MyOsProtect.dll

Résolu
gods Messages postés 6 Date d'inscription   Statut Membre Dernière intervention   -  
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   -
Bonjour,





J'ai un soucis avec la machine en Windows XP. Plus moyen d'aller sur internet par contre le ping vers www.yahoo.fr fonctionne bien.
J'ai détecté la dll MyOsProtect

J'ai utilisé OTL dont voici le rapport (OTL.txt)
https://pjjoint.malekal.com/files.php?id=20150103_f15d7o14b12p5
et Extrat.txt
https://pjjoint.malekal.com/files.php?id=20150103_u66w15m13v14

Si quelqu'un peut m'aider à shooter ce truc
Merci

10 réponses

Réponse 1 / 10
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Salut

fais un scanner malwarebyte https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

--
0
Réponse 2 / 10
gods Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
 
Salut,

J'ai fais le scan avec malwarebyte et il m'a trouvé plusieurs malware mais pas MyOsProtect.dll
Par contre, si je lance adwcleaner, il me détecte bien :
pcwatch
et MyOsProtect.dll

Il m'indique qu'il a supprimé les fichiers mais lorsque je reboot. Les fichiers sont de nouveau présent.

Je n'ai donc toujours pas accès à internet depuis cette machine

Merci
0
Réponse 3 / 10
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Suis le tutoriel FRST https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt

Envoie comme expliqué, ces trois rapports sur le site pjjoint et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

--
0
Réponse 4 / 10
gods Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
 
Bonjour,

Voici les fichiers :
https://pjjoint.malekal.com/files.php?id=FRST_20150105_r14t9v5y5f15
https://pjjoint.malekal.com/files.php?id=20150105_y11d12v8m5g14
https://pjjoint.malekal.com/files.php?id=20150105_t9o11r10q10j6

Merci
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 10
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
essaye ça déjà :

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :

Winsock: Catalog9 01 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
Winsock: Catalog9 02 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
Winsock: Catalog9 18 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
CHR Extension: (mimhmidgldhoghjoehfigallmmndjkef) - C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mimhmidgldhoghjoehfigallmmndjkef [2014-09-16]
CHR Extension: (oFeferoddEAll) - C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj\ [2014-09-26]
R1 pcwatch; C:\WINDOWS\system32\Drivers\pcwatch.sys [19840 2014-09-01] () [File not signed] <==== ATTENTION
2015-01-02 14:26 - 2015-01-02 14:26 - 00000000 ____D () C:\Program Files\bUyaNdbroewsEu
2015-01-02 14:25 - 2015-01-02 14:25 - 00000000 ____D () C:\Program Files\nietrodoeual
2014-12-26 20:00 - 2015-01-02 14:26 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\bUyaNdbroewsEu
2014-12-26 20:00 - 2014-12-26 20:00 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj
2014-12-26 19:59 - 2015-01-02 14:25 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\nietrodoeual
2014-12-06 17:52 - 2015-01-03 22:56 - 00000000 ____D () C:\Program Files\9a36a88a-660c-4a9a-811f-0e6cce7b2d55
2014-12-20 13:59 - 2014-10-31 07:24 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\86998342-aefb-4bdb-96ce-74be1e808b51
C:\WINDOWS\system32\Drivers\pcwatch.sys
cmd: netsh winsock reset

Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur

0
Réponse 6 / 10
gods Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
 
Plantage complet de FRST (Mode sans echec ou non) :
"
FRST.exe a rencontré un problème et doit fermer. Nous vous prions de nous excuser pour le désagrément encouru.

