Poste infecté envoie des trames en continu sur proxy
Résolu/Fermé
Bebair85
Messages postés
2
Date d'inscription
jeudi 22 novembre 2012
Statut
Membre
Dernière intervention
22 novembre 2012
-
22 nov. 2012 à 14:32
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 - 26 nov. 2012 à 18:04
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 - 26 nov. 2012 à 18:04
A voir également:
- Poste infecté envoie des trames en continu sur proxy
- Acheter colis perdu poste - Guide
- Mon téléphone envoie des sms tout seul - Forum Samsung
- Envoie impossible messenger - Forum Facebook Messenger
- La connexion a été refusée par le serveur proxy ✓ - Forum Réseaux sociaux
- Je reçois des mails mais je ne peux pas en envoyer ✓ - Forum Réseaux sociaux
13 réponses
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
22 nov. 2012 à 14:36
22 nov. 2012 à 14:36
Salut,
Tu passe en effet par un proxy américain : http://whois.domaintools.com/55.199.8.208
Tu as ceci en démarrage auto :
O4 - Startup: DemmarageTempoExplorer.bat
O4 - Startup: DemmarageTempoServeur.bat
Pour éradiquer tout ça :
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
si le lien ne fonctionne pas :
http://www.archive-host.com
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider
Ne transmets pas le lien de suppression !!!
afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :
C:\Pre_Scan\Process\Close.log
Tu passe en effet par un proxy américain : http://whois.domaintools.com/55.199.8.208
Tu as ceci en démarrage auto :
O4 - Startup: DemmarageTempoExplorer.bat
O4 - Startup: DemmarageTempoServeur.bat
Pour éradiquer tout ça :
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
si le lien ne fonctionne pas :
http://www.archive-host.com
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en echange sur le forum où tu te fais aider
Ne transmets pas le lien de suppression !!!
afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :
C:\Pre_Scan\Process\Close.log
Bebair85
Messages postés
2
Date d'inscription
jeudi 22 novembre 2012
Statut
Membre
Dernière intervention
22 novembre 2012
22 nov. 2012 à 18:15
22 nov. 2012 à 18:15
Tout d'abord merci juju666 d'avoir répondu aussi vite et te prendre sur ton temps.
Voici le lien du fichier pre scan extrait:
https://forums-fec.be/upload/www/?a=d&i=3039397145
Et l'autre lien pour close.log:
https://forums-fec.be/upload/www/?a=d&i=9987465733
Merci pour ton aide
Voici le lien du fichier pre scan extrait:
https://forums-fec.be/upload/www/?a=d&i=3039397145
Et l'autre lien pour close.log:
https://forums-fec.be/upload/www/?a=d&i=9987465733
Merci pour ton aide
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
22 nov. 2012 à 18:40
22 nov. 2012 à 18:40
Il t'as pas proposé de supprimer le proxy ?
▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).
▶ Exécute-le. Accepte la mise à jour.
● Uniquement en cas de problème de mise à jour:
● Télécharger mises à jour manuelles MBAM
● Exécute le fichier après l'installation de MBAM
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
Citation :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.
Si MBAM demande à redémarrer le pc : ▶ fais-le.
Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).
▶ Exécute-le. Accepte la mise à jour.
● Uniquement en cas de problème de mise à jour:
● Télécharger mises à jour manuelles MBAM
● Exécute le fichier après l'installation de MBAM
▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.
A la fin de l'analyse, un message s'affiche :
Citation :
L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
▶ Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
▶ Ferme tes navigateurs.
▶ Si des malwares ont été détectés, clique sur Afficher les résultats.
▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.
Si MBAM demande à redémarrer le pc : ▶ fais-le.
Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
J'avais déjà passer antimalware byte's en scan minutieux sans résultat. Je l'ai tout de même repasser ce matin, toujours aucun élement nuisible.
Merci pour ton aide
Voici le log:
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.11.19.08
Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
gtc :: GTC-PC [administrateur]
26/11/2012 11:42:13
mbam-log-2012-11-26 (11-42-13).txt
Type d'examen: Examen complet (C:\|Q:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 294153
Temps écoulé: 19 minute(s), 54 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Merci pour ton aide
Voici le log:
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.11.19.08
Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
gtc :: GTC-PC [administrateur]
26/11/2012 11:42:13
mbam-log-2012-11-26 (11-42-13).txt
Type d'examen: Examen complet (C:\|Q:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 294153
Temps écoulé: 19 minute(s), 54 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
26 nov. 2012 à 12:26
26 nov. 2012 à 12:26
Re,
Tu réponds pas à mes questions on avance pas ...
