Infection du au logiciel FreeOCR [Résolu/Fermé]

Signaler
Messages postés
11053
Date d'inscription
dimanche 26 avril 2009
Statut
Contributeur
Dernière intervention
10 janvier 2020
-
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
-
Bonsoir CCMiens,

Je vous signale très urgemment que le logiciel FreeOCR dispo sur CCM que ma mère à voulu tester ce soir est rempli de merdes. Il a infesté sa machine, via wrapper.exe.

J'ai besoin d'aide pour sa désinfection... dès que possible...

Merci d'avance!

12 réponses

Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
Hello,

Oui c'est bien indiqué en gras faut faire gaffe :
Important : refuser (cliquer sur Decline ou Refuse) l'installation des logiciels additionnels, considérés comme des spywares !

Et y'a l'avertissement quand on clique sur Télécharger. :)

Passe SFTGC et poste le rapport hébergé : http://www.forum-entraide-informatique.com/support/sftgc-tutoriel-t8267.html

Puis fais un diagnostic du PC avec ZHPDiag et poste le rapport également hébergé sur cjoint, qu'on y voit plus clair : http://www.forum-entraide-informatique.com/support/zhpdiag-tutoriel-t4831.html

Gabriel.
3
Merci

Quelques mots de remerciements seront grandement appréciés. Ajouter un commentaire

CCM 65492 internautes nous ont dit merci ce mois-ci


Nous débattrons plus tard... SFTGC est si long à initialiser? Ca fait bien un moment qu'il coince sur l'initialisation...
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
Pas de problème, de toute façon c'est pas avec moi qu'il faut débattre, c'est pas moi qui gère les logiciels proposés par CCM. :)

Si tu vides jamais les fichiers temporaires, oui il peut prendre un peu de temps pour s'initialiser.
Ok, merci. Je patiente pour l'instant...

Ca tourne toujours... je m'inquiète au bout de combien de temps?
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
D'accord. Bon si c'est trop long tu le laisses tomber c'est pas super important, juste pour que les autres rapports soient plus courts.
ZHP diag: http://cjoint.com/13nv/CKdaOo8p3jE.htm

SFT: http://cjoint.com/?CKdaPdwEdti

Concernant le proxy, sa connexion passe par privoxy, port 8118 sur localhost...

le lion est infecté, je n'y crois pas !

:mdr:

Ma mère... je ne m'appelle pas caroline ;)

Je suis en train de lui installer Ubuntu en dual boot, histoire de récupérer ses fichiers sans avoir à brancher une clé USB. Dites moi ce qu'il faut faire avec ZHPfix quand vous pouvez... je reste à l'écoute.
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
Salut,

(Hello Elec' :) )

Ok je touche pas au proxy.

Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.

Gabriel.
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
Merci :)

Salut gabriel,

je n'accède pas à dropbox... erreur 403.
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
Re,

Mmmh ce lien devrait être ok : https://dl.dropboxusercontent.com/u/32869654/Pour%20The%20Lion%20king.txt

Ça avait effectivement l'air d'avoir buggé mais moi j'y accède, cela ne devait pas être le lien public.

Fait. Rapport ZHPfix: http://cjoint.com/?3KdmOOdf2Rf

A noter que j'ai toujours une redirection via une passerelle pirate:

http://cjoint.com/data3/3KdmRBxNfJV.htm
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
Re,

Ok ce n'était pas comme ça avant ?

Le seul proxy que je vois est celui que tu m'as indiqué : R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8118

Ensuite tu as MBAM sur le PC. Fais un examen complet sur tous les disques. Tu supprimeras tous les éléments détectés et me posteras le rapport. Si tu as besoin d'un tutoriel : http://www.forum-entraide-informatique.com/support/malwarebytes-anti-malware-mbam-tutoriel-t6.html

Gabriel.

J'ai passé MBAM hier: 283 éléments supprimés, et toujours cette passerelle. Avira a détecté pas moins de 8 logiciels indésirables, qu'il ne peut pas supprimer: accès refusé. J'ai aussi passé drWeb, qui a réussi a en virer un seul.

