MyOsProtect.dll

Résolu
gods Messages postés 6 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,



J'ai un soucis avec la machine en Windows XP. Plus moyen d'aller sur internet par contre le ping vers www.yahoo.fr fonctionne bien.
J'ai détecté la dll MyOsProtect

J'ai utilisé OTL dont voici le rapport (OTL.txt)
https://pjjoint.malekal.com/files.php?id=20150103_f15d7o14b12p5
et Extrat.txt
https://pjjoint.malekal.com/files.php?id=20150103_u66w15m13v14

Si quelqu'un peut m'aider à shooter ce truc
Merci

10 réponses

  1. gods Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
     
    Salut,

    J'ai fais le scan avec malwarebyte et il m'a trouvé plusieurs malware mais pas MyOsProtect.dll
    Par contre, si je lance adwcleaner, il me détecte bien :
    pcwatch
    et MyOsProtect.dll

    Il m'indique qu'il a supprimé les fichiers mais lorsque je reboot. Les fichiers sont de nouveau présent.

    Je n'ai donc toujours pas accès à internet depuis cette machine

    Merci
    0
  2. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
    Cela va générer trois rapports FRST :
    * FRST.txt
    * Shortcut.txt
    * Additionnal.txt

    Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

    --
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    essaye ça déjà :

    Voici la correction à effectuer avec FRST.
    Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

    Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
    Copie/colle dedans ce qui suit :

    Winsock: Catalog9 01 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
    Winsock: Catalog9 02 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
    Winsock: Catalog9 18 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
    CHR Extension: (mimhmidgldhoghjoehfigallmmndjkef) - C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mimhmidgldhoghjoehfigallmmndjkef [2014-09-16]
    CHR Extension: (oFeferoddEAll) - C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj\ [2014-09-26]
    R1 pcwatch; C:\WINDOWS\system32\Drivers\pcwatch.sys [19840 2014-09-01] () [File not signed] <==== ATTENTION
    2015-01-02 14:26 - 2015-01-02 14:26 - 00000000 ____D () C:\Program Files\bUyaNdbroewsEu
    2015-01-02 14:25 - 2015-01-02 14:25 - 00000000 ____D () C:\Program Files\nietrodoeual
    2014-12-26 20:00 - 2015-01-02 14:26 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\bUyaNdbroewsEu
    2014-12-26 20:00 - 2014-12-26 20:00 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj
    2014-12-26 19:59 - 2015-01-02 14:25 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\nietrodoeual
    2014-12-06 17:52 - 2015-01-03 22:56 - 00000000 ____D () C:\Program Files\9a36a88a-660c-4a9a-811f-0e6cce7b2d55
    2014-12-20 13:59 - 2014-10-31 07:24 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\86998342-aefb-4bdb-96ce-74be1e808b51
    C:\WINDOWS\system32\Drivers\pcwatch.sys
    cmd: netsh winsock reset

    Une fois, le texte coller dans le bloc-note.
    Menu Fichier puis Enregistrer sous.
    A gauche, place toi sur le bureau.
    Dans le champs en bas, nom du fichier mets : fixlist.txt
    Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

    Relance FRST et clic sur le bouton Fix
    Selon comment un redémarrage est nécessaire (pas obligatoire).
    Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

    Redémarre l'ordinateur

    0
  5. gods Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
     
    Plantage complet de FRST (Mode sans echec ou non) :
    "
    FRST.exe a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.

    AppName: frst.exe AppVer: 4.1.2015.0 ModName: frst.exe
    ModVer: 4.1.2015.0 Offset: 0001f3de

    "
    par contre j'ai un fichier Fixlog.txt :

    Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 04-01-2015
    Ran by Administrateur at 2015-01-05 22:47:25 Run:6
    Running from C:\Documents and Settings\Administrateur\Bureau
    Loaded Profile: Administrateur (Available profiles: kodak & Administrateur)
    Boot Mode: Normal

    ==============================================

    Content of fixlist:
    *****************
    Winsock: Catalog9 01 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
    Winsock: Catalog9 02 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
    Winsock: Catalog9 18 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
    CHR Extension: (mimhmidgldhoghjoehfigallmmndjkef) - C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mimhmidgldhoghjoehfigallmmndjkef [2014-09-16]
    CHR Extension: (oFeferoddEAll) - C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj\ [2014-09-26]
    R1 pcwatch; C:\WINDOWS\system32\Drivers\pcwatch.sys [19840 2014-09-01] () [File not signed] <==== ATTENTION
    2015-01-02 14:26 - 2015-01-02 14:26 - 00000000 ____D () C:\Program Files\bUyaNdbroewsEu
    2015-01-02 14:25 - 2015-01-02 14:25 - 00000000 ____D () C:\Program Files\nietrodoeual
    2014-12-26 20:00 - 2015-01-02 14:26 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\bUyaNdbroewsEu
    2014-12-26 20:00 - 2014-12-26 20:00 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj
    2014-12-26 19:59 - 2015-01-02 14:25 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\nietrodoeual
    2014-12-06 17:52 - 2015-01-03 22:56 - 00000000 ____D () C:\Program Files\9a36a88a-660c-4a9a-811f-0e6cce7b2d55
    2014-12-20 13:59 - 2014-10-31 07:24 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\86998342-aefb-4bdb-96ce-74be1e808b51
    C:\WINDOWS\system32\Drivers\pcwatch.sys
    cmd: netsh winsock reset
    *****************

    HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 => Key could not be deleted. Access denied.
    0
  6. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    Télécharge Internet Complete Repair et mets le sur le bureau : https://forum.malekal.com/viewtopic.php?t=46167&start=

    Télécharge Combofix sUBs sur ton bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

    DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

    Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

    driver::
    MyOSProtect
    pcwatch
    file::
    C:\Windows\system32\MyOSProtect.dll
    C:\Windows\system32\Drivers\pcwatch.sys

    Enregistre ce fichier sous le nom CFScript

    [*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

    [*]Combofix se lance, laisse toi guider..

    [*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
    Ne touche à rien tant que le scan n'est pas terminé.
    [*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.

    Si internet ne fonctionne plus, lance Internet Complete Repair puis clic sur la flèche sur la ligen "repair winsock".
    0
  7. gods Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
     
    J'ai passé adwcleaner après le ComboFix et les fichiers MyOsProtect.dll et pcswatch ont été supprimé.
    Il me reste à tester la connexion internet (faut chopper une clé wifi ou un cable résau)

    Merci
    0
  8. Malekal_morte- Messages postés 178136 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 712
     
    yep en fait, combofix a déchargé le driver, du coup la suppression était possible ensuite.

    Faudrait supprimer ces dossiers :
    c:\documents and settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj
    c:\documents and settings\All Users\Application Data\bUyaNdbroewsEu
    c:\documents and settings\All Users\Application Data\nietrodoeual

    Voila, c'est terminé, tu peux supprimer les programmes utilisés.

    Quelques conseils :

    Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Fais des scans réguliers avec, il est efficace.
    (sauf si tu es sur un netbook)

    Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=

    Pour ne plus te faire avoir.
    A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
    0