Infection
Résolu/Fermé
borbol
Messages postés
2
Date d'inscription
dimanche 17 janvier 2016
Statut
Membre
Dernière intervention
17 janvier 2016
-
17 janv. 2016 à 04:04
fabul Messages postés 38779 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 4 octobre 2024 - 19 janv. 2016 à 02:46
fabul Messages postés 38779 Date d'inscription dimanche 18 janvier 2009 Statut Modérateur Dernière intervention 4 octobre 2024 - 19 janv. 2016 à 02:46
5 réponses
Buenos74
Messages postés
4347
Date d'inscription
vendredi 20 avril 2012
Statut
Membre
Dernière intervention
13 février 2016
846
17 janv. 2016 à 04:10
17 janv. 2016 à 04:10
Slt,
colle ton post ici :
http://www.hijackthis.de/fr afin de l'évaluer...
colle ton post ici :
http://www.hijackthis.de/fr afin de l'évaluer...
fabul
Messages postés
38779
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
4 octobre 2024
5 333
17 janv. 2016 à 04:34
17 janv. 2016 à 04:34
Salut,
Hijackthis est désuet.
Installe RegRun Reanimator (Download Mirror 1 ou 2)
Clic sur "Fix Problems".
Clic sur "Scan Windows Startup...".
Coche la case "Use Deep Level Scanning Once (For Advanced Users)".
Clic sur "Make Scan Now".
Patiente durant l'analyse.
Clic sur "Fix Problems".
Si il y a plus d'une quinzaine de détections, Prohibited/Suspicious/Warnings, tu peux le dire, on procédera différemment.
Attention, il détecte souvent des faux positifs (des bons fichiers).
Tu peux faire des recherches sur Internet.
Assure toi de ne supprimer que des malwares ou inutiles avec le bouton "Get It Out", sinon tu peux endommager ton système,
Passe avec la flèche pour les autres ou clic sur "False Positive" si c'est un item que tu connais.
Clic sur "Reboot Computer" a la fin pour effectuer la suppression et confirme pour redémarrer.
Regarde si tu vois quelque chose de mauvais ou inutile surtout dans les onglets "Logon" et "Scheduled Tasks" de Autoruns
Dit nous si c'est résolu.
Hijackthis est désuet.
Installe RegRun Reanimator (Download Mirror 1 ou 2)
Clic sur "Fix Problems".
Clic sur "Scan Windows Startup...".
Coche la case "Use Deep Level Scanning Once (For Advanced Users)".
Clic sur "Make Scan Now".
Patiente durant l'analyse.
Clic sur "Fix Problems".
Si il y a plus d'une quinzaine de détections, Prohibited/Suspicious/Warnings, tu peux le dire, on procédera différemment.
Attention, il détecte souvent des faux positifs (des bons fichiers).
Tu peux faire des recherches sur Internet.
Assure toi de ne supprimer que des malwares ou inutiles avec le bouton "Get It Out", sinon tu peux endommager ton système,
Passe avec la flèche pour les autres ou clic sur "False Positive" si c'est un item que tu connais.
Clic sur "Reboot Computer" a la fin pour effectuer la suppression et confirme pour redémarrer.
Regarde si tu vois quelque chose de mauvais ou inutile surtout dans les onglets "Logon" et "Scheduled Tasks" de Autoruns
Dit nous si c'est résolu.
borbol
Messages postés
2
Date d'inscription
dimanche 17 janvier 2016
Statut
Membre
Dernière intervention
17 janvier 2016
17 janv. 2016 à 18:06
17 janv. 2016 à 18:06
Merci pour vos réponses rapides et ce, à 4h du matin !!
Fabul, j'ai suivi tes conseils.
Je colle à la fin de mon message les réponses de RegRun Reanimator (en anglais). Si tu peux me donner ton avis, ça m'intéresse. D'un côté, il dit que j'ai sûrement un virus. Et de l'autre, quand je veux scanner ce qu'il trouve dans VirusTotal, il me dit qu'il ne peut pas trouver les fichiers, qu'ils sont endommagés ou cachés par un RootKit. Comment savoir si les fichiers n'existent plus ou si y a un rootkit ?? J'ai déjà scanné avec rootkiller de Bleepingcomputer et Kapersky, 360 securitytotal et plein d'autres... Mais mon impression, c'est qu'ils sont vides.
J'ai aussi fait tourner Autorun. Je m'y connais pas assez pour être sûr de moi. Y a pas mal de lignes en rose. En général, les rapports de VirusTotal sont négatifs (à part pour DVDvideosoft freestudio avec 1/56). Et il y a 5 fichiers surlignés en rose où il dit "le chemin d'accès spécifié est introuvable" et donc sans rapport de VirusTotal (mais bon, les fichiers datent de 2010 donc je pense pas que ce soit en rapport avec mon problème).
