecteur cd externe sur le pc malade s'il est reconnu au demarrage? si ca se trouve ca fonctionne comme ca pour OTLPEnet^^

=============================================

sinon :

installe ceci :

http://alexfeinman.com/v2.htm

prends la version 32bits

ensuite telecharge ce fichier :

http://www.kubuntu.org/getkubuntu/download#download-block

clic sur download kubuntu ( en haut , pas sur les torrents ) , puis sur begin download

une fois le fichier de 700Mo telechargé clic droit dessus "copy image to cd/dvd"

ensuite tu bootes le pc malade dessus , tu choisis francais puis essayer sans installer

ca va demarrer sur le systeme integré du cd

il y a un menu demarrer , puis un gestionnaire de fichiers "Dolphin"

il faut que tu navigues dans le dossier c:\_otl\ ... jusqu'au fichier SbAlg.sys 

clic droit dessus , copier , et coller dans c:\windows\system32\drivers

si ca fonctionne , tu fais "redemarrer" comme avec windows et pendant le redemarrage une fois l'ecran devenu noir tu vires le cd et laisses le pc demarer normalement sous windows

krysst · Answer

je reessaye avec le lecteur externe comme tu le proposes... si ça marche pas je fais ta manip demain soir

g3n-h@ckm@n · Answer

pas de soucis 

je devais me coucher vers 23.00 pour me lever à 6.30 mais la tentation etait trop forte de  rester pour t'aider à faire repartir la bête....

krysst · Answer

je suis en train d'essayer avec le lecteur externe...
mais non ça marche pas...
donc je propose qu'on aille se coucher..
la suite demain...

T'es vraiment trop sympa...
je ne sais comment te remercier...
on en reparlera qd tout sera rentré dans l'ordre...

Alors bonne nuit et bon courage pour demain...
A demain soir ?

g3n-h@ckm@n · Answer

oui oui sans faute

j'ai encore quelques solutions :)

krysst · Answer

merci...
Bonne nuit

g3n-h@ckm@n · Answer

salut juste pour te dire que je t'ai pas oublié et que si je reponds pas de suite c est que je suis à table ou autre :)

krysst · Answer

salut, suis de retour... je vais faire la minip proposée hier soir :

http://alexfeinman.com/v2.htm
http://www.kubuntu.org/getkubuntu/download#download-block

krysst · Answer

La soirée commence mal..
Quand je clique sur : Here is the current 32 bit build.
Il ne se passe rien...
Donc je t'attends...

g3n-h@ckm@n · Answer

ok tiens je te l'envoie :

http://dl.dropbox.com/u/21363431/fichiers/ISORecorderV2RC1.msi

krysst · Answer

ok, qu'est ce que je fais avec ce fichier .. quelle est la procédure ?

krysst · Answer

Je résume la situation
Sur mon ordi sain, j'ai mis sur le bureau :
- IsoRecorder V2RC1
- kubuntu-11.10-d
J'ai essayé de cliquer droit sur ce fichier, 
je n'ai pas de fonction "copy image to cd/dvd" 
Que fais-je ?

krysst · Answer

pas là ce soir...
bon la situation devient critique..
j'ai besoin de mon ordi et de mes logiciels pour bosser.
si on trouve pas de solution je vais l'emmener en réparation...
autrement je vais prendre trop de retard dans mon travail.

g3n-h@ckm@n · Answer

re

plus haut je t'ai donné toute la procedure 

installer IsoRecorder V2RC1 , etc.....

krysst · Answer

J'ai suivi la procédure,
Sur mon ordi sain, j'ai mis sur le bureau :
- IsoRecorder V2RC1
- kubuntu-11.10-d
J'ai essayé de cliquer droit sur ce fichier kubuntu,
je n'ai pas de fonction "copy image to cd/dvd"
Donc... qu'est ce que je fais ?
Désolé de ne pas être très doué...
Merci :)

g3n-h@ckm@n · Answer

ok t'as installé ca ?

IsoRecorder V2RC1

krysst · Answer

il faut l'installer sur l'ordinateur sain ?

g3n-h@ckm@n · Answer

oui c'est le petit module qui te permettra d'avoir "copy to cd/dvd" dans le clic droit sur le fichier iso

krysst · Answer

ok
c'est fait
je clique droit ça ouvre une fenetre
source : fichier image
et ça marque : impossible d'utiliser ce media

krysst · Answer

je vais essayer avec un autre cd...

g3n-h@ckm@n · Answer

sinon essaie d'inserer le cd apres avoir la fenetre de gravure qui s'ouvre

krysst · Answer

Bon ok... c'est en train de graver...

krysst · Answer

Ok je suis sur le bureau ubuntu, je ne vois pas le gestionnaire de fichiers Dolphin

krysst · Answer

Pour info, il y a une fenetre alerte qui indique : désolé le programme Xorg a quitté de façon inattendue

krysst · Answer

Bon, en fin une bonne nouvelle...
A force de chercher partout, j'ai trouvé un moyen d'accéder et de déplacer SbAlg.sys...
L'interface est visiblement differente sur ma version et je n'est pas de Dolphin, mais c'est pas grave...
Et, l'ordinateur vient enfin de redémarrer...
Est il guéri pour autant ?
Qu'en penses tu ?

PS : Je respire un peu mieux... :)

krysst · Answer

Je viens de faire une analyse AVG...
Tout est ok

J'ai fait une recherche rapide sur Malwarebytes...
Tout est ok.

Je vais me coucher...
A très bientôt pour te remercier en live...
Bonne nuit :)

g3n-h@ckm@n · Answer

hello :) voila tu as evité de payer 1xx € chez un reparateur :) Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace _________________________________________________ Telecharge ici : PureRa (par l'editeur de JavaRa) Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7) => Configuration clique sur "Clean" L'outil va faire son scan puis son nettoyage à la fin du rapport tu auras une ligne comme ca : Total space cleaned: 8140878 bytes transmets juste cette ligne , le reste importe peu __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista/7) => Configuration fais le nettoyage dans le registre et dans le nettoyeur autant de fois qu'il trouve des choses à l analyse __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est. desinstalle les anciennes versions : voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Ferme l'application. Note : tu peux supprimer son rapport dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) et pense à decocher l'installation de McAfee proposée discrêtement __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Lien Win7 ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système à lire aussi Et ceci sujets intéressants à lire : https://www.luanagames.com/index.fr.html https://forum.malekal.com/viewtopic.php?t=13629&start= https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite il ne faut jamais accepter l'installation de toobars, adwares, moteurs de recherches lorsqu'on installe un logiciel gratuit. Ceux-ci corrompent les navigateurs et dirigent les recherches sur des sites publicitaires, malveillants etc et affichent des pubs intempestives. Il ne faut jamais télécharger le logiciel à partir des pubs sur les pages web, ne jamais cliquer sur les liens genre "boostez votre pc" ou "avant de télécharger le logiciel, faites un balayage rapide blabla", et éviter les sites de vidéos/séries en streaming dont les vidéos sont parfois piégées par des malwares sous la forme de modules complémentaires à installer pour voir la vidéo. ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

Cheval de Troie : Agent_r.ARN

149 réponses

Votre réponse

Discussions similaires

Newsletters