Rootkit, malware, virus... HELP ME !
Résolu/Fermé
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
-
13 nov. 2012 à 18:17
Utilisateur anonyme - 17 nov. 2012 à 19:13
Utilisateur anonyme - 17 nov. 2012 à 19:13
A voir également:
- Rootkit, malware, virus... HELP ME !
- Malware anti malware - Télécharger - Antivirus & Antimalwares
- Tinyurl virus - Forum Virus / Sécurité
- Svchost.exe virus - Guide
- Malware tor jack ✓ - Forum antivirus
- Tlauncher virus ✓ - Forum Jeux vidéo
44 réponses
Smart91
Messages postés
29092
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 332
15 nov. 2012 à 22:54
15 nov. 2012 à 22:54
Désactive l'antivirus et lance ComboFix
Smart
Smart
Smart91
Messages postés
29092
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 332
15 nov. 2012 à 22:57
15 nov. 2012 à 22:57
Lance ComboFix et on verra de quoi il en retourne
Smart
Smart
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
15 nov. 2012 à 22:58
15 nov. 2012 à 22:58
Maintenant ?
Smart91
Messages postés
29092
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 332
15 nov. 2012 à 23:05
15 nov. 2012 à 23:05
Fais ceci pour désactiver MSE
Lance Microsoft Security Essentials
- Sélectionne l'onglet Paramètres
- A droite clique sur Protection en temps réel
- Décoche la case "Activer la protection en temps réel" et clique sur le bouton - - -
- Enregistre les modifications
Et lance ComboFix
Smart
Lance Microsoft Security Essentials
- Sélectionne l'onglet Paramètres
- A droite clique sur Protection en temps réel
- Décoche la case "Activer la protection en temps réel" et clique sur le bouton - - -
- Enregistre les modifications
Et lance ComboFix
Smart
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
15 nov. 2012 à 23:54
15 nov. 2012 à 23:54
Je n'ai pas désactivé MSE (je viens de découvrir ton dernier post), mais voici le rapport de ComboFix : https://pjjoint.malekal.com/files.php?id=20121115_g14j8t14w7o5
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
15 nov. 2012 à 23:56
15 nov. 2012 à 23:56
A première vue, Google Chrome a l'air plus rapide, et je n'ai pas encore rencontré de problème de redirection de pages sur des sites publicitaires... Je croise les doigts... ^^
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 00:03
16 nov. 2012 à 00:03
L'accès est refusé
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 00:06
16 nov. 2012 à 00:06
Je ne peux pas non plus le charger comme les rapports que je vous ai envoyé précédemment, que dois-je faire maintenant ?
en fait j'étudie ce genre d'infections en taches planifiées c'est pour cela que ca m'interesse
execute ca :
http://www.archive-host.com
il te deposera à coté de l'executable un "rapport.txt" qui devrait une fois ouvert t'afficher le contenu du fichier
execute ca :
http://www.archive-host.com
il te deposera à coté de l'executable un "rapport.txt" qui devrait une fois ouvert t'afficher le contenu du fichier
Smart91
Messages postés
29092
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 332
16 nov. 2012 à 00:30
16 nov. 2012 à 00:30
Bonsoir g3n, je te laisse la suite pour tes investigations :-)
Smart
Smart
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
16 nov. 2012 à 00:31
16 nov. 2012 à 00:31
C'est les expert à miami ici ? et on m'a pas invité ? :D mdr
Smart91
Messages postés
29092
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 332
16 nov. 2012 à 00:37
16 nov. 2012 à 00:37
Il faut savoir se retirer face à l'expert, le laisser nous trouver une solution et s'informer lui-même:-)
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
16 nov. 2012 à 00:38
16 nov. 2012 à 00:38
https://forums.commentcamarche.net/forum/affich-26467719-rootkit-malware-virus-help-me#37
voilà l'infection :)
via le job il charge une dll en mémoire via rundll32 bien entendu ^^
voilà l'infection :)
via le job il charge une dll en mémoire via rundll32 bien entendu ^^
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 00:58
16 nov. 2012 à 00:58
Les experts à Miami ? lol
Faudra m'expliquer si vous vous connaissez déjà et si vous faites ça régulièrement ? ^^ Je suis un jouet ??
Faudra m'expliquer si vous vous connaissez déjà et si vous faites ça régulièrement ? ^^ Je suis un jouet ??
