Infection du au logiciel FreeOCR

Résolu/Fermé
The Lion King
Messages postés
11053
Date d'inscription
dimanche 26 avril 2009
Statut
Contributeur
Dernière intervention
10 janvier 2020
- Modifié par irongege le 3/11/2013 à 12:44
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
- 4 nov. 2013 à 19:55
Bonsoir CCMiens,

Je vous signale très urgemment que le logiciel FreeOCR dispo sur CCM que ma mère à voulu tester ce soir est rempli de merdes. Il a infesté sa machine, via wrapper.exe.

J'ai besoin d'aide pour sa désinfection... dès que possible...

Merci d'avance!

12 réponses

2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
Modifié par 2011N2 le 2/11/2013 à 23:50
Hello,

Oui c'est bien indiqué en gras faut faire gaffe :
Important : refuser (cliquer sur Decline ou Refuse) l'installation des logiciels additionnels, considérés comme des spywares !

Et y'a l'avertissement quand on clique sur Télécharger. :)

Passe SFTGC et poste le rapport hébergé : http://www.forum-entraide-informatique.com/support/sftgc-tutoriel-t8267.html

Puis fais un diagnostic du PC avec ZHPDiag et poste le rapport également hébergé sur cjoint, qu'on y voit plus clair : http://www.forum-entraide-informatique.com/support/zhpdiag-tutoriel-t4831.html

Gabriel.
3
buckhulk
Messages postés
13647
Date d'inscription
dimanche 21 septembre 2008
Statut
Contributeur
Dernière intervention
14 novembre 2020
1 766
2 nov. 2013 à 23:54
Bonsoir
juste en passant
Et y'a l'avertissement quand on clique sur Télécharger. :) 
oui et c'est difficile de faire mieux !!!
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
2 nov. 2013 à 23:55
Hello,

Oui :)
0
The Lion king
2 nov. 2013 à 23:59
Ce n'est pas parce que c'est marqué que c'est efficace, merde. Ca ne m'amuse pas vraiment d'avoir ce genre de problème parce que CCM propose ce genre de logiciel... si on doit tout accepter sous prétexte que c'est marqué, c'ets la porte ouverte à toute les fenêtres.

Merci 2011N2, je passe les scans demandés et je te les postes dès qu'ils sont finis.
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
3 nov. 2013 à 00:02
Re,

Personnellement je pense que si on ne télécharge pas un logiciel sur CCM parce qu'il y a des infections dedans, on ira le télécharger ailleurs. Donc quoi qu'il en soit, on sera infecté. Et grâce à CCM et ses avertissements, on est plus vigilant lors de l'installation et on a donc plus de chances de ne pas être infecté.
C'est mon avis, libre à toi d'en avoir un autre bien sûr. Il y a pas mal de "débats" sur ça dans Suggestions je crois. :)

Ok pour les scans.

Gabriel.
0
The Lion king
3 nov. 2013 à 00:05
Nous débattrons plus tard... SFTGC est si long à initialiser? Ca fait bien un moment qu'il coince sur l'initialisation...
0
Utilisateur anonyme
3 nov. 2013 à 09:13
le lion est infecté, je n'y crois pas !

:mdr:

0
Ma mère... je ne m'appelle pas caroline ;)

Je suis en train de lui installer Ubuntu en dual boot, histoire de récupérer ses fichiers sans avoir à brancher une clé USB. Dites moi ce qu'il faut faire avec ZHPfix quand vous pouvez... je reste à l'écoute.
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
3 nov. 2013 à 11:32
Salut,

(Hello Elec' :) )

Ok je touche pas au proxy.

Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.

Gabriel.
0
salut padawan,
bonne chasse :-)
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
3 nov. 2013 à 11:51
Merci :)
0
The Lion king
3 nov. 2013 à 12:32
Salut gabriel,

je n'accède pas à dropbox... erreur 403.
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
3 nov. 2013 à 12:36
Re,

Mmmh ce lien devrait être ok : https://dl.dropboxusercontent.com/u/32869654/Pour%20The%20Lion%20king.txt

Ça avait effectivement l'air d'avoir buggé mais moi j'y accède, cela ne devait pas être le lien public.
0
The Lion king
3 nov. 2013 à 12:41
Fait. Rapport ZHPfix: http://cjoint.com/?3KdmOOdf2Rf
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
3 nov. 2013 à 12:49
Re,

Ok ce n'était pas comme ça avant ?

Le seul proxy que je vois est celui que tu m'as indiqué : R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8118

Ensuite tu as MBAM sur le PC. Fais un examen complet sur tous les disques. Tu supprimeras tous les éléments détectés et me posteras le rapport. Si tu as besoin d'un tutoriel : http://www.forum-entraide-informatique.com/support/malwarebytes-anti-malware-mbam-tutoriel-t6.html

Gabriel.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
The Lion king
3 nov. 2013 à 12:51
J'ai passé MBAM hier: 283 éléments supprimés, et toujours cette passerelle. Avira a détecté pas moins de 8 logiciels indésirables, qu'il ne peut pas supprimer: accès refusé. J'ai aussi passé drWeb, qui a réussi a en virer un seul.

