Application MS-DOS (.com) Résolu

Question

Bonjour, 

Depuis deux jours environ , après avoir joué avec des virus , je remarque l'apparition de commande Ms dos avec des noms divers et variés . Poid 20 ko 

beadun , hoaboh ou bien encore viimej .

De quoi s'agit il en fait et dois je m'en méfier ?

capture

Merci .



Configuration: Windows Vista famillial Premuim Sp2 X2 /Internet Explorer 8.0/Live messenger 2009 & 2011/MSNplus version.5
Seven , IE9 etc...

g3n-h@ckm@n · Answer

salut tu t'es mis dans un drôle de caca.....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange

jag72 · Answer

Bon après quelques essais cela apparait avec Skype . 

As tu cette application ? 
Il se peut qu'une multitude de fenêtres noires clignotent 
oui la commande ms dos . Inutile de faire peur . ;p

Devise : Autant que faire ce peu !! 

Ici il n'y a que des bénévoles mais aucun DEVIN . 

Merci de vôtre compréhension  et de développer le problème .

jag72 · Answer

bon le logiciel c'est lancé sans rien me demander . le rapport 

J'ai relancé explorateur avec le gestionnaire sinon je passé la nuit devant . :D  

Le .pif ouvre une console . que fais je ? :) 

Devise : Autant que faire ce peu !!  

Ici il n'y a que des bénévoles mais aucun DEVIN .  

Merci de vôtre compréhension  et de développer le problème .

g3n-h@ckm@n · Answer

lance le winlogon

jag72 · Answer

http://dl.dropbox.com/u/58414448/Pre_Scan%20%282%29.txt

Et ?

g3n-h@ckm@n · Answer

pas assez costaud pre_scan pour cette infection.....

/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================

▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."

sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur

jag72 · Answer

Merci j'étais justement en train d'y pensé :)  

J'ai MSE comme anti virus . je le vire ou l'empêche de démarrer depuis msconfig ? 

Deamontoll n'est pas instalé ici . Mais combo on le passe comment en sans echec ?

J'ai désinstalé essentiel . pas le choix ;)
 
Devise : Autant que faire ce peu !! 

Ici il n'y a que des bénévoles mais aucun DEVIN . 

Merci de vôtre compréhension  et de développer le problème .

g3n-h@ckm@n · Answer

lance combofix

jag72 · Answer

http://dl.dropbox.com/u/58414448/combo.txt 

suite à réinstalation :

http://dl.dropbox.com/u/58414448/MSE.JPG

MSE a fait la demande d'un redemarrage , je te dis ce qu'il en est demain .

merci .
Devise : Autant que faire ce peu !! 

Ici il n'y a que des bénévoles mais aucun DEVIN . 

Merci de vôtre compréhension  et de développer le problème .

g3n-h@ckm@n · Answer

__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------

Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

ClearJavaCache::

NetSvc::
KLOGNT
sit_mdm

RegLock::
[HKEY_USERS\S-1-5-21-1826498497-2676506398-1452448938-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
[HKEY_USERS\S-1-5-21-1826498497-2676506398-1452448938-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]

------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt

g3n-h@ckm@n · Answer

glisse CFScript sur combofix et laisse faire

g3n-h@ckm@n · Answer

c'est bon ca avance

supprime combofix , retelecharge-le , renomme-le (differemment du premier) au telechargement et refais un passage avec

g3n-h@ckm@n · Answer

retelecharge pre_scan sous le lien winlogon puis lance-le

g3n-h@ckm@n · Answer

les infections (certaines) apprennent le nom d'un outil pour le bloquer par la suite

jag72 · Answer

Winlogon lancé mais je trouve pas de fichier texte .

Cela m'a débloqué une vraie MAJ de adobe  flashplayer .

Que dois t'on comprendre ?

g3n-h@ckm@n · Answer

bah il est dans tes icones sur ton bureau ou dans c:\

jag72 · Answer

Est ce que je peux remonter mon Anti virus ?

g3n-h@ckm@n · Answer

Fais analyser le(s) fichier(s) suivants sur Virustotal : 

Virus Total 

    clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) : 

C:\Program Files\Common Files\X10\Common\rundll32.exe  

 
    * Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. 
    * Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. 
    * Lorsque l'analyse est terminée colle le lien de(s)( la) page(s)  dans ta prochaine réponse. 

