Infection Ihavenet.com
Résolu/Fermé
bernio
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012
-
17 déc. 2012 à 21:48
Utilisateur anonyme - 18 déc. 2012 à 21:00
Utilisateur anonyme - 18 déc. 2012 à 21:00
A voir également:
- Infection Ihavenet.com
- [Pnkbstra]infection ✓ - Forum Virus
- Infection virus ✓ - Forum Virus
- Infection Bloom ? ✓ - Forum Virus
- Blacklist infection ✓ - Forum Virus
- Infection cvtres.exe ✓ - Forum Virus
20 réponses
softy666
Messages postés
199
Date d'inscription
lundi 27 décembre 2010
Statut
Membre
Dernière intervention
15 décembre 2013
26
17 déc. 2012 à 22:06
17 déc. 2012 à 22:06
Salut,
Télécharge le Logiciel RogueKiller, lance un diagnostique et attend un Helper j'en connais certains comme : ComputerHelp ou Electrician 69
Tu n'as qu'à les MP
Allez a+ ;)
Télécharge le Logiciel RogueKiller, lance un diagnostique et attend un Helper j'en connais certains comme : ComputerHelp ou Electrician 69
Tu n'as qu'à les MP
Allez a+ ;)
bernio
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012
17 déc. 2012 à 22:17
17 déc. 2012 à 22:17
Merci pour l'info. J'ai exécuté Roquekiller et voilà le rapport d'analyse. Si quelqu'un peut m'aider, merci bien (je n'y comprends rien ...)
RogueKiller V8.4.0 [Dec 12 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur : bdulay [Droits d'admin]
Mode : Recherche -- Date : 17/12/2012 22:12:24
¤¤¤ Processus malicieux : 2 ¤¤¤
[][DLL] rundll32.exe -- C:\Windows\System32\rundll32.exe : C:\Users\bdulay\AppData\Roaming\iesysprepr.dll -> TUÉ [TermProc]
[][DLL] rundll32.exe -- C:\Windows\SysWOW64\rundll32.exe : C:\Users\bdulay\AppData\Roaming\iesysprepr.dll -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 9 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : ihoapjm (rundll32 "C:\Users\bdulay\AppData\Roaming\iesysprepr.dll",Tnqc) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-911870514-1583957971-2116629643-1000[...]\Run : ihoapjm (rundll32 "C:\Users\bdulay\AppData\Roaming\iesysprepr.dll",Tnqc) -> TROUVÉ
[TASK][RESIDUE] ProgramDataUpdater : C:\Windows\System32\rundll32.exe aepdu.dll,AePduRunUpdate -> TROUVÉ
[TASK][RESIDUE] Proxy : C:\Windows\System32\rundll32.exe /d acproxy.dll,PerformAutochkOperations -> TROUVÉ
[TASK][RESIDUE] SR : C:\Windows\System32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation -> TROUVÉ
[TASK][RESIDUE] IpAddressConflict1 : C:\Windows\System32\rundll32.exe ndfapi.dll,NdfRunDllDuplicateIPOffendingSystem -> TROUVÉ
[TASK][RESIDUE] IpAddressConflict2 : C:\Windows\System32\rundll32.exe ndfapi.dll,NdfRunDllDuplicateIPDefendingSystem -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++
--- User ---
[MBR] 9a79c0d7b2a2aaa74b759b517b60fa03
[BSP] a23e0892a2dcb12a0b64f172e04ec691 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 152386 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 312907776 | Size: 152457 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_17122012_221224.txt >>
RKreport[1]_S_17122012_221224.txt
RogueKiller V8.4.0 [Dec 12 2012] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur : bdulay [Droits d'admin]
Mode : Recherche -- Date : 17/12/2012 22:12:24
¤¤¤ Processus malicieux : 2 ¤¤¤
[][DLL] rundll32.exe -- C:\Windows\System32\rundll32.exe : C:\Users\bdulay\AppData\Roaming\iesysprepr.dll -> TUÉ [TermProc]
[][DLL] rundll32.exe -- C:\Windows\SysWOW64\rundll32.exe : C:\Users\bdulay\AppData\Roaming\iesysprepr.dll -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 9 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : ihoapjm (rundll32 "C:\Users\bdulay\AppData\Roaming\iesysprepr.dll",Tnqc) -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-911870514-1583957971-2116629643-1000[...]\Run : ihoapjm (rundll32 "C:\Users\bdulay\AppData\Roaming\iesysprepr.dll",Tnqc) -> TROUVÉ
[TASK][RESIDUE] ProgramDataUpdater : C:\Windows\System32\rundll32.exe aepdu.dll,AePduRunUpdate -> TROUVÉ
[TASK][RESIDUE] Proxy : C:\Windows\System32\rundll32.exe /d acproxy.dll,PerformAutochkOperations -> TROUVÉ
[TASK][RESIDUE] SR : C:\Windows\System32\rundll32.exe /d srrstr.dll,ExecuteScheduledSPPCreation -> TROUVÉ
[TASK][RESIDUE] IpAddressConflict1 : C:\Windows\System32\rundll32.exe ndfapi.dll,NdfRunDllDuplicateIPOffendingSystem -> TROUVÉ
[TASK][RESIDUE] IpAddressConflict2 : C:\Windows\System32\rundll32.exe ndfapi.dll,NdfRunDllDuplicateIPDefendingSystem -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE] ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++
--- User ---
[MBR] 9a79c0d7b2a2aaa74b759b517b60fa03
[BSP] a23e0892a2dcb12a0b64f172e04ec691 : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 400 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 821248 | Size: 152386 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 312907776 | Size: 152457 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[1]_S_17122012_221224.txt >>
RKreport[1]_S_17122012_221224.txt
Utilisateur anonyme
17 déc. 2012 à 22:24
17 déc. 2012 à 22:24
salut
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
si le lien ne fonctionne pas :
http://www.archive-host.com
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :
C:\Pre_Scan\Process\Close.log
Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.
Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp
telecharge et enregistre Pre_Scan sur ton bureau :
https://forums-fec.be/gen-hackman/Pre_Scan.exe
si le lien ne fonctionne pas :
http://www.archive-host.com
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
https://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut que des fenêtres noires clignotent , laisse-le travailler.
Laisse l'outil redemarrer ton pc.
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider
afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :
C:\Pre_Scan\Process\Close.log
softy666
Messages postés
199
Date d'inscription
lundi 27 décembre 2010
Statut
Membre
Dernière intervention
15 décembre 2013
26
17 déc. 2012 à 22:29
17 déc. 2012 à 22:29
Ah ! Bah en voilà un d'Helper ! Bonne chance à vous deux !
bernio
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012
17 déc. 2012 à 23:06
17 déc. 2012 à 23:06
Merci pour votre support.
Voici le lien vers le rapport
https://www.cjoint.com/?BLrxc7JVoAu
Le lien vers Close.log est là : https://www.cjoint.com/?BLrxfdipqBC
Voici le lien vers le rapport
https://www.cjoint.com/?BLrxc7JVoAu
Le lien vers Close.log est là : https://www.cjoint.com/?BLrxfdipqBC
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Utilisateur anonyme
17 déc. 2012 à 23:08
17 déc. 2012 à 23:08
t'as pas desactivé l'auto sandbox d'avast !
relance l outil clique sur Scan|Kill , puis re-heberge le rapport
relance l outil clique sur Scan|Kill , puis re-heberge le rapport
bernio
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012
17 déc. 2012 à 23:17
17 déc. 2012 à 23:17
Oups, désolé. :-(
C'est fait, je relance, et reposte les 2 fichiers dès que c'est terminé...
C'est fait, je relance, et reposte les 2 fichiers dès que c'est terminé...
bernio
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012
18 déc. 2012 à 00:01
18 déc. 2012 à 00:01
Re-moi.
Donc, le rapport https://www.cjoint.com/?BLrx7q0glGW
Et le close.log https://www.cjoint.com/?BLsaaDZGIJH
Merci encore
Donc, le rapport https://www.cjoint.com/?BLrx7q0glGW
Et le close.log https://www.cjoint.com/?BLsaaDZGIJH
Merci encore
Utilisateur anonyme
18 déc. 2012 à 00:08
18 déc. 2012 à 00:08
bien relance l'outil , clique sur diag et herberge le rapport pre_diag et donne le lien
bernio
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012
18 déc. 2012 à 00:22
18 déc. 2012 à 00:22
Voilà la bête :-)
https://www.cjoint.com/?BLsawdzKHGc
https://www.cjoint.com/?BLsawdzKHGc
bernio
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012
18 déc. 2012 à 00:37
18 déc. 2012 à 00:37
je file au lit, la suite demain :-)
Utilisateur anonyme
18 déc. 2012 à 08:35
18 déc. 2012 à 08:35
re
Attention !!! pense à re-désactiver tes protections
Clique sur ce lien : https://www.cjoint.com/?BLsiIUck7zS
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
Attention !!! pense à re-désactiver tes protections
Clique sur ce lien : https://www.cjoint.com/?BLsiIUck7zS
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
bernio
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012
18 déc. 2012 à 09:01
18 déc. 2012 à 09:01
Bonjour,
Merci pour votre aide matinale. J'ai fait la manip et voilà le lien pour le fichier Pre_Script.txt :
https://www.cjoint.com/?BLsjaIdzwzR
Merci pour votre aide matinale. J'ai fait la manip et voilà le lien pour le fichier Pre_Script.txt :
https://www.cjoint.com/?BLsjaIdzwzR
Utilisateur anonyme
18 déc. 2012 à 09:04
18 déc. 2012 à 09:04
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
bernio
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012
18 déc. 2012 à 10:20
18 déc. 2012 à 10:20
Ca y est, l'examen complet est terminé, j'ai redémarré l'ordi et voilà le dernier rapport :
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.12.18.03
Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
bdulay :: BDULAY-TOSH [administrateur]
18/12/2012 09:13:39
mbam-log-2012-12-18 (09-13-39).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 427864
Temps écoulé: 50 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Users\bdulay\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
(fin)
Malwarebytes Anti-Malware 1.65.1.1000
www.malwarebytes.org
Version de la base de données: v2012.12.18.03
Windows 7 x64 NTFS
Internet Explorer 9.0.8112.16421
bdulay :: BDULAY-TOSH [administrateur]
18/12/2012 09:13:39
mbam-log-2012-12-18 (09-13-39).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 427864
Temps écoulé: 50 minute(s), 28 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
C:\Users\bdulay\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.
(fin)
bernio
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012
18 déc. 2012 à 10:47
18 déc. 2012 à 10:47
Ca marche nickel ! Merci beaucoup.
bernio
Messages postés
11
Date d'inscription
lundi 17 décembre 2012
Statut
Membre
Dernière intervention
18 décembre 2012
18 déc. 2012 à 20:28
18 déc. 2012 à 20:28
OK, merci pour les conseils, et encore merci pour votre aide !
