Problème symantec
nobleza
-
Fish66 Messages postés 17505 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Fish66 Messages postés 17505 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour à tous,
je n'arrête pas de recevoir un message de symantec (sid:27071 détection de system infected:backdoor houdini activity) !!!
j'ai pourtant lancé plusieurs fois l'analyse complète du poste, mais sans succès !
j'ai aussi cherché de comprendre sur google, mais je ne suis pas très forte en anglais.
si quelqu'un pouvait m'aider
merci d'avance
je n'arrête pas de recevoir un message de symantec (sid:27071 détection de system infected:backdoor houdini activity) !!!
j'ai pourtant lancé plusieurs fois l'analyse complète du poste, mais sans succès !
j'ai aussi cherché de comprendre sur google, mais je ne suis pas très forte en anglais.
si quelqu'un pouvait m'aider
merci d'avance
5 réponses
Tu n'as pas de disque dur externe, clef usb ou autre qui serait infecté (et que ton scan s'arrête seulement à ton disque dur principal?)
Sinon un backdoor, essaie de passer Malwarebyte Anti-rootkit.. Si il trouve pas essaye l'Anti-malware
Anti rootkit :
https://www.malwarebytes.com/antirootkit/
Anti malware :
https://www.malwarebytes.com/trial/ (Start 14 day trial)
ça devrait trouver..
Sinon un backdoor, essaie de passer Malwarebyte Anti-rootkit.. Si il trouve pas essaye l'Anti-malware
Anti rootkit :
https://www.malwarebytes.com/antirootkit/
Anti malware :
https://www.malwarebytes.com/trial/ (Start 14 day trial)
ça devrait trouver..
Bonjour,
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
* Laisse le prescan se terminer, clique sur Scan
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
* Télécharge sur le bureau RogueKiller (par tigzy)
https://www.luanagames.com/index.fr.html
* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
* Laisse le prescan se terminer, clique sur Scan
* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
bonjour,
merci les amis
voici le rapport
RogueKiller V8.8.0 [Dec 27 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : postenb [Droits restreints]
Mode : Recherche -- Date : 01/08/2014 11:56:59
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] FeedDemon.exe -- C:\Documents and Settings\postenb\Local Settings\Application Data\FeedDemon\Application\FeedDemon.exe [-] -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 9 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : 91020svchost (wscript.exe //B "C:\DOCUME~1\postenb\LOCALS~1\Temp\91020svchost.vbs" [x][-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : FeedDemon ("C:\Documents and Settings\postenb\Local Settings\Application Data\FeedDemon\Application\FeedDemon.exe" /startminimized [-]) -> TROUVÉ
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (172.16.0.1:8080 [Country: (Private Address) (XX), City: (Private Address)]) -> TROUVÉ
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyEnable (1) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CCSet\[...]\{3AC38306-99BF-48CA-9B63-FBFF5818E4E9} : NameServer (172.16.0.1 [(Private Address) (XX)]) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS001\[...]\{3AC38306-99BF-48CA-9B63-FBFF5818E4E9} : NameServer (172.16.0.1 [(Private Address) (XX)]) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS003\[...]\{3AC38306-99BF-48CA-9B63-FBFF5818E4E9} : NameServer (172.16.0.1 [(Private Address) (XX)]) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Addons navigateur : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x2] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
Termine : << RKreport[0]_S_01082014_115659.txt >>
merci les amis
voici le rapport
RogueKiller V8.8.0 [Dec 27 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com
Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur : postenb [Droits restreints]
Mode : Recherche -- Date : 01/08/2014 11:56:59
| ARK || FAK || MBR |
¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] FeedDemon.exe -- C:\Documents and Settings\postenb\Local Settings\Application Data\FeedDemon\Application\FeedDemon.exe [-] -> TUÉ [TermProc]
