Infection du au logiciel FreeOCR [Résolu/Fermé]
Signaler
The Lion King
2011N2
- Messages postés
- 11053
- Date d'inscription
- dimanche 26 avril 2009
- Statut
- Contributeur
- Dernière intervention
- 10 janvier 2020
2011N2
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
A voir également:
- Infection du au logiciel FreeOCR
- Infection du au logiciel FreeOCR ✓ - Forum - Virus / Sécurité
- Infection sur le logiciel CCleaner ??? ✓ - Forum - Logiciels
- Infecté par des logiciels malveillants ✓ - Forum - Cloud
- Contrôler infection avec un logiciel RAT ✓ - Forum - Virus / Sécurité
- Logiciel pouvant infecter un fichier - Conseils pratiques - Sécurité
12 réponses
2011N2
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
Hello,
Oui c'est bien indiqué en gras faut faire gaffe :
Important : refuser (cliquer sur Decline ou Refuse) l'installation des logiciels additionnels, considérés comme des spywares !
Et y'a l'avertissement quand on clique sur Télécharger. :)
Passe SFTGC et poste le rapport hébergé : http://www.forum-entraide-informatique.com/support/sftgc-tutoriel-t8267.html
Puis fais un diagnostic du PC avec ZHPDiag et poste le rapport également hébergé sur cjoint, qu'on y voit plus clair : http://www.forum-entraide-informatique.com/support/zhpdiag-tutoriel-t4831.html
Gabriel.
Oui c'est bien indiqué en gras faut faire gaffe :
Important : refuser (cliquer sur Decline ou Refuse) l'installation des logiciels additionnels, considérés comme des spywares !
Et y'a l'avertissement quand on clique sur Télécharger. :)
Passe SFTGC et poste le rapport hébergé : http://www.forum-entraide-informatique.com/support/sftgc-tutoriel-t8267.html
Puis fais un diagnostic du PC avec ZHPDiag et poste le rapport également hébergé sur cjoint, qu'on y voit plus clair : http://www.forum-entraide-informatique.com/support/zhpdiag-tutoriel-t4831.html
Gabriel.
2011N2
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
Salut,
(Hello Elec' :) )
Ok je touche pas au proxy.
Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.
Gabriel.
(Hello Elec' :) )
Ok je touche pas au proxy.
Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.
Gabriel.
2011N2
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
Re,
Mmmh ce lien devrait être ok : https://dl.dropboxusercontent.com/u/32869654/Pour%20The%20Lion%20king.txt
Ça avait effectivement l'air d'avoir buggé mais moi j'y accède, cela ne devait pas être le lien public.
Mmmh ce lien devrait être ok : https://dl.dropboxusercontent.com/u/32869654/Pour%20The%20Lion%20king.txt
Ça avait effectivement l'air d'avoir buggé mais moi j'y accède, cela ne devait pas être le lien public.
2011N2
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
Re,
Ok ce n'était pas comme ça avant ?
Le seul proxy que je vois est celui que tu m'as indiqué : R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8118
Ensuite tu as MBAM sur le PC. Fais un examen complet sur tous les disques. Tu supprimeras tous les éléments détectés et me posteras le rapport. Si tu as besoin d'un tutoriel : http://www.forum-entraide-informatique.com/support/malwarebytes-anti-malware-mbam-tutoriel-t6.html
Gabriel.
Ok ce n'était pas comme ça avant ?
Le seul proxy que je vois est celui que tu m'as indiqué : R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8118
Ensuite tu as MBAM sur le PC. Fais un examen complet sur tous les disques. Tu supprimeras tous les éléments détectés et me posteras le rapport. Si tu as besoin d'un tutoriel : http://www.forum-entraide-informatique.com/support/malwarebytes-anti-malware-mbam-tutoriel-t6.html
Gabriel.
The Lion king
J'ai passé MBAM hier: 283 éléments supprimés, et toujours cette passerelle. Avira a détecté pas moins de 8 logiciels indésirables, qu'il ne peut pas supprimer: accès refusé. J'ai aussi passé drWeb, qui a réussi a en virer un seul.
Je pense que je vais formater. Mais ce logiciel doit absolument être dégommé. Je vais en parler aux modos dès aujourd'hui.
Je pense que je vais formater. Mais ce logiciel doit absolument être dégommé. Je vais en parler aux modos dès aujourd'hui.
2011N2
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
Re,
T'as pas les rapports MBAM et Avira ?
Passe RogueKiller en Scan et poste le rapport : http://www.forum-entraide-informatique.com/support/roguekiller-tigzy-tutoriel-t15.html
Gabriel.
T'as pas les rapports MBAM et Avira ?
Passe RogueKiller en Scan et poste le rapport : http://www.forum-entraide-informatique.com/support/roguekiller-tigzy-tutoriel-t15.html
Gabriel.