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
16 nov. 2012 à 01:00
16 nov. 2012 à 01:00
Ah ben on se connait tous pour la plupart, on essaie d'organiser des rencontre entre nous mais pas évident car éparpillés sur toute la france + la belgique et certains canada :p :p
non pas un jouet ^^
non pas un jouet ^^
Smart91
Messages postés
29092
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 332
16 nov. 2012 à 00:42
16 nov. 2012 à 00:42
@pagnol21
Va sur ce site https://www.virustotal.com/gui/
- Clique sur "Choose File"
- Dans nom du fichier colle ce fichier : C:\Windows\Syswow64\qeditt.dll
- Clique sur "Ouvrir" puis sur "Scan It"
- Le Fichier est mis en file d'attente.
- Clique sur Reanalyse si c'est proposé
- Attends la fin du scan ey poste le lien vers le rapport
Le lien se trouve en haut dans la barre d'adresse du navigateur Internet
Smart
Va sur ce site https://www.virustotal.com/gui/
- Clique sur "Choose File"
- Dans nom du fichier colle ce fichier : C:\Windows\Syswow64\qeditt.dll
- Clique sur "Ouvrir" puis sur "Scan It"
- Le Fichier est mis en file d'attente.
- Clique sur Reanalyse si c'est proposé
- Attends la fin du scan ey poste le lien vers le rapport
Le lien se trouve en haut dans la barre d'adresse du navigateur Internet
Smart
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 00:57
16 nov. 2012 à 00:57
Apparemment je ne peux pas toucher à ce fichier, je dois demander à l'administrateur l'autorisation pour charger le fichier...
execute ca ca devrait t'en mettre la copie sur le bureau tu n'auras qu'à analyser celle-ci ^^
http://www.archive-host.com
http://www.archive-host.com
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
16 nov. 2012 à 01:07
16 nov. 2012 à 01:07
tu m'énerve avec tous tes tools toi ! ^^
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 01:07
16 nov. 2012 à 01:07
Comment s'appelle le fichier-copie ?
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
16 nov. 2012 à 01:08
16 nov. 2012 à 01:08
Fais F5 sur ton bureau elle va apparaitre :)
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 01:23
16 nov. 2012 à 01:23
Virus Total ne m'a pas proposé la reanalyse, mais voici le rapport : https://www.virustotal.com/gui/file/8cc2fb9306f4528c8de8945e9e403cedfd3c846066d8d8ed01c340d263c1c9f2
@ g3n : j'ai ressayé à tout hasard la manipulation que m'avait indiqué Smart avec Virus total, et là ça a marché... :-)
@ g3n : j'ai ressayé à tout hasard la manipulation que m'avait indiqué Smart avec Virus total, et là ça a marché... :-)
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 01:30
16 nov. 2012 à 01:30
Ha je peux supprimer le fichier C:\Windows\Syswow64\qeditt.dll comme ça ? Et ce sera réglé ?
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
16 nov. 2012 à 01:29
16 nov. 2012 à 01:29
lol du calme reste à virer cette tache et la dll c'est tout ;)
nod32 c'est un des 3 antivirus sur les 42 qui ont scanné ta dll qui a trouvé que c'était un malware en fait :)
nod32 c'est un des 3 antivirus sur les 42 qui ont scanné ta dll qui a trouvé que c'était un malware en fait :)
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 01:32
16 nov. 2012 à 01:32
Juju et G3n vous êtes d'accord tous les 2 sur le fait que je dois juste supprimer ce fichier ? C'est pas un fichier très important, s'il manque c'est pas grave ?
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
16 nov. 2012 à 01:33
16 nov. 2012 à 01:33
Supprime-le ! Virus ! KK ! ^^
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 01:35
16 nov. 2012 à 01:35
J'ai besoin d'une autorisation de la part de TrustedInstaller pour supprimer ce fichier
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 01:40
16 nov. 2012 à 01:40
J'essaie d'utiliser Shredder (mais je sais pas ce c'est, ça propose juste de détruire le fichier) ?
yes voila la manip
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
File::
C:\WINDOWS\syswow64\qeditt.dll
c:\windows\Tasks\WWWVTGO.job
RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
ClearJavaCache::
File::
C:\WINDOWS\syswow64\qeditt.dll
c:\windows\Tasks\WWWVTGO.job
RegLock::
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\Elevation]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\LocalServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{73C9DFA0-750D-11E1-B0C4-0800200C9A66}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\ProxyStubClsid32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{6AE38AE0-750C-11E1-B0C4-0800200C9A66}\TypeLib]
[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security]
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier combofix comme sur cette : illustration
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 02:28
16 nov. 2012 à 02:28
Voici le rapport de combofix : https://pjjoint.malekal.com/files.php?id=20121116_p5x15j11e9o11
Sinon je viens de redémarrer mon ordinateur, parce qu'après le redémarrage effectué par combofix à la fin de son scan, plus aucune application ne pouvait s'ouvrir... Est-ce normal ?
