Infection du au logiciel FreeOCR
Résolu/Fermé
The Lion King
2011N2
- Messages postés
- 11053
- Date d'inscription
- dimanche 26 avril 2009
- Statut
- Contributeur
- Dernière intervention
- 10 janvier 2020
2011N2
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
A voir également:
- Freeocr malware
- Infection du au logiciel FreeOCR ✓ - Forum - Virus / Sécurité
- Infection sur le logiciel CCleaner ??? ✓ - Forum - Logiciels
- Infecté par des logiciels malveillants ✓ - Forum - Cloud
- Contrôler infection avec un logiciel RAT ✓ - Forum - Virus / Sécurité
- Ordinateur infecté par logiciels malveillants ✓ - Forum - Virus / Sécurité
12 réponses
2011N2
Modifié par 2011N2 le 2/11/2013 à 23:50
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
Modifié par 2011N2 le 2/11/2013 à 23:50
Hello,
Oui c'est bien indiqué en gras faut faire gaffe :
Important : refuser (cliquer sur Decline ou Refuse) l'installation des logiciels additionnels, considérés comme des spywares !
Et y'a l'avertissement quand on clique sur Télécharger. :)
Passe SFTGC et poste le rapport hébergé : http://www.forum-entraide-informatique.com/support/sftgc-tutoriel-t8267.html
Puis fais un diagnostic du PC avec ZHPDiag et poste le rapport également hébergé sur cjoint, qu'on y voit plus clair : http://www.forum-entraide-informatique.com/support/zhpdiag-tutoriel-t4831.html
Gabriel.
Oui c'est bien indiqué en gras faut faire gaffe :
Important : refuser (cliquer sur Decline ou Refuse) l'installation des logiciels additionnels, considérés comme des spywares !
Et y'a l'avertissement quand on clique sur Télécharger. :)
Passe SFTGC et poste le rapport hébergé : http://www.forum-entraide-informatique.com/support/sftgc-tutoriel-t8267.html
Puis fais un diagnostic du PC avec ZHPDiag et poste le rapport également hébergé sur cjoint, qu'on y voit plus clair : http://www.forum-entraide-informatique.com/support/zhpdiag-tutoriel-t4831.html
Gabriel.
le lion est infecté, je n'y crois pas !
:mdr:
:mdr:
2011N2
3 nov. 2013 à 11:32
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
3 nov. 2013 à 11:32
Salut,
(Hello Elec' :) )
Ok je touche pas au proxy.
Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.
Gabriel.
(Hello Elec' :) )
Ok je touche pas au proxy.
Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.
Gabriel.
2011N2
3 nov. 2013 à 11:51
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
3 nov. 2013 à 11:51
Merci :)
2011N2
3 nov. 2013 à 12:36
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
3 nov. 2013 à 12:36
Re,
Mmmh ce lien devrait être ok : https://dl.dropboxusercontent.com/u/32869654/Pour%20The%20Lion%20king.txt
Ça avait effectivement l'air d'avoir buggé mais moi j'y accède, cela ne devait pas être le lien public.
Mmmh ce lien devrait être ok : https://dl.dropboxusercontent.com/u/32869654/Pour%20The%20Lion%20king.txt
Ça avait effectivement l'air d'avoir buggé mais moi j'y accède, cela ne devait pas être le lien public.
2011N2
3 nov. 2013 à 12:49
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
3 nov. 2013 à 12:49
Re,
Ok ce n'était pas comme ça avant ?
Le seul proxy que je vois est celui que tu m'as indiqué : R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8118
Ensuite tu as MBAM sur le PC. Fais un examen complet sur tous les disques. Tu supprimeras tous les éléments détectés et me posteras le rapport. Si tu as besoin d'un tutoriel : http://www.forum-entraide-informatique.com/support/malwarebytes-anti-malware-mbam-tutoriel-t6.html
Gabriel.
Ok ce n'était pas comme ça avant ?
Le seul proxy que je vois est celui que tu m'as indiqué : R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = localhost:8118
Ensuite tu as MBAM sur le PC. Fais un examen complet sur tous les disques. Tu supprimeras tous les éléments détectés et me posteras le rapport. Si tu as besoin d'un tutoriel : http://www.forum-entraide-informatique.com/support/malwarebytes-anti-malware-mbam-tutoriel-t6.html
Gabriel.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
J'ai passé MBAM hier: 283 éléments supprimés, et toujours cette passerelle. Avira a détecté pas moins de 8 logiciels indésirables, qu'il ne peut pas supprimer: accès refusé. J'ai aussi passé drWeb, qui a réussi a en virer un seul.
Je pense que je vais formater. Mais ce logiciel doit absolument être dégommé. Je vais en parler aux modos dès aujourd'hui.
Je pense que je vais formater. Mais ce logiciel doit absolument être dégommé. Je vais en parler aux modos dès aujourd'hui.
2011N2
3 nov. 2013 à 12:58
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
3 nov. 2013 à 12:58
Re,
T'as pas les rapports MBAM et Avira ?
