MyOsProtect.dll
Résolu/Fermé
gods
Messages postés
6
Date d'inscription
samedi 3 janvier 2015
Statut
Membre
Dernière intervention
6 janvier 2015
-
3 janv. 2015 à 16:04
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 6 janv. 2015 à 09:14
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 6 janv. 2015 à 09:14
10 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
3 janv. 2015 à 16:08
3 janv. 2015 à 16:08
Salut
fais un scanner malwarebyte https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
--
fais un scanner malwarebyte https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
--
gods
Messages postés
6
Date d'inscription
samedi 3 janvier 2015
Statut
Membre
Dernière intervention
6 janvier 2015
3 janv. 2015 à 23:48
3 janv. 2015 à 23:48
Salut,
J'ai fais le scan avec malwarebyte et il m'a trouvé plusieurs malware mais pas MyOsProtect.dll
Par contre, si je lance adwcleaner, il me détecte bien :
pcwatch
et MyOsProtect.dll
Il m'indique qu'il a supprimé les fichiers mais lorsque je reboot. Les fichiers sont de nouveau présent.
Je n'ai donc toujours pas accès à internet depuis cette machine
Merci
J'ai fais le scan avec malwarebyte et il m'a trouvé plusieurs malware mais pas MyOsProtect.dll
Par contre, si je lance adwcleaner, il me détecte bien :
pcwatch
et MyOsProtect.dll
Il m'indique qu'il a supprimé les fichiers mais lorsque je reboot. Les fichiers sont de nouveau présent.
Je n'ai donc toujours pas accès à internet depuis cette machine
Merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
4 janv. 2015 à 01:17
4 janv. 2015 à 01:17
Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
--
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
--
gods
Messages postés
6
Date d'inscription
samedi 3 janvier 2015
Statut
Membre
Dernière intervention
6 janvier 2015
5 janv. 2015 à 21:38
5 janv. 2015 à 21:38
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
5 janv. 2015 à 21:49
5 janv. 2015 à 21:49
essaye ça déjà :
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
Winsock: Catalog9 01 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
Winsock: Catalog9 02 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
Winsock: Catalog9 18 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
CHR Extension: (mimhmidgldhoghjoehfigallmmndjkef) - C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mimhmidgldhoghjoehfigallmmndjkef [2014-09-16]
CHR Extension: (oFeferoddEAll) - C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj\ [2014-09-26]
R1 pcwatch; C:\WINDOWS\system32\Drivers\pcwatch.sys [19840 2014-09-01] () [File not signed] <==== ATTENTION
2015-01-02 14:26 - 2015-01-02 14:26 - 00000000 ____D () C:\Program Files\bUyaNdbroewsEu
2015-01-02 14:25 - 2015-01-02 14:25 - 00000000 ____D () C:\Program Files\nietrodoeual
2014-12-26 20:00 - 2015-01-02 14:26 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\bUyaNdbroewsEu
2014-12-26 20:00 - 2014-12-26 20:00 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj
2014-12-26 19:59 - 2015-01-02 14:25 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\nietrodoeual
2014-12-06 17:52 - 2015-01-03 22:56 - 00000000 ____D () C:\Program Files\9a36a88a-660c-4a9a-811f-0e6cce7b2d55
2014-12-20 13:59 - 2014-10-31 07:24 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\86998342-aefb-4bdb-96ce-74be1e808b51
C:\WINDOWS\system32\Drivers\pcwatch.sys
cmd: netsh winsock reset
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
Winsock: Catalog9 01 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
Winsock: Catalog9 02 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
Winsock: Catalog9 18 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
CHR Extension: (mimhmidgldhoghjoehfigallmmndjkef) - C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mimhmidgldhoghjoehfigallmmndjkef [2014-09-16]
CHR Extension: (oFeferoddEAll) - C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj\ [2014-09-26]
R1 pcwatch; C:\WINDOWS\system32\Drivers\pcwatch.sys [19840 2014-09-01] () [File not signed] <==== ATTENTION
2015-01-02 14:26 - 2015-01-02 14:26 - 00000000 ____D () C:\Program Files\bUyaNdbroewsEu
2015-01-02 14:25 - 2015-01-02 14:25 - 00000000 ____D () C:\Program Files\nietrodoeual
2014-12-26 20:00 - 2015-01-02 14:26 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\bUyaNdbroewsEu
2014-12-26 20:00 - 2014-12-26 20:00 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj
2014-12-26 19:59 - 2015-01-02 14:25 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\nietrodoeual
2014-12-06 17:52 - 2015-01-03 22:56 - 00000000 ____D () C:\Program Files\9a36a88a-660c-4a9a-811f-0e6cce7b2d55
2014-12-20 13:59 - 2014-10-31 07:24 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\86998342-aefb-4bdb-96ce-74be1e808b51
C:\WINDOWS\system32\Drivers\pcwatch.sys
cmd: netsh winsock reset
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
gods
Messages postés
6
Date d'inscription
samedi 3 janvier 2015
Statut
Membre
Dernière intervention
6 janvier 2015
Modifié par gods le 5/01/2015 à 22:49
Modifié par gods le 5/01/2015 à 22:49
Plantage complet de FRST (Mode sans echec ou non) :
"
FRST.exe a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.