The Lion king
RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : XP [Droits d'admin]
Mode : Recherche -- Date : 11/03/2013 13:01:29
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 3 ¤¤¤
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (localhost:8118 [Country: (Private Address) (XX), City: (Private Address)]) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SCREENSVR][SUSP PATH] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\WINDOWS\THEHAL~1.SCR [-]) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 3 ¤¤¤
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp", "localhost"); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp_port", 8118); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.type", 1); -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x805BC564 -> HOOKED (Unknown @ 0xBA730904)
[Address] SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xBA7308BE)
[Address] SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xBA73090E)
[Address] SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xBA7308B4)
[Address] SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xBA7308C3)
[Address] SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xBA7308CD)
[Address] SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xBA7308FF)
[Address] SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xBA7308D2)
[Address] SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xBA7308A0)
[Address] SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xBA7308A5)
[Address] SSDT[177] : NtQueryValueKey @ 0x8062248E -> HOOKED (Unknown @ 0xBA730927)
[Address] SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xBA7308DC)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x805A2DAA -> HOOKED (Unknown @ 0xBA730918)
[Address] SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xBA7308D7)
[Address] SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xBA730913)
[Address] SSDT[237] : NtSetSecurityObject @ 0x805C0662 -> HOOKED (Unknown @ 0xBA73091D)
[Address] SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xBA7308C8)
[Address] SSDT[255] : NtSystemDebugControl @ 0x8061823E -> HOOKED (Unknown @ 0xBA730922)
[Address] SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xBA7308AF)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA730936)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA73093B)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS541616J9SA00 +++++
--- User ---
[MBR] bf5a856c35792ddca04ebf19eb6db29e
[BSP] 18470a6d2fc536c91c7cb9f80182d675 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_11032013_130129.txt >>
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : XP [Droits d'admin]
Mode : Recherche -- Date : 11/03/2013 13:01:29
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 3 ¤¤¤
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (localhost:8118 [Country: (Private Address) (XX), City: (Private Address)]) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SCREENSVR][SUSP PATH] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\WINDOWS\THEHAL~1.SCR [-]) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 3 ¤¤¤
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp", "localhost"); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp_port", 8118); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.type", 1); -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x805BC564 -> HOOKED (Unknown @ 0xBA730904)
[Address] SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xBA7308BE)
[Address] SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xBA73090E)
[Address] SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xBA7308B4)
[Address] SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xBA7308C3)
[Address] SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xBA7308CD)
[Address] SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xBA7308FF)
[Address] SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xBA7308D2)
[Address] SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xBA7308A0)
[Address] SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xBA7308A5)
[Address] SSDT[177] : NtQueryValueKey @ 0x8062248E -> HOOKED (Unknown @ 0xBA730927)
[Address] SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xBA7308DC)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x805A2DAA -> HOOKED (Unknown @ 0xBA730918)
[Address] SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xBA7308D7)
[Address] SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xBA730913)
[Address] SSDT[237] : NtSetSecurityObject @ 0x805C0662 -> HOOKED (Unknown @ 0xBA73091D)
[Address] SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xBA7308C8)
[Address] SSDT[255] : NtSystemDebugControl @ 0x8061823E -> HOOKED (Unknown @ 0xBA730922)
[Address] SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xBA7308AF)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA730936)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA73093B)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS541616J9SA00 +++++
--- User ---
[MBR] bf5a856c35792ddca04ebf19eb6db29e
[BSP] 18470a6d2fc536c91c7cb9f80182d675 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_11032013_130129.txt >>
2011N2
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
Re,
Y'a que le proxy que tu m'as indiqué...
T'es vraiment sûr que ce n'était pas comme ça avant ? Ça me paraît bizarre...
Gabriel.
Y'a que le proxy que tu m'as indiqué...
T'es vraiment sûr que ce n'était pas comme ça avant ? Ça me paraît bizarre...
Gabriel.
2011N2
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
T'as pas de point de restauration avant tout ça alors ?
Gabriel.
Gabriel.
The Lion King
- Messages postés
- 11053
- Date d'inscription
- dimanche 26 avril 2009
- Statut
- Contributeur
- Dernière intervention
- 10 janvier 2020
Lancé en date du 28 octobre. Je te tiens informé.
2011N2
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
Re,
Ok si tu le souhaites, tu me tiendras au courant.
Gabriel.
Ok si tu le souhaites, tu me tiendras au courant.
Gabriel.
Si tu vides jamais les fichiers temporaires, oui il peut prendre un peu de temps pour s'initialiser.
Ca tourne toujours... je m'inquiète au bout de combien de temps?
SFT: http://cjoint.com/?CKdaPdwEdti
Concernant le proxy, sa connexion passe par privoxy, port 8118 sur localhost...