Passe RogueKiller en Scan et poste le rapport : http://www.forum-entraide-informatique.com/support/roguekiller-tigzy-tutoriel-t15.html
Gabriel.
T'as pas les rapports MBAM et Avira ?
Passe RogueKiller en Scan et poste le rapport : http://www.forum-entraide-informatique.com/support/roguekiller-tigzy-tutoriel-t15.html
Gabriel.
RogueKiller V8.7.6 [Oct 28 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : XP [Droits d'admin]
Mode : Recherche -- Date : 11/03/2013 13:01:29
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 3 ¤¤¤
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (localhost:8118 [Country: (Private Address) (XX), City: (Private Address)]) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SCREENSVR][SUSP PATH] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\WINDOWS\THEHAL~1.SCR [-]) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 3 ¤¤¤
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp", "localhost"); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp_port", 8118); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.type", 1); -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x805BC564 -> HOOKED (Unknown @ 0xBA730904)
[Address] SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xBA7308BE)
[Address] SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xBA73090E)
[Address] SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xBA7308B4)
[Address] SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xBA7308C3)
[Address] SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xBA7308CD)
[Address] SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xBA7308FF)
[Address] SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xBA7308D2)
[Address] SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xBA7308A0)
[Address] SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xBA7308A5)
[Address] SSDT[177] : NtQueryValueKey @ 0x8062248E -> HOOKED (Unknown @ 0xBA730927)
[Address] SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xBA7308DC)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x805A2DAA -> HOOKED (Unknown @ 0xBA730918)
[Address] SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xBA7308D7)
[Address] SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xBA730913)
[Address] SSDT[237] : NtSetSecurityObject @ 0x805C0662 -> HOOKED (Unknown @ 0xBA73091D)
[Address] SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xBA7308C8)
[Address] SSDT[255] : NtSystemDebugControl @ 0x8061823E -> HOOKED (Unknown @ 0xBA730922)
[Address] SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xBA7308AF)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA730936)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA73093B)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS541616J9SA00 +++++
--- User ---
[MBR] bf5a856c35792ddca04ebf19eb6db29e
[BSP] 18470a6d2fc536c91c7cb9f80182d675 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_11032013_130129.txt >>
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : XP [Droits d'admin]
Mode : Recherche -- Date : 11/03/2013 13:01:29
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 0 ¤¤¤
¤¤¤ Entrees de registre : 3 ¤¤¤
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (localhost:8118 [Country: (Private Address) (XX), City: (Private Address)]) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
[SCREENSVR][SUSP PATH] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\WINDOWS\THEHAL~1.SCR [-]) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 3 ¤¤¤
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp", "localhost"); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.hxxp_port", 8118); -> TROUVÉ
[FF][PROXY] gv7d71h1.default : user_pref("network.proxy.type", 1); -> TROUVÉ
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [CHARGE] ¤¤¤
[Address] SSDT[25] : NtClose @ 0x805BC564 -> HOOKED (Unknown @ 0xBA730904)
[Address] SSDT[41] : NtCreateKey @ 0x8062426A -> HOOKED (Unknown @ 0xBA7308BE)
[Address] SSDT[50] : NtCreateSection @ 0x805AB3FC -> HOOKED (Unknown @ 0xBA73090E)
[Address] SSDT[53] : NtCreateThread @ 0x805D1068 -> HOOKED (Unknown @ 0xBA7308B4)
[Address] SSDT[63] : NtDeleteKey @ 0x80624706 -> HOOKED (Unknown @ 0xBA7308C3)
[Address] SSDT[65] : NtDeleteValueKey @ 0x806248D6 -> HOOKED (Unknown @ 0xBA7308CD)
[Address] SSDT[68] : NtDuplicateObject @ 0x805BE03C -> HOOKED (Unknown @ 0xBA7308FF)
[Address] SSDT[98] : NtLoadKey @ 0x8062648E -> HOOKED (Unknown @ 0xBA7308D2)
[Address] SSDT[122] : NtOpenProcess @ 0x805CB486 -> HOOKED (Unknown @ 0xBA7308A0)
[Address] SSDT[128] : NtOpenThread @ 0x805CB712 -> HOOKED (Unknown @ 0xBA7308A5)
[Address] SSDT[177] : NtQueryValueKey @ 0x8062248E -> HOOKED (Unknown @ 0xBA730927)
[Address] SSDT[193] : NtReplaceKey @ 0x8062633E -> HOOKED (Unknown @ 0xBA7308DC)
[Address] SSDT[200] : NtRequestWaitReplyPort @ 0x805A2DAA -> HOOKED (Unknown @ 0xBA730918)
[Address] SSDT[204] : NtRestoreKey @ 0x80625C4A -> HOOKED (Unknown @ 0xBA7308D7)
[Address] SSDT[213] : NtSetContextThread @ 0x805D2C4A -> HOOKED (Unknown @ 0xBA730913)
[Address] SSDT[237] : NtSetSecurityObject @ 0x805C0662 -> HOOKED (Unknown @ 0xBA73091D)
[Address] SSDT[247] : NtSetValueKey @ 0x806227DC -> HOOKED (Unknown @ 0xBA7308C8)
[Address] SSDT[255] : NtSystemDebugControl @ 0x8061823E -> HOOKED (Unknown @ 0xBA730922)
[Address] SSDT[257] : NtTerminateProcess @ 0x805D2308 -> HOOKED (Unknown @ 0xBA7308AF)
[Address] Shadow SSDT[549] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0xBA730936)
[Address] Shadow SSDT[552] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0xBA73093B)
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ IDE) Hitachi HTS541616J9SA00 +++++
--- User ---
[MBR] bf5a856c35792ddca04ebf19eb6db29e
[BSP] 18470a6d2fc536c91c7cb9f80182d675 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 152617 Mo
User = LL1 ... OK!
