Fichiers supprimes

Résolu
gerrard81 Messages postés 81 Statut Membre -  
g!rly Messages postés 18462 Statut Contributeur -
Bonjour,
Lors d'un scan avast au démarrage, plusieurs fichiers ont été supprimés. Je suis pas très avancé en matière d'informatique. Ce serait sympa de me dire si les fichiers supprimés sont vitaux, si ya moyen de les remplacer et comment? Je vous donne le rapport de scan. Merci.

Analyse de C:\
Fichier C:\Documents and Settings\Wolof\Bureau\StreetFighterx2Plus\StreetFighterx2Plus\S.F EX.EXE est infecté par Win32:Trojan-gen {Other}, Supprimé
Fichier C:\Documents and Settings\Wolof\Mes documents\Bluetooth\inbox\bgpe7sd6.sis\c:\system\programs\cwoutcast.exe est infecté par SymbOS:Commwarrior-B [Wrm], Supprimé
Fichier C:\Documents and Settings\Wolof\Mes documents\Bluetooth\inbox\j8tuj4h2.sis\c:\system\programs\cwoutcast.exe est infecté par SymbOS:Commwarrior-B [Wrm], Supprimé
Fichier C:\dwvo.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP10\A0002343.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP11\A0002378.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP11\A0002534.dll est infecté par Win32:AuCrypt [Cryp], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP11\A0002556.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP11\A0003536.exe est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP11\A0003537.dll est infecté par Win32:AuCrypt [Cryp], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP11\A0003546.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP12\A0003563.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP12\A0003572.dll est infecté par Win32:AuCrypt [Cryp], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP15\A0006182.exe est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP15\A0006183.dll est infecté par Win32:AuCrypt [Cryp], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP15\A0006184.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP15\A0006203.EXE est infecté par Win32:Trojan-gen {Other}, Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP15\A0006204.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP3\A0000062.EXE est infecté par Win32:Trojan-gen {Other}, Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP6\A0001115.dll est infecté par Win32:AuCrypt [Cryp], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP6\A0001153.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP7\A0001175.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP7\A0001183.dll est infecté par Win32:AuCrypt [Cryp], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP7\A0001186.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP7\A0001199.dll est infecté par Win32:AuCrypt [Cryp], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP7\A0001203.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP8\A0001214.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP8\A0001250.dll est infecté par Win32:AuCrypt [Cryp], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP8\A0001254.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP8\A0002250.dll est infecté par Win32:AuCrypt [Cryp], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP8\A0002253.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP8\A0002262.dll est infecté par Win32:AuCrypt [Cryp], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP8\A0002267.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP9\A0002278.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP9\A0002286.dll est infecté par Win32:AuCrypt [Cryp], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP9\A0002290.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP9\A0002301.dll est infecté par Win32:AuCrypt [Cryp], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP9\A0002304.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP9\A0002336.dll est infecté par Win32:AuCrypt [Cryp], Supprimé
Fichier C:\System Volume Information\_restore{747CE20A-C9C1-45C9-8727-EE44730E9FBC}\RP9\A0002341.cmd est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\WINDOWS\system32\amvo.exe est infecté par Win32:OnLineGames-DRB [Trj], Supprimé
Fichier C:\WINDOWS\system32\amvo0.dll est infecté par Win32:AuCrypt [Cryp], Supprimé
Configuration: Windows XP
Internet Explorer 6.0

50 réponses

  • 1
  • 2
  • 3
Résumé de la discussion

Plusieurs fichiers ont été supprimés lors d'un scan Avast au démarrage, soulevant la question de savoir s'ils étaient vitaux et s'il est possible de les remplacer. Le rapport signale plusieurs infections détectées et des fichiers supprimés, notamment des programmes potentiellement malveillants (Trojan-gen, SymbOS:Commwarrior-B et OnLineGames-DRB) ainsi que des composants cryptés, suggérant que les suppressions visaient des éléments jugés nuisibles. Des solutions proposées incluent l’arrêt des processus persistants, l’examen des périphériques externes et l’utilisation d’outils de nettoyage supplémentaires ou de restauration pour éviter la propagation de menaces. D'autres suggestions mentionnent l'usage d’outils alternatifs et des modes de démarrage spéciaux pour effectuer un balayage plus approfondi et préserver les données, sans conclure à l’issue du fil.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. g!rly Messages postés 18462 Statut Contributeur 407
     
    Salut gerrard81,

    non ce ne sont pas des fichiers vitaux...

    par contre tu es encore infecté...