Tu réponds pas à mes questions on avance pas ...
Excuse moi, non il ne m'a pas proposé de supprimer le proxy. Il a été supprimé dans la configuration d'IE car ce poste n'a pas besoin d'internet explorer.
Nous utilisons des adresses non privés car nous sommes sur un réseau national et le proxy fait le relais entre la WAN et le LAN. Le whois du proxy te donnait un proxy americain mais ce n'est pas le cas.
Nous utilisons des adresses non privés car nous sommes sur un réseau national et le proxy fait le relais entre la WAN et le LAN. Le whois du proxy te donnait un proxy americain mais ce n'est pas le cas.
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
26 nov. 2012 à 13:50
26 nov. 2012 à 13:50
Haaaan ben voilà je pige mieux du coup ! ^^
Bon, on va faire un diag mais je doute trouver quelque chose. Il a l'air sain ce pc!
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
SAVEMBR:0
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
Bon, on va faire un diag mais je doute trouver quelque chose. Il a l'air sain ce pc!
Télécharge ici :OTL
▶ enregistre le sur ton Bureau.
si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."
sur OTL.exe pour le lancer.
▶ => Clique ici pour voir la Configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT
SAVEMBR:0
▶ Clic sur Analyse.
A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).
Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)
▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)
heberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
J'ai effectué toutes les manipulations indiquées. Voici le fichier obtenu:
https://forums-fec.be/upload/www/?a=d&i=5348280598
Je suis d'accord avec toi à mon avis le poste n'est probablement pas infecté, mon collègue se trompe.
Merci pour tout ce que tu fais.
https://forums-fec.be/upload/www/?a=d&i=5348280598
Je suis d'accord avec toi à mon avis le poste n'est probablement pas infecté, mon collègue se trompe.
Merci pour tout ce que tu fais.
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
26 nov. 2012 à 15:11
26 nov. 2012 à 15:11
Tu connais ça ? DemmarageTempoExplorer.bat
envoie le sur https://www.virustotal.com/gui/
clique sur parcourir et choisis ce fichier :
C:\Users\gtc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DemmarageTempoExplorer.bat
clique sur Analyse
Poste le lien vers le rapport d'analyse.
envoie le sur https://www.virustotal.com/gui/
clique sur parcourir et choisis ce fichier :
C:\Users\gtc\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\DemmarageTempoExplorer.bat
clique sur Analyse
Poste le lien vers le rapport d'analyse.
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
26 nov. 2012 à 15:22
26 nov. 2012 à 15:22
en fait plus simple, tu fais clic droit -> modifier sur celui-ci et tu me copie/colle le tout dans ta prochaine réponse.
Ce fichier .bat permet de lancer un logiciel de la société Schneider. Ce logiciel permet de gérer toutes les alarmes du bâtiment. Ce n'est pas un virus et totalvirus l'a identifié comme n'étant pas un virus!!
Je pense que mon collègue a vu les trames envoyées par ce logiciel et qu'il a cru à un virus mais ce n'en est pas un!!
Tout semble normal, aucun virus ou éléments indésirables détectés. quand penses-tu?
Je pense que mon collègue a vu les trames envoyées par ce logiciel et qu'il a cru à un virus mais ce n'en est pas un!!
Tout semble normal, aucun virus ou éléments indésirables détectés. quand penses-tu?
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
26 nov. 2012 à 16:04
26 nov. 2012 à 16:04
Mis à part la partition de 89 mo sur ton disque dur qui me parait un peu louche tout est ok alors :)
Merci pour ton aide au moins j'ai la certitude que le poste est propre et non infecté.
Je l'ai remis sur le réseau, il se comporte correctement.
Problème résolu
Je l'ai remis sur le réseau, il se comporte correctement.
Problème résolu
juju666
Messages postés
35445
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
5 mai 2017
4 795
26 nov. 2012 à 18:04
26 nov. 2012 à 18:04
:-)
Jette un oeil ici tout de même : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229
;)
Jette un oeil ici tout de même : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229
;)