Infection du au logiciel FreeOCR
Résolu
The Lion King
Messages postés
11059
Date d'inscription
Statut
Contributeur
Dernière intervention
-
2011N2 Messages postés 13352 Date d'inscription Statut Contributeur sécurité Dernière intervention -
2011N2 Messages postés 13352 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonsoir CCMiens,
Je vous signale très urgemment que le logiciel FreeOCR dispo sur CCM que ma mère à voulu tester ce soir est rempli de merdes. Il a infesté sa machine, via wrapper.exe.
J'ai besoin d'aide pour sa désinfection... dès que possible...
Merci d'avance!
Je vous signale très urgemment que le logiciel FreeOCR dispo sur CCM que ma mère à voulu tester ce soir est rempli de merdes. Il a infesté sa machine, via wrapper.exe.
J'ai besoin d'aide pour sa désinfection... dès que possible...
Merci d'avance!
A voir également:
- Freeocr malware
- Freeocr - Télécharger - Divers Bureautique
- Malwarebytes anti-malware - Télécharger - Antivirus & Antimalwares
- Supprimer malware - Guide
- Anti malware service executable ram - Forum Antivirus
- Win32:malware-gen ✓ - Forum Virus
12 réponses
Hello,
Oui c'est bien indiqué en gras faut faire gaffe :
Important : refuser (cliquer sur Decline ou Refuse) l'installation des logiciels additionnels, considérés comme des spywares !
Et y'a l'avertissement quand on clique sur Télécharger. :)
Passe SFTGC et poste le rapport hébergé : http://www.forum-entraide-informatique.com/support/sftgc-tutoriel-t8267.html
Puis fais un diagnostic du PC avec ZHPDiag et poste le rapport également hébergé sur cjoint, qu'on y voit plus clair : http://www.forum-entraide-informatique.com/support/zhpdiag-tutoriel-t4831.html
Gabriel.
Oui c'est bien indiqué en gras faut faire gaffe :
Important : refuser (cliquer sur Decline ou Refuse) l'installation des logiciels additionnels, considérés comme des spywares !
Et y'a l'avertissement quand on clique sur Télécharger. :)
Passe SFTGC et poste le rapport hébergé : http://www.forum-entraide-informatique.com/support/sftgc-tutoriel-t8267.html
Puis fais un diagnostic du PC avec ZHPDiag et poste le rapport également hébergé sur cjoint, qu'on y voit plus clair : http://www.forum-entraide-informatique.com/support/zhpdiag-tutoriel-t4831.html
Gabriel.
Salut,
(Hello Elec' :) )
Ok je touche pas au proxy.
Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.
Gabriel.
(Hello Elec' :) )
Ok je touche pas au proxy.
Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.
Gabriel.
Re,
Ok ce n'était pas comme ça avant ?
Le seul proxy que je vois est celui que tu m'as indiqué : R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8118
Ensuite tu as MBAM sur le PC. Fais un examen complet sur tous les disques. Tu supprimeras tous les éléments détectés et me posteras le rapport. Si tu as besoin d'un tutoriel : http://www.forum-entraide-informatique.com/support/malwarebytes-anti-malware-mbam-tutoriel-t6.html
Gabriel.
Ok ce n'était pas comme ça avant ?
Le seul proxy que je vois est celui que tu m'as indiqué : R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8118
Ensuite tu as MBAM sur le PC. Fais un examen complet sur tous les disques. Tu supprimeras tous les éléments détectés et me posteras le rapport. Si tu as besoin d'un tutoriel : http://www.forum-entraide-informatique.com/support/malwarebytes-anti-malware-mbam-tutoriel-t6.html
Gabriel.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai passé MBAM hier: 283 éléments supprimés, et toujours cette passerelle. Avira a détecté pas moins de 8 logiciels indésirables, qu'il ne peut pas supprimer: accès refusé. J'ai aussi passé drWeb, qui a réussi a en virer un seul.
Je pense que je vais formater. Mais ce logiciel doit absolument être dégommé. Je vais en parler aux modos dès aujourd'hui.
Je pense que je vais formater. Mais ce logiciel doit absolument être dégommé. Je vais en parler aux modos dès aujourd'hui.
Re,
T'as pas les rapports MBAM et Avira ?
Passe RogueKiller en Scan et poste le rapport : http://www.forum-entraide-informatique.com/support/roguekiller-tigzy-tutoriel-t15.html
Gabriel.
T'as pas les rapports MBAM et Avira ?
Passe RogueKiller en Scan et poste le rapport : http://www.forum-entraide-informatique.com/support/roguekiller-tigzy-tutoriel-t15.html
Gabriel.
RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : XP [Droits d'admin]
Mode : Recherche -- Date : 11/03/2013 13:01:29
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 3 ¤¤¤
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (localhost:8118 [Country: (Private Address) (XX), City: (Private Address)]) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SCREENSVR][SUSP PATH] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\WINDOWS\THEHAL~1.SCR [-]) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 3 ¤¤¤
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp", "localhost"); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp_port", 8118); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.type", 1); -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x805BC564 -> HOOKED (Unknown @ 0xBA730904)
[Address] SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xBA7308BE)
[Address] SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xBA73090E)
[Address] SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xBA7308B4)
[Address] SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xBA7308C3)
[Address] SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xBA7308CD)
[Address] SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xBA7308FF)
[Address] SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xBA7308D2)
[Address] SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xBA7308A0)
[Address] SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xBA7308A5)
[Address] SSDT[177] : NtQueryValueKey @ 0x8062248E -> HOOKED (Unknown @ 0xBA730927)
[Address] SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xBA7308DC)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x805A2DAA -> HOOKED (Unknown @ 0xBA730918)
[Address] SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xBA7308D7)
[Address] SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xBA730913)
[Address] SSDT[237] : NtSetSecurityObject @ 0x805C0662 -> HOOKED (Unknown @ 0xBA73091D)
[Address] SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xBA7308C8)
[Address] SSDT[255] : NtSystemDebugControl @ 0x8061823E -> HOOKED (Unknown @ 0xBA730922)
[Address] SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xBA7308AF)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA730936)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA73093B)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS541616J9SA00 +++++
--- User ---
[MBR] bf5a856c35792ddca04ebf19eb6db29e
[BSP] 18470a6d2fc536c91c7cb9f80182d675 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_11032013_130129.txt >>
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : XP [Droits d'admin]
Mode : Recherche -- Date : 11/03/2013 13:01:29
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 3 ¤¤¤
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (localhost:8118 [Country: (Private Address) (XX), City: (Private Address)]) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SCREENSVR][SUSP PATH] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\WINDOWS\THEHAL~1.SCR [-]) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 3 ¤¤¤
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp", "localhost"); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp_port", 8118); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.type", 1); -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x805BC564 -> HOOKED (Unknown @ 0xBA730904)
[Address] SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xBA7308BE)
[Address] SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xBA73090E)
[Address] SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xBA7308B4)
[Address] SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xBA7308C3)
[Address] SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xBA7308CD)
[Address] SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xBA7308FF)
[Address] SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xBA7308D2)
[Address] SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xBA7308A0)
[Address] SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xBA7308A5)
[Address] SSDT[177] : NtQueryValueKey @ 0x8062248E -> HOOKED (Unknown @ 0xBA730927)
[Address] SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xBA7308DC)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x805A2DAA -> HOOKED (Unknown @ 0xBA730918)
[Address] SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xBA7308D7)
[Address] SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xBA730913)
[Address] SSDT[237] : NtSetSecurityObject @ 0x805C0662 -> HOOKED (Unknown @ 0xBA73091D)
[Address] SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xBA7308C8)
[Address] SSDT[255] : NtSystemDebugControl @ 0x8061823E -> HOOKED (Unknown @ 0xBA730922)
[Address] SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xBA7308AF)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA730936)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA73093B)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS541616J9SA00 +++++
--- User ---
[MBR] bf5a856c35792ddca04ebf19eb6db29e
[BSP] 18470a6d2fc536c91c7cb9f80182d675 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_11032013_130129.txt >>
Re,
Y'a que le proxy que tu m'as indiqué...
T'es vraiment sûr que ce n'était pas comme ça avant ? Ça me paraît bizarre...
Gabriel.
Y'a que le proxy que tu m'as indiqué...
T'es vraiment sûr que ce n'était pas comme ça avant ? Ça me paraît bizarre...
Gabriel.
juste en passant oui et c'est difficile de faire mieux !!!
Oui :)
Merci 2011N2, je passe les scans demandés et je te les postes dès qu'ils sont finis.
Personnellement je pense que si on ne télécharge pas un logiciel sur CCM parce qu'il y a des infections dedans, on ira le télécharger ailleurs. Donc quoi qu'il en soit, on sera infecté. Et grâce à CCM et ses avertissements, on est plus vigilant lors de l'installation et on a donc plus de chances de ne pas être infecté.
C'est mon avis, libre à toi d'en avoir un autre bien sûr. Il y a pas mal de "débats" sur ça dans Suggestions je crois. :)
Ok pour les scans.
Gabriel.