User = LL2 ... OK!
Termine : << RKreport[0]_S_11032013_130129.txt >>
2011N2
3 nov. 2013 à 13:09
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
3 nov. 2013 à 13:09
Ok pour MBAM.
2011N2
3 nov. 2013 à 13:03
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
3 nov. 2013 à 13:03
Re,
Y'a que le proxy que tu m'as indiqué...
T'es vraiment sûr que ce n'était pas comme ça avant ? Ça me paraît bizarre...
Gabriel.
Y'a que le proxy que tu m'as indiqué...
T'es vraiment sûr que ce n'était pas comme ça avant ? Ça me paraît bizarre...
Gabriel.
2011N2
3 nov. 2013 à 13:08
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
3 nov. 2013 à 13:08
T'as pas de point de restauration avant tout ça alors ?
Gabriel.
Gabriel.
The Lion King
3 nov. 2013 à 13:11
- Messages postés
- 11053
- Date d'inscription
- dimanche 26 avril 2009
- Statut
- Contributeur
- Dernière intervention
- 10 janvier 2020
3 nov. 2013 à 13:11
Lancé en date du 28 octobre. Je te tiens informé.
2011N2
3 nov. 2013 à 13:12
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
3 nov. 2013 à 13:12
Ok très bien.
The Lion King
Modifié par The Lion King le 3/11/2013 à 13:17
- Messages postés
- 11053
- Date d'inscription
- dimanche 26 avril 2009
- Statut
- Contributeur
- Dernière intervention
- 10 janvier 2020
Modifié par The Lion King le 3/11/2013 à 13:17
Echec total. Impossible de terminer la restauration. J'en ai lancé une deuxième, mais je doute...
2011N2
3 nov. 2013 à 13:16
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
3 nov. 2013 à 13:16
Ça a donné quoi ?
Ça a planté ?
Ça a planté ?
The Lion King
3 nov. 2013 à 13:17
- Messages postés
- 11053
- Date d'inscription
- dimanche 26 avril 2009
- Statut
- Contributeur
- Dernière intervention
- 10 janvier 2020
3 nov. 2013 à 13:17
affirmatif.
2011N2
3 nov. 2013 à 13:19
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
3 nov. 2013 à 13:19
Arf. Essaye une autre date mais je doute également que ça fonctionne.
2011N2
3 nov. 2013 à 13:22
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
3 nov. 2013 à 13:22
Re,
Ok si tu le souhaites, tu me tiendras au courant.
Gabriel.
Ok si tu le souhaites, tu me tiendras au courant.
Gabriel.
Ubuntu installé... tant pis pour windows. "Résolu"...
2011N2
4 nov. 2013 à 19:15
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
4 nov. 2013 à 19:15
D'accord...
The Lion King
4 nov. 2013 à 19:44
- Messages postés
- 11053
- Date d'inscription
- dimanche 26 avril 2009
- Statut
- Contributeur
- Dernière intervention
- 10 janvier 2020
4 nov. 2013 à 19:44
En tout cas merci de tout coeur de ton aide ;)
2011N2
4 nov. 2013 à 19:55
- Messages postés
- 13334
- Date d'inscription
- samedi 29 janvier 2011
- Statut
- Contributeur sécurité
- Dernière intervention
- 24 décembre 2016
4 nov. 2013 à 19:55
Je t'en prie. ;)
Bonne soirée à toi,
Gabriel.
Bonne soirée à toi,
Gabriel.
2 nov. 2013 à 23:54
juste en passant oui et c'est difficile de faire mieux !!!
2 nov. 2013 à 23:55
Oui :)
2 nov. 2013 à 23:59
Merci 2011N2, je passe les scans demandés et je te les postes dès qu'ils sont finis.
3 nov. 2013 à 00:02
Personnellement je pense que si on ne télécharge pas un logiciel sur CCM parce qu'il y a des infections dedans, on ira le télécharger ailleurs. Donc quoi qu'il en soit, on sera infecté. Et grâce à CCM et ses avertissements, on est plus vigilant lors de l'installation et on a donc plus de chances de ne pas être infecté.
C'est mon avis, libre à toi d'en avoir un autre bien sûr. Il y a pas mal de "débats" sur ça dans Suggestions je crois. :)
Ok pour les scans.
Gabriel.
3 nov. 2013 à 00:05