Depuis ce virus, j'ai souvent un message d'erreur qui me dit "Problème lors du démarrage de TaskSchedulerHelper.dll Le module spécifié est introuvable."
Voilà, si il y a d'autres idées, je suis preneur. Prochain objectif, je vais apprendre à utiliser les logiciels de Sysinternals parce que y a marre de rien y comprendre...
En tout cas, merci pour vos conseils!
...
You have a number of suspiscious programs. Probably, your computer is infected by a virus.
The problem is related to the computer component :
Kernel auto boot
Type : drivers
Is it serious ? The program is unknown. Probably it is legitimate.
Item name : catchme
Current setting : \ ??\C:\ComboFix\catchme.sys
Original :
The problem is related to the computer component :
Kernel auto boot
Type : drivers
Is it serious ? The program is unknown. Probably it is legitimate.
Item name : KeyP
Current setting : \SystemRoot\SYSTEM32\DRIVERS\KEYP.SYS
The problem is related to the computer component :
Kernel auto boot
Type : drivers
Is it serious ? The program is unknown. Probably it is legitimate.
Item name : mono
Current setting : C:\WINDOWS\SYSTEM32\DRIVERS\MONO.SYS
The problem is related to the computer component :
Kernel auto boot
Type : codecs
Is it serious ? The program is unknown. Probably it is legitimate.
Author :
Item nam : Vidc.cvid
Related file : Iccvid.dll
The problem is related to the computer component :
Kernel auto boot
Type : codecs
Is it serious ? The program is unknown. Probably it is legitimate.
Author :
Item nam : msacm.vorbis
Related File : vorbis.acm
The problem is related to the computer component :
Auto Start Apps
Type : Detected using Heuristic Algorithm
Is is serious ? The program is unknown. Probably it is legitimate.
Item Name : VHDMP.SYS
Cureent Setting : C:\WINDOWS\SYSTEM32\DRIVERS\VHDMP.SYS
Original :
The problem is related to the computer component :
Kernel auto boot
Type : Bootexecute
Is it serious ? The settings differ from the default ones. It is only warning.
Author : Unknown
Item Name : BootExecute
Related File : Partizan
("A chaque fois que je demande l'aide du logiciel, j'ai toujours les mêmes réponses :")
Couldn’t find the file. The file may be already deleted or hidden by a rootkit.
The file has zero bytes in size ! Probably the file is damaged.
File is not signed. No manufacture information. A file producer is unknown. Couldn’t find the file. The file may be already deleted or hidden by a rootkit.
("dans VirusTotal:") Fichier non trouvé. Le fichier que vous cherchez n’est pas dans notre base de données.
---
Fabul, j'ai suivi tes conseils.
Je colle à la fin de mon message les réponses de RegRun Reanimator (en anglais). Si tu peux me donner ton avis, ça m'intéresse. D'un côté, il dit que j'ai sûrement un virus. Et de l'autre, quand je veux scanner ce qu'il trouve dans VirusTotal, il me dit qu'il ne peut pas trouver les fichiers, qu'ils sont endommagés ou cachés par un RootKit. Comment savoir si les fichiers n'existent plus ou si y a un rootkit ?? J'ai déjà scanné avec rootkiller de Bleepingcomputer et Kapersky, 360 securitytotal et plein d'autres... Mais mon impression, c'est qu'ils sont vides.
J'ai aussi fait tourner Autorun. Je m'y connais pas assez pour être sûr de moi. Y a pas mal de lignes en rose. En général, les rapports de VirusTotal sont négatifs (à part pour DVDvideosoft freestudio avec 1/56). Et il y a 5 fichiers surlignés en rose où il dit "le chemin d'accès spécifié est introuvable" et donc sans rapport de VirusTotal (mais bon, les fichiers datent de 2010 donc je pense pas que ce soit en rapport avec mon problème).
Depuis ce virus, j'ai souvent un message d'erreur qui me dit "Problème lors du démarrage de TaskSchedulerHelper.dll Le module spécifié est introuvable."
Voilà, si il y a d'autres idées, je suis preneur. Prochain objectif, je vais apprendre à utiliser les logiciels de Sysinternals parce que y a marre de rien y comprendre...
En tout cas, merci pour vos conseils!
...
You have a number of suspiscious programs. Probably, your computer is infected by a virus.
The problem is related to the computer component :
Kernel auto boot
Type : drivers
Is it serious ? The program is unknown. Probably it is legitimate.
Item name : catchme
Current setting : \ ??\C:\ComboFix\catchme.sys
Original :
The problem is related to the computer component :
Kernel auto boot
Type : drivers
Is it serious ? The program is unknown. Probably it is legitimate.