AppName: frst.exe AppVer: 4.1.2015.0 ModName: frst.exe
ModVer: 4.1.2015.0 Offset: 0001f3de
"
par contre j'ai un fichier Fixlog.txt :
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 04-01-2015
Ran by Administrateur at 2015-01-05 22:47:25 Run:6
Running from C:\Documents and Settings\Administrateur\Bureau
Loaded Profile: Administrateur (Available profiles: kodak & Administrateur)
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
Winsock: Catalog9 01 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
Winsock: Catalog9 02 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
Winsock: Catalog9 18 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
CHR Extension: (mimhmidgldhoghjoehfigallmmndjkef) - C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mimhmidgldhoghjoehfigallmmndjkef [2014-09-16]
CHR Extension: (oFeferoddEAll) - C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj\ [2014-09-26]
R1 pcwatch; C:\WINDOWS\system32\Drivers\pcwatch.sys [19840 2014-09-01] () [File not signed] <==== ATTENTION
2015-01-02 14:26 - 2015-01-02 14:26 - 00000000 ____D () C:\Program Files\bUyaNdbroewsEu
2015-01-02 14:25 - 2015-01-02 14:25 - 00000000 ____D () C:\Program Files\nietrodoeual
2014-12-26 20:00 - 2015-01-02 14:26 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\bUyaNdbroewsEu
2014-12-26 20:00 - 2014-12-26 20:00 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj
2014-12-26 19:59 - 2015-01-02 14:25 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\nietrodoeual
2014-12-06 17:52 - 2015-01-03 22:56 - 00000000 ____D () C:\Program Files\9a36a88a-660c-4a9a-811f-0e6cce7b2d55
2014-12-20 13:59 - 2014-10-31 07:24 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\86998342-aefb-4bdb-96ce-74be1e808b51
C:\WINDOWS\system32\Drivers\pcwatch.sys
cmd: netsh winsock reset
*****************
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 => Key could not be deleted. Access denied.
"
FRST.exe a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.