Sinon je viens de redémarrer mon ordinateur, parce qu'après le redémarrage effectué par combofix à la fin de son scan, plus aucune application ne pouvait s'ouvrir... Est-ce normal ?
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 02:40
16 nov. 2012 à 02:40
Je vais me coucher, ne m'attendez plus ce soir, à demain et merci pour tout !
hello combofix n'a pas reussi la suppression depuis hier soir je me doute qu'il y ait un service pourri derriere qui traine et qui protege ces elements ......
===========
on va tenter autrement :
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
si le lien ne fonctionne pas :
http://www.archive-host.com
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan.
s'il n'est pas sur le bureau , il est à la racine de ton disque système ( généralement C:\ )
Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider
Ne transmets pas le lien de suppression !!!
===========
on va tenter autrement :
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
si le lien ne fonctionne pas :
http://www.archive-host.com
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan.
s'il n'est pas sur le bureau , il est à la racine de ton disque système ( généralement C:\ )
Il est possible que l'outil fasse redemarrer ton pc , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider
Ne transmets pas le lien de suppression !!!
Smart91
Messages postés
29092
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 332
16 nov. 2012 à 12:12
16 nov. 2012 à 12:12
Salut g3n,
On peut essayer la commande FDelete:: à la place de File:: dans le srcipt CF.
Qu'en penses-tu ?
On peut essayer la commande FDelete:: à la place de File:: dans le srcipt CF.
Qu'en penses-tu ?
billmaxime
Messages postés
48885
Date d'inscription
dimanche 20 novembre 2011
Statut
Contributeur
Dernière intervention
24 mars 2023
5 964
16 nov. 2012 à 14:09
16 nov. 2012 à 14:09
salut Gen
excuse moi de te déranger, mais 1 personne a besoin de tes services^^
le lien du topic https://forums.commentcamarche.net/forum/affich-26483940-besoin-d-aide-pour-savoir-si-mon-pc-est-clean-ou-infecte#p26485172
merci d'avance de ta collaboration
@+
excuse moi de te déranger, mais 1 personne a besoin de tes services^^
le lien du topic https://forums.commentcamarche.net/forum/affich-26483940-besoin-d-aide-pour-savoir-si-mon-pc-est-clean-ou-infecte#p26485172
merci d'avance de ta collaboration
@+
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 14:12
16 nov. 2012 à 14:12
J'ai lancé Pre_scan, l'analyse (assez longue) s'est effectuée, puis j'ai du redémarrer le PC, puis pre_scan s'est relancé, et là j'ai eut ce message :
Line 23535 (File"C:\Pre_scan\winlogon.exe") : Error : Error in expression
Que dois-je faire ? Dois lancer la version avec extension .pif ?
Mais bon, j'ai trouvé le rapport sur C:/, voici le lien de TELECHARGMENT (et non suppression) : https://forums-fec.be/upload/www/index.php?action=d&step=3
Line 23535 (File"C:\Pre_scan\winlogon.exe") : Error : Error in expression
Que dois-je faire ? Dois lancer la version avec extension .pif ?
Mais bon, j'ai trouvé le rapport sur C:/, voici le lien de TELECHARGMENT (et non suppression) : https://forums-fec.be/upload/www/index.php?action=d&step=3
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 14:51
16 nov. 2012 à 14:51
Je viens de faire un test en lançant une recherche quelconque sur Google, le problème de redirection vers des pages publicitaires persiste...
et maintenant on croise les doigts
Attention !!! pense à re-désactiver tes protections
Clique sur ce lien : https://www.cjoint.com/?BKqwFkeFVMu
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Attention !!! pense à re-désactiver tes protections
Clique sur ce lien : https://www.cjoint.com/?BKqwFkeFVMu
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 22:38
16 nov. 2012 à 22:38
Je lance quel pre_scan ? le normal ou le .pif ?
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 22:52
16 nov. 2012 à 22:52
Et voila le rapport : https://forums-fec.be/upload/www/?a=d&i=4979405284
Smart91
Messages postés
29092
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 332
Modifié par Smart91 le 16/11/2012 à 22:54
Modifié par Smart91 le 16/11/2012 à 22:54
Cela a l'air d'être bon, Non ?