Item name : KeyP
Current setting : \SystemRoot\SYSTEM32\DRIVERS\KEYP.SYS
The problem is related to the computer component :
Kernel auto boot
Type : drivers
Is it serious ? The program is unknown. Probably it is legitimate.
Item name : mono
Current setting : C:\WINDOWS\SYSTEM32\DRIVERS\MONO.SYS
The problem is related to the computer component :
Kernel auto boot
Type : codecs
Is it serious ? The program is unknown. Probably it is legitimate.
Author :
Item nam : Vidc.cvid
Related file : Iccvid.dll
The problem is related to the computer component :
Kernel auto boot
Type : codecs
Is it serious ? The program is unknown. Probably it is legitimate.
Author :
Item nam : msacm.vorbis
Related File : vorbis.acm
The problem is related to the computer component :
Auto Start Apps
Type : Detected using Heuristic Algorithm
Is is serious ? The program is unknown. Probably it is legitimate.
Item Name : VHDMP.SYS
Cureent Setting : C:\WINDOWS\SYSTEM32\DRIVERS\VHDMP.SYS
Original :
The problem is related to the computer component :
Kernel auto boot
Type : Bootexecute
Is it serious ? The settings differ from the default ones. It is only warning.
Author : Unknown
Item Name : BootExecute
Related File : Partizan
("A chaque fois que je demande l'aide du logiciel, j'ai toujours les mêmes réponses :")
Couldn’t find the file. The file may be already deleted or hidden by a rootkit.
The file has zero bytes in size ! Probably the file is damaged.
File is not signed. No manufacture information. A file producer is unknown. Couldn’t find the file. The file may be already deleted or hidden by a rootkit.
("dans VirusTotal:") Fichier non trouvé. Le fichier que vous cherchez n’est pas dans notre base de données.
---
fabul
Messages postés
38779
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
4 octobre 2024
5 333
Modifié par fabul le 18/01/2016 à 00:59
Modifié par fabul le 18/01/2016 à 00:59
Salut,
J'ai pris quelques minutes pour regarder ça, et le seul qui attire vraiment mon attention, c'est MONO.SYS , si il est introuveble par analyse Virustotal, supprime, Catchme tu peux le supprimer.
catchme.sys = Viens de Combofix , tu peux supprimer.
KEYP.SYS = surement SmartKey Driver donc probablement bon.
MONO.SYS = Pas trouvé , suspect
Iccvid.dll = codec pas dangereux
vorbis.acm = codec pas dangereux
VHDMP.SYS = Driver légitime , ok
Partizan = Appartient a RegRun
TaskSchedulerHelper.dll serait ssocié Auslogics Boostspeed.
Tu peux trouver une igne jaune dans Autoruns et supprimer cette ligne.
PS: Il ne faut pas supprimer tout ce qui est jaune dans Autoruns.
J'ai pris quelques minutes pour regarder ça, et le seul qui attire vraiment mon attention, c'est MONO.SYS , si il est introuveble par analyse Virustotal, supprime, Catchme tu peux le supprimer.
catchme.sys = Viens de Combofix , tu peux supprimer.
KEYP.SYS = surement SmartKey Driver donc probablement bon.
MONO.SYS = Pas trouvé , suspect
Iccvid.dll = codec pas dangereux
vorbis.acm = codec pas dangereux
VHDMP.SYS = Driver légitime , ok
Partizan = Appartient a RegRun
TaskSchedulerHelper.dll serait ssocié Auslogics Boostspeed.
Tu peux trouver une igne jaune dans Autoruns et supprimer cette ligne.
PS: Il ne faut pas supprimer tout ce qui est jaune dans Autoruns.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
fabul
Messages postés
38779
Date d'inscription
dimanche 18 janvier 2009
Statut
Modérateur
Dernière intervention
4 octobre 2024
5 333
19 janv. 2016 à 02:46
19 janv. 2016 à 02:46
Tu peux garder RegRun Reanimator, il peut t’être utile pour trouver et éliminer des malwares, cliquer sur "False positive" pour les éléments sains quand il y en a, il ne les détectera plus.
Si tu désinstalle RegRun Reanimator, juste avant, tu peux cliquer sur "Uninstall Partizan" (dans le programme).
Et tu peux cliquer sur ce fichier .reg qui remet la clé Bootexecute par défaut si elle ne l'est pas:
https://www.cjoint.com/c/DIwp0hjRA6Y
Tu peux cliquer sur le fichier .reg même si tu garde RegRun Reanimator.
@+
Si tu désinstalle RegRun Reanimator, juste avant, tu peux cliquer sur "Uninstall Partizan" (dans le programme).
Et tu peux cliquer sur ce fichier .reg qui remet la clé Bootexecute par défaut si elle ne l'est pas:
https://www.cjoint.com/c/DIwp0hjRA6Y
Tu peux cliquer sur le fichier .reg même si tu garde RegRun Reanimator.
@+