Application MS-DOS (.com) [Résolu/Fermé]

Signaler
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
-
 Utilisateur anonyme -
Bonjour,

Depuis deux jours environ , après avoir joué avec des virus , je remarque l'apparition de commande Ms dos avec des noms divers et variés . Poid 20 ko

beadun , hoaboh ou bien encore viimej .

De quoi s'agit il en fait et dois je m'en méfier ?

capture

Merci .




32 réponses


salut tu t'es mis dans un drôle de caca.....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
Bon après quelques essais cela apparait avec Skype .

As tu cette application ?
Il se peut qu'une multitude de fenêtres noires clignotent 

oui la commande ms dos . Inutile de faire peur . ;p

Devise : Autant que faire ce peu !!

Ici il n'y a que des bénévoles mais aucun DEVIN .

Merci de vôtre compréhension et de développer le problème .
Utilisateur anonyme
lol quoiqu'il en soit , des fichiers à extension .com n'ont rien à faire à cet endroit
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
bon le logiciel c'est lancé sans rien me demander . le rapport

J'ai relancé explorateur avec le gestionnaire sinon je passé la nuit devant . :D

Le .pif ouvre une console . que fais je ? :)

Devise : Autant que faire ce peu !!

Ici il n'y a que des bénévoles mais aucun DEVIN .

Merci de vôtre compréhension et de développer le problème .

lance le winlogon
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
http://dl.dropbox.com/u/58414448/Pre_Scan%20%282%29.txt

Et ?
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
un canason de troie qui m'emmerde grave !!

Il ne cesse de revenir . :(
https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?name=Trojan%3aWin32%2fSirefef.AC&threatid=2147654484

Si au prochain démarage il est là , je le place en quarantaine :)

pas assez costaud pre_scan pour cette infection.....


/!\ ATTENTION SUIVRE A LA LETTRE CES INDICATIONS/!\

__________________________________________________________
>Ce logiciel n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.<
>>>>>>>Ne pas utiliser en dehors de ce cas de figure : dangereux!<<<<<<<<
=====================================================


▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur

Telecharge ici : Combofix

Avant d'utiliser ComboFix :

Si tu utilises AVG, IL FAUT IMPERATIVEMENT LE DESINSTALLER avant d'utiliser Combofix car il peut causer des dégâts en interaction avec l'outil pouvant mener à la réinstallation totale du système.
La simple désactivation du résident n'est pas suffisante.
Télécharge le désinstalleur d'AVG sur ce lien : https://www.avg.com/fr-fr/avg-remover
Choisis la version adéquate (32 ou 64 bits)/!\

Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

▶ Télécharge Defogger (de jpshortstuff) sur ton Bureau

▶ Lance le

Une fenêtre apparait : clique sur "Disable"

▶ Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

_________________________________________________________
>> referme les fenêtres de tous les programmes en cours.
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°°


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur combofix renommé

¤¤¤¤¤¤¤¤¤¤ LAISSE-LE INSTALLER LA CONSOLE DE RECUPERATION S'IL TE LE DEMANDE ¤¤¤¤¤¤¤¤¤¤

▶ !!!!!NE TOUCHE A RIEN PENDANT LE TRAVAIL DE COMBOFIX (SOURIS/CLAVIER.....)!!!!!

▶ n'oublie pas de reactiver la garde de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

▶▶ Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.


▶▶▶ Si, après le redémarrage de votre pc par combofix, vous avez des erreurs "Clé marquée pour suppression" ou des soucis de connexion internet, redémarrez à nouveau votre ordinateur



Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
Merci j'étais justement en train d'y pensé :)

J'ai MSE comme anti virus . je le vire ou l'empêche de démarrer depuis msconfig ?

Deamontoll n'est pas instalé ici . Mais combo on le passe comment en sans echec ?

J'ai désinstalé essentiel . pas le choix ;)

Devise : Autant que faire ce peu !!

Ici il n'y a que des bénévoles mais aucun DEVIN .

Merci de vôtre compréhension et de développer le problème .

lance combofix
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
http://dl.dropbox.com/u/58414448/combo.txt

suite à réinstalation :

http://dl.dropbox.com/u/58414448/MSE.JPG

MSE a fait la demande d'un redemarrage , je te dis ce qu'il en est demain .

merci .
Devise : Autant que faire ce peu !!

Ici il n'y a que des bénévoles mais aucun DEVIN .

Merci de vôtre compréhension et de développer le problème .


__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------


Toujours avec toutes les protections désactivées, fais ceci :

▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :

----------------------------------------------------------
KillAll::

ClearJavaCache::

NetSvc::
KLOGNT
sit_mdm

RegLock::
[HKEY_USERS\S-1-5-21-1826498497-2676506398-1452448938-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.eml\UserChoice]
[HKEY_USERS\S-1-5-21-1826498497-2676506398-1452448938-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.vcf\UserChoice]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]


------------------------------------------------------------------

▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes

▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme ceci : Illustration

▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt


Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
Pour l'illustration le lien est mort et pour la suite MSE ne trouve plus rien .
je refais sa désinstalation pour poursuivre car le navigateur est lent .

glisse CFScript sur combofix et laisse faire
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
c'est fait . ;)

Dis moi ce qu'il en est et dans le pire des cas je l'ecrasse avec l'essais W8.