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 23:01
16 nov. 2012 à 23:01
J'ai testé une douzaine de liens sur Google, et :
Vitesse : pas mal du tout !
Redirection vers des publicités : niet !
J'ai l'impression que c'est bon ! Joie !!
Mais : guettez ce sujet de forum, si jamais d'ici quelques jours je me rends compte que ça recommence je posterai des messages sur ce sujet de forum...
Mais (n°2) si rien ne déconne encore... 1000000 MERCI Smart, g3n et juju666 !!! Vous êtes supers ! :-D
Vitesse : pas mal du tout !
Redirection vers des publicités : niet !
J'ai l'impression que c'est bon ! Joie !!
Mais : guettez ce sujet de forum, si jamais d'ici quelques jours je me rends compte que ça recommence je posterai des messages sur ce sujet de forum...
Mais (n°2) si rien ne déconne encore... 1000000 MERCI Smart, g3n et juju666 !!! Vous êtes supers ! :-D
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
Modifié par pagnol21 le 16/11/2012 à 23:09
Modifié par pagnol21 le 16/11/2012 à 23:09
J'ai cependant 3 questions :
1) Puis-je supprimer tous les programmes que vous m'avez demandé d'installer ET les rapports qui ont été prosuits ? C'est à dire (il y en a que j'avais utilisé avant de vous contacter) : ZHPFix, ZHPDiag, ComboFix, MBRCheck, Sophos Virus, MalwareByte anti-malware, est-ce que j'en oublie ?
2) Pourriez-vous m'expliquer de quoi était infecté mon ordi ? Et ce que vous avez fait pour "buté" la p'tite bête ? Car j'ai suivi vos consignes avec une confiance aveugle, et même si je ne regrette pas j'aimerai comprendre un peu...
3) Quel antivirus, firewall, antimalware, etc... me conseillez-vous pour la suite ? Pouvez-vous me donner une liste de programme de sécurité à installer sur mon ordi ? Et s'il existe des équivalents en versions gratuites je privilégierai ceux-là ! :)
PS : champagne !
1) Puis-je supprimer tous les programmes que vous m'avez demandé d'installer ET les rapports qui ont été prosuits ? C'est à dire (il y en a que j'avais utilisé avant de vous contacter) : ZHPFix, ZHPDiag, ComboFix, MBRCheck, Sophos Virus, MalwareByte anti-malware, est-ce que j'en oublie ?
2) Pourriez-vous m'expliquer de quoi était infecté mon ordi ? Et ce que vous avez fait pour "buté" la p'tite bête ? Car j'ai suivi vos consignes avec une confiance aveugle, et même si je ne regrette pas j'aimerai comprendre un peu...
3) Quel antivirus, firewall, antimalware, etc... me conseillez-vous pour la suite ? Pouvez-vous me donner une liste de programme de sécurité à installer sur mon ordi ? Et s'il existe des équivalents en versions gratuites je privilégierai ceux-là ! :)
PS : champagne !
Smart91
Messages postés
29092
Date d'inscription
dimanche 15 juillet 2007
Statut
Contributeur sécurité
Dernière intervention
5 avril 2014
2 332
16 nov. 2012 à 23:10
16 nov. 2012 à 23:10
C'est surtout notre maître Jedi qu'il faut remercier.
Je parle bien sûr de g3n-h@ckman :-)
Smart
Je parle bien sûr de g3n-h@ckman :-)
Smart
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
16 nov. 2012 à 23:18
16 nov. 2012 à 23:18
Ha donc j'ai parlé trop vite, c'était pas fini... OK je fais ça tout de suite !
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
17 nov. 2012 à 01:02
17 nov. 2012 à 01:02
Voici le rapport : https://forums-fec.be/upload/www/?a=d&i=3264573936
Mais MBAM n'a detecté aucun éléments infectieux. Cependant il y a 68 éléments déjà mis en quarantaine tous appellés "Adware.Boxore", dois-je les supprimer ?
Mais MBAM n'a detecté aucun éléments infectieux. Cependant il y a 68 éléments déjà mis en quarantaine tous appellés "Adware.Boxore", dois-je les supprimer ?
pagnol21
Messages postés
58
Date d'inscription
mardi 13 novembre 2012
Statut
Membre
Dernière intervention
17 novembre 2012
17 nov. 2012 à 01:02
17 nov. 2012 à 01:02
Bonne nuit, A demain ^^
15 nov. 2012 à 22:58