Sujet Précédent Sujet Suivant

Est-ce un virus ?

Fermé
Skyluc Messages postés 24 Date d'inscription dimanche 22 août 2010 Statut Membre Dernière intervention 9 avril 2016 - 4 juin 2014 à 16:26
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 4 juin 2014 à 21:51
Bonjour,

En essayant d'accéder à hotmail, cette page s'est affichée :


Que me conseilleriez vous de faire ?



4 réponses

Réponse 1 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
4 juin 2014 à 16:29
Salut,

Ce qui est sûr, c'est que ce n'est pas normal que tu aies cette alerte :)
Pour voir :



Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :



netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%windir%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE


1
Skyluc Messages postés 24 Date d'inscription dimanche 22 août 2010 Statut Membre Dernière intervention 9 avril 2016
4 juin 2014 à 16:53
Merci d'avoir répondu si rapidement, voici les rapports :
https://pjjoint.malekal.com/files.php?id=20140604_o10y6u12g12g9
https://pjjoint.malekal.com/files.php?id=20140604_d7j13c5t13n7
0
Réponse 2 / 4
Skyluc Messages postés 24 Date d'inscription dimanche 22 août 2010 Statut Membre Dernière intervention 9 avril 2016
4 juin 2014 à 16:27
En plus grand : http://www.hostingpics.net/viewer.php?id=374202eherh.png
0
Réponse 3 / 4
curumo_leblanc Messages postés 266 Date d'inscription samedi 10 septembre 2011 Statut Membre Dernière intervention 7 juillet 2014 74
4 juin 2014 à 16:57
Ce message est courant sur la dernière version de Chrome. Poste nouvellement installé, j'ai des messages de ce type sur facebook ou hotmail. La cause à priori a une paranoia un peu pousser sur le NDD vs le domaine certificat.

Après pour les analyses, Malekal morte ayant pris le sujet, je lui laisse soin de te dire quoi faire ;)
0
Réponse 4 / 4
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
4 juin 2014 à 18:47
Je pense que c'est plutôt un problème de configuration du serveur.
Ca doit communiquer avec live.com alors que le certificat est pour le domaine hotmail.fr
ça doit être dû aux redirections dans hotmail.

Pas infecté.

* Relance OTL.
Copie/colle le script ci-dessous en gras dans la fenêtre OTL, tout en bas, dans la partie Personnalisation.



:OTL
DRV:[b]64bit:[/b] - [2014/04/28 10:23:34 | 000,061,112 | ---- | M] (StdLib) [Kernel | System | Running] -- C:\Windows\SysNative\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys -- ({9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64)
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyEnable = 1
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride = <-loopback>
IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyServer = http=127.0.0.1:50148;https=127.0.0.1:50148; [Attention - Possible Proxy Malicieux]
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyEnable = 1
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyOverride = <-loopback>
IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: ProxyServer = http=127.0.0.1:50148;https=127.0.0.1:50148; [Attention - Possible Proxy Malicieux]


Clic sur Correction.

* poste le rapport ici
0
Skyluc Messages postés 24 Date d'inscription dimanche 22 août 2010 Statut Membre Dernière intervention 9 avril 2016
4 juin 2014 à 19:46
========== OTL ==========
Service {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64 stopped successfully!
Service {9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64 deleted successfully!
C:\Windows\SysNative\drivers\{9edd0ea8-2819-47c2-8320-b007d5996f8a}Gw64.sys moved successfully.
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\| /E : value set successfully!
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\| /E : value set successfully!
HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\| /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\| /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\| /E : value set successfully!
HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\| /E : value set successfully!

OTL by OldTimer - Version 3.2.69.0 log created on 06042014_194425
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 651
4 juin 2014 à 21:51
voila :)

Tu aurais un autre PC avec Chrome voir si tu as le meme message ?
0

Discussions similaires

Est ce que le site tlauncher est dangereux ?
caribou -
bazfile -

1 réponse
Softonic,est-ce un virus ?
techmel1 -
techmel1 -

6 réponses
4 virus en raison d’un porno ????
valou -
Bello040420 -

9 réponses
problême Opéra est ce un virus??
sand2504 -
sand2504 -

85 réponses
Comment savoir si j'ai attrapé un virus sur mon téléphone ?
Infolock -
bell -

66 réponses