AppName: frst.exe AppVer: 4.1.2015.0 ModName: frst.exe
ModVer: 4.1.2015.0 Offset: 0001f3de

"
par contre j'ai un fichier Fixlog.txt :

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 04-01-2015
Ran by Administrateur at 2015-01-05 22:47:25 Run:6
Running from C:\Documents and Settings\Administrateur\Bureau
Loaded Profile: Administrateur (Available profiles: kodak & Administrateur)
Boot Mode: Normal

==============================================

Content of fixlist:
*****************
Winsock: Catalog9 01 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
Winsock: Catalog9 02 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
Winsock: Catalog9 18 C:\WINDOWS\system32\MyOSProtect.dll [304776] (MyOSCompany)
CHR Extension: (mimhmidgldhoghjoehfigallmmndjkef) - C:\Documents and Settings\Administrateur\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\mimhmidgldhoghjoehfigallmmndjkef [2014-09-16]
CHR Extension: (oFeferoddEAll) - C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj\ [2014-09-26]
R1 pcwatch; C:\WINDOWS\system32\Drivers\pcwatch.sys [19840 2014-09-01] () [File not signed] <==== ATTENTION
2015-01-02 14:26 - 2015-01-02 14:26 - 00000000 ____D () C:\Program Files\bUyaNdbroewsEu
2015-01-02 14:25 - 2015-01-02 14:25 - 00000000 ____D () C:\Program Files\nietrodoeual
2014-12-26 20:00 - 2015-01-02 14:26 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\bUyaNdbroewsEu
2014-12-26 20:00 - 2014-12-26 20:00 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj
2014-12-26 19:59 - 2015-01-02 14:25 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\nietrodoeual
2014-12-06 17:52 - 2015-01-03 22:56 - 00000000 ____D () C:\Program Files\9a36a88a-660c-4a9a-811f-0e6cce7b2d55
2014-12-20 13:59 - 2014-10-31 07:24 - 00000000 ____D () C:\Documents and Settings\All Users\Application Data\86998342-aefb-4bdb-96ce-74be1e808b51
C:\WINDOWS\system32\Drivers\pcwatch.sys
cmd: netsh winsock reset
*****************

HKLM\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\Protocol_Catalog9\Catalog_Entries\000000000001 => Key could not be deleted. Access denied.
0
Réponse 7 / 10
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
Télécharge Internet Complete Repair et mets le sur le bureau : https://forum.malekal.com/viewtopic.php?t=46167&start=

Télécharge Combofix sUBs sur ton bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

DESACTIVE LA PROTECTION ANTIVIR DURANT LA PROCEDURE

Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :

driver::
MyOSProtect
pcwatch
file::
C:\Windows\system32\MyOSProtect.dll
C:\Windows\system32\Drivers\pcwatch.sys


Enregistre ce fichier sous le nom CFScript

[*]Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe

[*]Combofix se lance, laisse toi guider..

[*]Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!
Ne touche à rien tant que le scan n'est pas terminé.
[*]Une fois le scan achevé, un rapport va s'afficher: poste son contenu sur http://pjjoint.malekal.com/ et donne le lien ici dans un nouveau message.


Si internet ne fonctionne plus, lance Internet Complete Repair puis clic sur la flèche sur la ligen "repair winsock".
0
Réponse 8 / 10
gods Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
 
Fait
https://pjjoint.malekal.com/files.php?id=20150105_b11l14j8n14m12

Toujours le MyOsProtect.dll
0
Réponse 9 / 10
gods Messages postés 6 Date d'inscription   Statut Membre Dernière intervention  
 
J'ai passé adwcleaner après le ComboFix et les fichiers MyOsProtect.dll et pcswatch ont été supprimé.
Il me reste à tester la connexion internet (faut chopper une clé wifi ou un cable résau)

Merci
0
Réponse 10 / 10
Malekal_morte- Messages postés 180304 Date d'inscription   Statut Modérateur, Contributeur sécurité Dernière intervention   24 685
 
yep en fait, combofix a déchargé le driver, du coup la suppression était possible ensuite.

Faudrait supprimer ces dossiers :
c:\documents and settings\All Users\Application Data\kannkaknhdlbbbachofegncfdhoimlhj
c:\documents and settings\All Users\Application Data\bUyaNdbroewsEu
c:\documents and settings\All Users\Application Data\nietrodoeual



Voila, c'est terminé, tu peux supprimer les programmes utilisés.

Quelques conseils :


Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
(sauf si tu es sur un netbook)

Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
0