Je pense que je vais formater. Mais ce logiciel doit absolument être dégommé. Je vais en parler aux modos dès aujourd'hui.
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
3 nov. 2013 à 12:58
Re,

T'as pas les rapports MBAM et Avira ?

Passe RogueKiller en Scan et poste le rapport : http://www.forum-entraide-informatique.com/support/roguekiller-tigzy-tutoriel-t15.html

Gabriel.
0
The Lion king
3 nov. 2013 à 13:01
RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : XP [Droits d'admin]
Mode : Recherche -- Date : 11/03/2013 13:01:29
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (localhost:8118 [Country: (Private Address) (XX), City: (Private Address)]) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SCREENSVR][SUSP PATH] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\WINDOWS\THEHAL~1.SCR [-]) -> TROUVÉ

¤¤¤ Tâches planifiées : 0 ¤¤¤

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 3 ¤¤¤
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp", "localhost"); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp_port", 8118); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.type", 1); -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x805BC564 -> HOOKED (Unknown @ 0xBA730904)
[Address] SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xBA7308BE)
[Address] SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xBA73090E)
[Address] SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xBA7308B4)
[Address] SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xBA7308C3)
[Address] SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xBA7308CD)
[Address] SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xBA7308FF)
[Address] SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xBA7308D2)
[Address] SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xBA7308A0)
[Address] SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xBA7308A5)
[Address] SSDT[177] : NtQueryValueKey @ 0x8062248E -> HOOKED (Unknown @ 0xBA730927)
[Address] SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xBA7308DC)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x805A2DAA -> HOOKED (Unknown @ 0xBA730918)
[Address] SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xBA7308D7)
[Address] SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xBA730913)
[Address] SSDT[237] : NtSetSecurityObject @ 0x805C0662 -> HOOKED (Unknown @ 0xBA73091D)
[Address] SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xBA7308C8)
[Address] SSDT[255] : NtSystemDebugControl @ 0x8061823E -> HOOKED (Unknown @ 0xBA730922)
[Address] SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xBA7308AF)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA730936)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA73093B)

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS541616J9SA00 +++++
--- User ---
[MBR] bf5a856c35792ddca04ebf19eb6db29e
[BSP] 18470a6d2fc536c91c7cb9f80182d675 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_11032013_130129.txt >>
0
The Lion king
3 nov. 2013 à 13:06
rapport MBAM d'hier: http://cjoint.com/?3KdngkilJ1r
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
3 nov. 2013 à 13:09
Ok pour MBAM.
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
3 nov. 2013 à 13:03
Re,

Y'a que le proxy que tu m'as indiqué...

T'es vraiment sûr que ce n'était pas comme ça avant ? Ça me paraît bizarre...

Gabriel.
0
The Lion king
3 nov. 2013 à 13:06
Sûr et certain. J'ai paramétré cet ordinateur moi-même.
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
3 nov. 2013 à 13:08
T'as pas de point de restauration avant tout ça alors ?

Gabriel.
0
The Lion King
Messages postés
11053
Date d'inscription
dimanche 26 avril 2009
Statut
Contributeur
Dernière intervention
10 janvier 2020
1 144
3 nov. 2013 à 13:11
Lancé en date du 28 octobre. Je te tiens informé.
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
3 nov. 2013 à 13:12
Ok très bien.
0
The Lion King
Messages postés
11053
Date d'inscription
dimanche 26 avril 2009
Statut
Contributeur
Dernière intervention
10 janvier 2020
1 144
Modifié par The Lion King le 3/11/2013 à 13:17
Echec total. Impossible de terminer la restauration. J'en ai lancé une deuxième, mais je doute...
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
3 nov. 2013 à 13:16
Ça a donné quoi ?
Ça a planté ?
0
The Lion King
Messages postés
11053
Date d'inscription
dimanche 26 avril 2009
Statut
Contributeur
Dernière intervention
10 janvier 2020
1 144
3 nov. 2013 à 13:17
affirmatif.
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
3 nov. 2013 à 13:19
Arf. Essaye une autre date mais je doute également que ça fonctionne.
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
3 nov. 2013 à 13:22
Re,

Ok si tu le souhaites, tu me tiendras au courant.

Gabriel.
0
Ubuntu installé... tant pis pour windows. "Résolu"...
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
4 nov. 2013 à 19:15
D'accord...
0
The Lion King
Messages postés
11053
Date d'inscription
dimanche 26 avril 2009
Statut
Contributeur
Dernière intervention
10 janvier 2020
1 144
4 nov. 2013 à 19:44
En tout cas merci de tout coeur de ton aide ;)
0
2011N2
Messages postés
13334
Date d'inscription
samedi 29 janvier 2011
Statut
Contributeur sécurité
Dernière intervention
24 décembre 2016
916
4 nov. 2013 à 19:55
Je t'en prie. ;)

Bonne soirée à toi,

Gabriel.
0