======================= 

relance pre_scan et choisis script , une page vierge va s'ouvrir. 

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) : 
___________________________________________________ 
Kill:: 

Registry:: 
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update] 
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update] 
[-HKLM\Software\BrowserChoice]      
[-HKLM\Software\TENCENT]    

txt:: 
C:\Windows\System32\Tasks\{1F1A8A91-5118-452E-9F99-121BADC806A7} 
C:\Windows\System32\Tasks\{4578049B-A6E1-4E10-BAAE-74A2B19D181A}  
C:\Windows\System32\Tasks\{549CFF5A-3687-47C6-BE64-0A3FE7D5D04D} 
C:\Windows\System32\Tasks\{727A3136-ECB0-49A1-B0C4-37E328223A21}  
C:\Windows\System32\Tasks\{784D84C1-B37C-41BC-8624-C4A5A0661680}  
C:\Windows\System32\Tasks\{8DC2450B-F9B7-479B-B214-99572432A67F}  
   

file:: 
C:\Windows\÷¼  
C:\Users\SEVEN-7\Downloads\SoftonicDownloader_pour_aerotuner.exe  

folder:: 
C:\Windows.old  

mbr::     

clean::       

Reboot::         
___________________________________________________ 

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge. 

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille  

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail  

========= 


&#9654 Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau. 

&#9654 Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement. 
&#9654 Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir. 
&#9654 Double cliquez sur UsbFix.exe.   

&#9654 Cliquez sur Suppression. 
&#9654 Laissez travailler l'outil.  

&#9654 À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum. 

&#9654 Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ). 
&#9654 Tutoriel vidéo 





¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

execute ca avec le clic droit "executer en tant qu'administrateur" : 

http://gen-hackman.servequake.com/Tools/B.bat 

puis analyse sur virus total le fichier rundll32.exe qui a été créé dans c:\ 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

ben tu suis les chemins indiqués et tu suppprimes les fichiers

============

supprime tous les rapports pre_script ,pre_scan , etc....

==========

relance pre_scan , choisis script

colle juste ca dedans :

Fixmbr::

poste le rapport

g3n-h@ckm@n · Answer

ok maintenant avec ca :

MBR::

g3n-h@ckm@n · Answer

reposte le rapport pre_scan via http://pjjoint.malekal.com je voudrais le relire , et comme tu l'as viré de ta dropbpox....

fais gaffe d'ailleurs ils piquent les infos que tu heberge chez eux alors attention à ce que tu "coffres" dans la drop

jag72 · Answer

Pour le rapport c'est difficile car il n'est plus sur mon pc non plus .

Comment puis je le refaire ?

Une surveillance et normal pour lutter contre la Pédophilie . ;)

g3n-h@ckm@n · Answer

formate ton disque dur à bas niveau et reinstalle windows proprement

jag72 · Answer

Ah bon ! 

Tu pense que c'est pas éradiqué ? :s 

Mais "bas niveau " cela sous entend quoi ?

Sinon je teste W8 avant :p . 

regarde

g3n-h@ckm@n · Answer

si tu veux t'amuser....

g3n-h@ckm@n · Answer

éradiqué si .

apres tout....si ca fonctionne comme ca te prends pas la tete ...

jag72 · Answer

Ok .

Merci car oui je peux mettre en résolu , je ne vois rien d'annormal .

Seulement que les outils on détruit mes propres autorun .ico mais ce n'est qu'un détail .

Bravo pour ta compétence dans ce dommaine .

g3n-h@ckm@n · Answer

ah....ben fallait le dire avant ils étaient dans une quarantaine...je pense 
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

fait le ménage

https://gen-hackman.kanak.fr/

jag72 · Answer

Toutes url sont ok pour moi et plugin a jour ainsi que update .

Même IE9 a retrouvé sa rapidité .

g3n-h@ckm@n · Answer

nickel alors :)

Application MS-DOS (.com)

32 réponses

Newsletters