AppName: frst.exe AppVer: 4.1.2015.0 ModName: frst.exe
ModVer: 4.1.2015.0 Offset: 0001f3de
"
par contre j'ai un fichier Fixlog.txt :
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 04-01-2015
Ran by Administrateur at 2015-01-05 22:47:25 Run:6
Running from C:\Documents and Settings\Administrateur\Bureau
Loaded Profile: Administrateur (Available profiles: kodak & Administrateur)
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
Winsock: Catalog9 01 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
Winsock: Catalog9 02 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
Winsock: Catalog9 18 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
CHR Extension: (mimhmidgldhoghjoehfigallmmndjkef) - C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mimhmidgldhoghjoehfigallmmndjkef [2014-09-16]
CHR Extension: (oFeferoddEAll) - C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj\ [2014-09-26]
R1 pcwatch; C:\WINDOWS\system32\Drivers\pcwatch.sys [19840 2014-09-01] () [File not signed] <==== ATTENTION
2015-01-02 14:26 - 2015-01-02 14:26 - 00000000 ____D () C:\Program Files\bUyaNdbroewsEu
2015-01-02 14:25 - 2015-01-02 14:25 - 00000000 ____D () C:\Program Files\nietrodoeual
2014-12-26 20:00 - 2015-01-02 14:26 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\bUyaNdbroewsEu
2014-12-26 20:00 - 2014-12-26 20:00 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj
2014-12-26 19:59 - 2015-01-02 14:25 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\nietrodoeual
2014-12-06 17:52 - 2015-01-03 22:56 - 00000000 ____D () C:\Program Files\9a36a88a-660c-4a9a-811f-0e6cce7b2d55
2014-12-20 13:59 - 2014-10-31 07:24 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\86998342-aefb-4bdb-96ce-74be1e808b51
C:\WINDOWS\system32\Drivers\pcwatch.sys
cmd: netsh winsock reset
*****************
HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 => Key could not be deleted. Access denied.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
5 janv. 2015 à 22:57
5 janv. 2015 à 22:57
Télécharge Internet Complete Repair et mets le sur le bureau : https://forum.malekal.com/viewtopic.php?t=46167&start=
Télécharge Combofix sUBs sur ton bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
driver::
MyOSProtect
pcwatch
file::
C:\Windows\system32\MyOSProtect.dll
C:\Windows\system32\Drivers\pcwatch.sys
Enregistre ce fichier sous le nom CFScript
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
[*]Combofix se lance, laisse toi guider..
[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.
Si internet ne fonctionne plus, lance Internet Complete Repair puis clic sur la flèche sur la ligen "repair winsock".
Télécharge Combofix sUBs sur ton bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE
Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :
driver::
MyOSProtect
pcwatch
file::
C:\Windows\system32\MyOSProtect.dll
C:\Windows\system32\Drivers\pcwatch.sys
Enregistre ce fichier sous le nom CFScript
[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe
[*]Combofix se lance, laisse toi guider..
[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.
Si internet ne fonctionne plus, lance Internet Complete Repair puis clic sur la flèche sur la ligen "repair winsock".
gods
Messages postés
6
Date d'inscription
samedi 3 janvier 2015
Statut
Membre
Dernière intervention
6 janvier 2015
Modifié par gods le 5/01/2015 à 23:34
Modifié par gods le 5/01/2015 à 23:34
Fait
https://pjjoint.malekal.com/files.php?id=20150105_b11l14j8n14m12
Toujours le MyOsProtect.dll
https://pjjoint.malekal.com/files.php?id=20150105_b11l14j8n14m12
Toujours le MyOsProtect.dll
gods
Messages postés
6
Date d'inscription
samedi 3 janvier 2015
Statut
Membre
Dernière intervention
6 janvier 2015
6 janv. 2015 à 00:22
6 janv. 2015 à 00:22
J'ai passé adwcleaner après le ComboFix et les fichiers MyOsProtect.dll et pcswatch ont été supprimé.
Il me reste à tester la connexion internet (faut chopper une clé wifi ou un cable résau)
Merci
Il me reste à tester la connexion internet (faut chopper une clé wifi ou un cable résau)
Merci
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 661
6 janv. 2015 à 09:14
6 janv. 2015 à 09:14
yep en fait, combofix a déchargé le driver, du coup la suppression était possible ensuite.
Faudrait supprimer ces dossiers :
c:\documents and settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj
c:\documents and settings\All Users\Application Data\bUyaNdbroewsEu
c:\documents and settings\All Users\Application Data\nietrodoeual
Voila, c'est terminé, tu peux supprimer les programmes utilisés.
Quelques conseils :
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
(sauf si tu es sur un netbook)
Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=
Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
Faudrait supprimer ces dossiers :
c:\documents and settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj
c:\documents and settings\All Users\Application Data\bUyaNdbroewsEu
c:\documents and settings\All Users\Application Data\nietrodoeual
Voila, c'est terminé, tu peux supprimer les programmes utilisés.
Quelques conseils :
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
(sauf si tu es sur un netbook)
Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=
Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/