Combo2 texte

c'est bon ca avance

supprime combofix , retelecharge-le , renomme-le (differemment du premier) au telechargement et refais un passage avec
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
Ok , mais faudras que tu m'explique la manoeuvre par soif de curiosité :)
Utilisateur anonyme
heu...comment ca ?

tu veux dire pourquoi je te le fais repasser sous un nom different ?
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
oui c'est ça . J'ai remarqué que le blason a disparus . j'ai mis le contrôle utilisateur a zéro . Est ce le mieux ?


Voila le trois.

On approche car il n'a pas fermé Windows cette fois . :D

retelecharge pre_scan sous le lien winlogon puis lance-le
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
ok . Et pour changement de nom ?

les infections (certaines) apprennent le nom d'un outil pour le bloquer par la suite
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
Winlogon lancé mais je trouve pas de fichier texte .

Cela m'a débloqué une vraie MAJ de adobe flashplayer .

Que dois t'on comprendre ?

bah il est dans tes icones sur ton bureau ou dans c:\
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
Autant pour moi . :D

http://dl.dropbox.com/u/58414448/Pre_Scan_02_04_2012_23_45_41.txt

J'ai redemarrer le pc car j'avais un sintillement a mes fenêtres .
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
Est ce que je peux remonter mon Anti virus ?
Fais analyser le(s) fichier(s) suivants sur Virustotal :

Virus Total

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Program Files\Common Files\X10\Common\rundll32.exe


* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

=======================

relance pre_scan et choisis script , une page vierge va s'ouvrir.

selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Facebook Update]
[-HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\Google Update]
[-HKLM\Software\BrowserChoice]
[-HKLM\Software\TENCENT]

txt::
C:\Windows\System32\Tasks\{1F1A8A91-5118-452E-9F99-121BADC806A7}
C:\Windows\System32\Tasks\{4578049B-A6E1-4E10-BAAE-74A2B19D181A}
C:\Windows\System32\Tasks\{549CFF5A-3687-47C6-BE64-0A3FE7D5D04D}
C:\Windows\System32\Tasks\{727A3136-ECB0-49A1-B0C4-37E328223A21}
C:\Windows\System32\Tasks\{784D84C1-B37C-41BC-8624-C4A5A0661680}
C:\Windows\System32\Tasks\{8DC2450B-F9B7-479B-B214-99572432A67F}


file::
C:\Windows\÷¼
C:\Users\SEVEN-7\Downloads\SoftonicDownloader_pour_aerotuner.exe

folder::
C:\Windows.old

mbr::

clean::

Reboot::

___________________________________________________

colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

=========


▶ Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

▶ Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
▶ Double cliquez sur UsbFix.exe.

▶ Cliquez sur Suppression.
▶ Laissez travailler l'outil.

▶ À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.

▶ Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
Tutoriel vidéo





¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
C:\Program Files\Common Files\X10\Common\rundll32.exe = à C:\Program Files\X10 Hardware ??
Utilisateur anonyme
non regarde bien l'adresse du fichier
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
Dis moi quoi exactement . Seven et réinstalé sur un vista .

http://dl.dropbox.com/u/58414448/Rundll32.JPG

Mais ce X10 c'est surement mon driver de ma télécomande de mon pc .

https://www.virustotal.com/gui/file/099c614ff4ffceaad8a8babe2296ac901f6b664afd28837809188b833a42de6f
execute ca avec le clic droit "executer en tant qu'administrateur" :

http://gen-hackman.servequake.com/Tools/B.bat

puis analyse sur virus total le fichier rundll32.exe qui a été créé dans c:\
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
attends . faut pas que je grille une étape .
Pre_Script.txt , je commence en avoir tellement sur le bureau que je sais pas si c'est le bon . :(

Je fais Ubfix maintenant ?
Utilisateur anonyme
supprime ca manuellement

C:\Windows\÷¼
C:\Windows\System32\Tasks\{4578049B-A6E1-4E10-BAAE-74A2B19D181A}
C:\Windows\System32\Tasks\{784D84C1-B37C-41BC-8624-C4A5A0661680}


==============================

t'as installé windows 7 sur un penthium II ou quoi ????????????????????
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
Supprimé d'où ? et comment ?


Un médion akoya 8830 intel corps duo .

Fichiers supprimés .

ben tu suis les chemins indiqués et tu suppprimes les fichiers

============

supprime tous les rapports pre_script ,pre_scan , etc....

==========

relance pre_scan , choisis script

colle juste ca dedans :

Fixmbr::

poste le rapport
Messages postés
14620
Date d'inscription
dimanche 16 août 2009
Statut
Membre
Dernière intervention
21 juin 2021
2 414
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.326 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Windows 7 Home Premium (32 bits) Service Pack 1

Switchs possibles :

processes:: | file:: | folder:: | Registry::
Driver:: | replace:: | DNS:: | Command::
txt:: | Host:: | NsLook:: | DLL:: | Unhide_Part::
list:: | IP:: | Kill:: | clean:: | Del_Part::
Reboot:: | MBR:: | Fixmbr:: | 40:: | Zip::
search:: | Tray:: | FF::

Script : 22:02:08

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤


¤


Fin : 22:02:08

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

Et voili voilou . :)