¤¤¤ Entrees de registre : 9 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : 91020svchost (wscript.exe //B "C:\DOCUME~1\postenb\LOCALS~1\Temp\91020svchost.vbs" [x][-]) -> TROUVÉ
[RUN][SUSP PATH] HKCU\[...]\Run : FeedDemon ("C:\Documents and Settings\postenb\Local Settings\Application Data\FeedDemon\Application\FeedDemon.exe" /startminimized [-]) -> TROUVÉ
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyServer (172.16.0.1:8080 [Country: (Private Address) (XX), City: (Private Address)]) -> TROUVÉ
[PROXY IE][PUM] HKCU\[...]\Internet Settings : ProxyEnable (1) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CCSet\[...]\{3AC38306-99BF-48CA-9B63-FBFF5818E4E9} : NameServer (172.16.0.1 [(Private Address) (XX)]) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS001\[...]\{3AC38306-99BF-48CA-9B63-FBFF5818E4E9} : NameServer (172.16.0.1 [(Private Address) (XX)]) -> TROUVÉ
[DNS][PUM] HKLM\[...]\CS003\[...]\{3AC38306-99BF-48CA-9B63-FBFF5818E4E9} : NameServer (172.16.0.1 [(Private Address) (XX)]) -> TROUVÉ
[HJ POL][PUM] HKLM\[...]\System : DisableTaskMgr (0) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ
¤¤¤ Tâches planifiées : 0 ¤¤¤
¤¤¤ Entrées Startup : 0 ¤¤¤
¤¤¤ Navigateurs web : 0 ¤¤¤
¤¤¤ Addons navigateur : 0 ¤¤¤
¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
¤¤¤ Driver : [NON CHARGE 0x2] ¤¤¤
¤¤¤ Ruches Externes: ¤¤¤
¤¤¤ Infection : ¤¤¤
¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts
127.0.0.1 localhost
¤¤¤ MBR Verif: ¤¤¤
Termine : << RKreport[0]_S_01082014_115659.txt >>
Salut,
1/
Relance RogueKiller, choisis "Suppression" puis "Proxy RAZ" et poste les deuw rapports correspondants à ces 2 options
2/ Ensuite
/!\ ATTENTION : cette analyse peut durer quelques heures /!\
* Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
* Installe-le puis configure-le comme indiqué : <<< ICI >>>
* si tu n'as rien modifié fais directement quitter sinon enregistrer
* Lance Malwarebytes' Anti-Malware
=================================
Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.
==> Ce logiciel gratuit est à garder.
=================================
* Fais la mise à jour
* Clique dans l'onglet "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
* Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
* Clique sur OK puis "Afficher les résultats"
*Vérifie que toutes les lignes sont cochées
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"
* Copie/colle le rapport dans le prochain message
Remarque :
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.
=================================
Si tu as besoin d'aide tu peux voir ce tutoriel : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
1/
Relance RogueKiller, choisis "Suppression" puis "Proxy RAZ" et poste les deuw rapports correspondants à ces 2 options
2/ Ensuite
/!\ ATTENTION : cette analyse peut durer quelques heures /!\
* Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
* Installe-le puis configure-le comme indiqué : <<< ICI >>>
* si tu n'as rien modifié fais directement quitter sinon enregistrer
* Lance Malwarebytes' Anti-Malware
=================================
Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.
==> Ce logiciel gratuit est à garder.
=================================
* Fais la mise à jour
* Clique dans l'onglet "Recherche"
* Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
* Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"
A la fin de l'analyse, si MBAM n'a rien trouvé :
* Clique sur OK, le rapport s'ouvre spontanément
Si des menaces ont été détectées :
* Clique sur OK puis "Afficher les résultats"
*Vérifie que toutes les lignes sont cochées
* Choisis l'option "Supprimer la sélection"
* Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
* Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs"
* Copie/colle le rapport dans le prochain message
Remarque :
- S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant.
=================================
Si tu as besoin d'aide tu peux voir ce tutoriel : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question