Je pense que je vais formater. Mais ce logiciel doit absolument être dégommé. Je vais en parler aux modos dès aujourd'hui.
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
Re,

T'as pas les rapports MBAM et Avira ?

Passe RogueKiller en Scan et poste le rapport : http://www.forum-entraide-informatique.com/support/roguekiller-tigzy-tutoriel-t15.html

Gabriel.

RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : XP [Droits d'admin]
Mode : Recherche -- Date : 11/03/2013 13:01:29
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (localhost:8118 [Country: (Private Address) (XX), City: (Private Address)]) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SCREENSVR][SUSP PATH] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\WINDOWS\THEHAL~1.SCR [-]) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 3 ¤¤¤
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp", "localhost"); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp_port", 8118); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.type", 1); -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x805BC564 -> HOOKED (Unknown @ 0xBA730904)
[Address] SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xBA7308BE)
[Address] SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xBA73090E)
[Address] SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xBA7308B4)
[Address] SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xBA7308C3)
[Address] SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xBA7308CD)
[Address] SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xBA7308FF)
[Address] SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xBA7308D2)
[Address] SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xBA7308A0)
[Address] SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xBA7308A5)
[Address] SSDT[177] : NtQueryValueKey @ 0x8062248E -> HOOKED (Unknown @ 0xBA730927)
[Address] SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xBA7308DC)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x805A2DAA -> HOOKED (Unknown @ 0xBA730918)
[Address] SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xBA7308D7)
[Address] SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xBA730913)
[Address] SSDT[237] : NtSetSecurityObject @ 0x805C0662 -> HOOKED (Unknown @ 0xBA73091D)
[Address] SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xBA7308C8)
[Address] SSDT[255] : NtSystemDebugControl @ 0x8061823E -> HOOKED (Unknown @ 0xBA730922)
[Address] SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xBA7308AF)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA730936)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA73093B)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS541616J9SA00 +++++
--- User ---
[MBR] bf5a856c35792ddca04ebf19eb6db29e
[BSP] 18470a6d2fc536c91c7cb9f80182d675 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_11032013_130129.txt >>

rapport MBAM d'hier: http://cjoint.com/?3KdngkilJ1r
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
Ok pour MBAM.
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
Re,

Y'a que le proxy que tu m'as indiqué...

T'es vraiment sûr que ce n'était pas comme ça avant ? Ça me paraît bizarre...

Gabriel.

Sûr et certain. J'ai paramétré cet ordinateur moi-même.
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
T'as pas de point de restauration avant tout ça alors ?

Gabriel.
Messages postés
11053
Date d'inscription
dimanche 26 avril 2009
Statut
Contributeur
Dernière intervention
10 janvier 2020
1 114
Lancé en date du 28 octobre. Je te tiens informé.
Messages postés
11053
Date d'inscription
dimanche 26 avril 2009
Statut
Contributeur
Dernière intervention
10 janvier 2020
1 114
Echec total. Impossible de terminer la restauration. J'en ai lancé une deuxième, mais je doute...
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
Ça a donné quoi ?
Ça a planté ?
Messages postés
11053
Date d'inscription
dimanche 26 avril 2009
Statut
Contributeur
Dernière intervention
10 janvier 2020
1 114
affirmatif.
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
Arf. Essaye une autre date mais je doute également que ça fonctionne.
Messages postés
11053
Date d'inscription
dimanche 26 avril 2009
Statut
Contributeur
Dernière intervention
10 janvier 2020
1 114
Foutu. Et il rame à mort. Je fini de récupérer les fichier via le live Cd de ubuntu, et je formate.
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
Re,

Ok si tu le souhaites, tu me tiendras au courant.

Gabriel.
Ubuntu installé... tant pis pour windows. "Résolu"...
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
D'accord...
Messages postés
11053
Date d'inscription
dimanche 26 avril 2009
Statut
Contributeur
Dernière intervention
10 janvier 2020
1 114
En tout cas merci de tout coeur de ton aide ;)
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
874
Je t'en prie. ;)

Bonne soirée à toi,

Gabriel.