Application MS-DOS (.com)
Résolug3n-h@ckm@n -
Depuis deux jours environ , après avoir joué avec des virus , je remarque l'apparition de commande Ms dos avec des noms divers et variés . Poid 20 ko
beadun , hoaboh ou bien encore viimej .
De quoi s'agit il en fait et dois je m'en méfier ?
capture
Merci .
--
Devise : Autant que faire ce peu !!
Ici il n'y a que des bénévoles mais aucun DEVIN .
Merci de vôtre compréhension et de développer le problème .
- Application ms dos
- Application word et excel gratuit - Guide
- Comment supprimer une application préinstallée sur android - Guide
- Desinstaller application windows - Guide
- Application franceconnect - Guide
- Miroir application - Guide
32 réponses
- 1
- 2
Après avoir été exposé à des virus, l'apparition de commandes MS-DOS aux noms variés soulève une problématique de sécurité et invite à déterminer s'il s'agit d'une menace.
Plusieurs réponses évoquent une activité potentiellement malveillante et recommandent des mesures comme la vérification antivirus et l'utilisation d'outils tels que Pre_Scan, l'analyse de MBR et ComboFix pour évaluer l'infection et les risques.
Des éléments techniques partagés mentionnent des fichiers et emplacements sensibles (MBR.bin, scripts de démarrage, clés de registre) et des avertissements sur l'exécution de scripts non vérifiés.
En cas de symptômes, échanges indiquent que l'impact peut varier selon les versions de Windows (Vista ou Seven) et que l'analyse des programmes de démarrage et composants système peut aider à clarifier l'origine des commandes.
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
ou cette version renommée winlogon.exe :
http://forums-fec.be/gen-hackman/winlogon.exe
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange
As tu cette application ?
Il se peut qu'une multitude de fenêtres noires clignotent
oui la commande ms dos . Inutile de faire peur . ;p
Devise : Autant que faire ce peu !!
Ici il n'y a que des bénévoles mais aucun DEVIN .
Merci de vôtre compréhension et de développer le problème .
J'ai relancé explorateur avec le gestionnaire sinon je passé la nuit devant . :D
Le .pif ouvre une console . que fais je ? :)
Devise : Autant que faire ce peu !!
Ici il n'y a que des bénévoles mais aucun DEVIN .
Merci de vôtre compréhension et de développer le problème .
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre questionIl ne cesse de revenir . :(
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Trojan%3aWin32%2fSirefef.AC&threatid=2147654484
Si au prochain démarage il est là , je le place en quarantaine :)
/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\
__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
Telecharge ici : Combofix
Avant d'utiliser ComboFix :
Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :
▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau
▶ Lance le
Une fenêtre apparait : clique sur "Disable"
▶ Fais redémarrer l'ordinateur si l'outil te le demande
Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"
_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur combofix renommé
¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤
▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!
▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.
▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur
J'ai MSE comme anti virus . je le vire ou l'empêche de démarrer depuis msconfig ?
Deamontoll n'est pas instalé ici . Mais combo on le passe comment en sans echec ?
J'ai désinstalé essentiel . pas le choix ;)
Devise : Autant que faire ce peu !!
Ici il n'y a que des bénévoles mais aucun DEVIN .
Merci de vôtre compréhension et de développer le problème .
suite à réinstalation :
http://dl.dropbox.com/u/58414448/MSE.JPG
MSE a fait la demande d'un redemarrage , je te dis ce qu'il en est demain .
merci .
Devise : Autant que faire ce peu !!
Ici il n'y a que des bénévoles mais aucun DEVIN .
Merci de vôtre compréhension et de développer le problème .
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
NetSvc::
KLOGNT
sit_mdm
RegLock::
[HKEY_USERS\S-1-5-21-1826498497-2676506398-1452448938-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
[HKEY_USERS\S-1-5-21-1826498497-2676506398-1452448938-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
supprime combofix , retelecharge-le , renomme-le (differemment du premier) au telechargement et refais un passage avec
Cela m'a débloqué une vraie MAJ de adobe flashplayer .
Que dois t'on comprendre ?
Virus Total
clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :
C:\Program Files\Common Files\X10\Common\rundll32.exe
* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.
=======================
relance pre_scan et choisis script , une page vierge va s'ouvrir.
selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::
Registry::
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update]
[-HKLM\Software\BrowserChoice]
[-HKLM\Software\TENCENT]
txt::
C:\Windows\System32\Tasks\{1F1A8A91-5118-452E-9F99-121BADC806A7}
C:\Windows\System32\Tasks\{4578049B-A6E1-4E10-BAAE-74A2B19D181A}
C:\Windows\System32\Tasks\{549CFF5A-3687-47C6-BE64-0A3FE7D5D04D}
C:\Windows\System32\Tasks\{727A3136-ECB0-49A1-B0C4-37E328223A21}
C:\Windows\System32\Tasks\{784D84C1-B37C-41BC-8624-C4A5A0661680}
C:\Windows\System32\Tasks\{8DC2450B-F9B7-479B-B214-99572432A67F}
file::
C:\Windows\÷¼
C:\Users\SEVEN-7\Downloads\SoftonicDownloader_pour_aerotuner.exe
folder::
C:\Windows.old
mbr::
clean::
Reboot::
___________________________________________________
colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
=========
▶ Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.
▶ Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
▶ Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
▶ Double cliquez sur UsbFix.exe.
▶ Cliquez sur Suppression.
▶ Laissez travailler l'outil.
▶ À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
▶ Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
▶ Tutoriel vidéo
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
http://dl.dropbox.com/u/58414448/Rundll32.JPG
Mais ce X10 c'est surement mon driver de ma télécomande de mon pc .
https://www.virustotal.com/gui/file/099c614ff4ffceaad8a8babe2296ac901f6b664afd28837809188b833a42de6f
http://gen-hackman.servequake.com/Tools/B.bat
puis analyse sur virus total le fichier rundll32.exe qui a été créé dans c:\
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
============
supprime tous les rapports pre_script ,pre_scan , etc....
==========
relance pre_scan , choisis script
colle juste ca dedans :
Fixmbr::
poste le rapport
Windows 7 Home Premium (32 bits) Service Pack 1
Switchs possibles :
processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
txt:: | Host:: | NsLook:: | DLL:: | Unhide_Part::
list:: | IP:: | Kill:: | clean:: | Del_Part::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
search:: | Tray:: | FF::
Script : 22:02:08
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤
Fin : 22:02:08
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
Et voili voilou . :)
- 1
- 2