    Télécharge HijackThis ici :

    -> http://www.commentcamarche.net/telecharger/telecharger 159 hijackthis

    Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)

    -> http://pageperso.aol.fr/balltrap34/Hijenr.gif

    Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

    -> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    Post le rapport généré ici stp...

    @+
    1
  2. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut gerrard,

    ca me parait propre,

    fais ceci :

    Ouvre le bloc notes (Démarrer >> exécuter et tape notepad), et copie tout ce qui ci-dessous:

    @ echo off

    if exist \G!RLY.TXT del \G!RLY.TXT
    FOR %%A in (C D E F G H I J K L M N O P Q R S T U V W X Y Z) DO IF EXIST %%A: (
    IF EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Présent>>\G!RLY.TXT
    IF NOT EXIST %%A:\autorun.inf ECHO %%A:\autorun.inf Non trouvé>>\G!RLY.TXT
    IF EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Présent>>\G!RLY.TXT
    IF NOT EXIST %%A:\MS32DLL.dll.vbs ECHO %%A:\MS32DLL.dll.vbs Non trouvé>>\G!RLY.TXT
    )
    IF EXIST %WINDIR%\MS32DLL.dll.vbs (
    ECHO %WINDIR%\MS32DLL.dll.vbs Présent>>\G!RLY.TXT) else (
    ECHO %WINDIR%\MS32DLL.dll.vbs non trouvé >>\G!RLY.TXT)
    REG QUERY "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
    REG QUERY "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" >>\G!RLY.TXT
    notepad \G!RLY.TXT
    exit

    Dans le menu du bloc notes, clic sur "Fichier" >> Enregistrer sous.
    Choisis le bureau comme lieu d'enregistrement, puis dans:

    Type -> choisis "tous les fichiers"
    Nom du fichier -> tape G!RLY.bat
    clic sur enregistrer.

    Sur ton bureau tu auras maintenant un fichier nommé G!RLY.bat.

    Connecte les périphériques externes susceptibles d'avoir été infectés au pc:
    Clé USB, DD externe... etc

    Puis une fois fait, double clic sur le fichier G!RLY.bat.
    Une fenêtre noire va s'ouvrir et se refermer rapidement, c'est normal.
    Le bloc note va s'ouvrir ensuite avec le listing des fichiers que le script aura détecté.
    Copie et colle ici le contenu de ce rapport.

    je verifie car dans le rapport de scan d´avast il y avait "amvo.exe" il a la particularité d´infecter les peripheriques externes...

    @+
    1
  3. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut gerrard81,

    une infection a ete détécté

    C:\autorun.inf Présent

    Si tu as une clé USB, disque dur externe, etc, branche-les sans les ouvrir avant de lancer ce FIX
    Télécharge Rav antivirus: http://ww25.evosla.com/compteur.php?soft=rav_antivirus
    • Clique droit sur le fichier .ZIP > Extraire sur > le Bureau
    • Doucle clic sur >> RAV.exe << afin de lancer l'outil.
    • Une fois RAV ANTIVIRUS lancé, laisse-le réagir, il scanne automatiquement tous les lecteurs (disques fixes et amovibles)
    • Si infection > un rapport s'établira, sinon s'affichera (très rapide) ==>Votre Ordinateur est sain .
    • Retire tes disques amovibles et redémarre ton ordinateur .
    Poste le rapport , si infection!

    @+
    1
  4. g!rly Messages postés 18462 Statut Contributeur 407
     
    toujours la la bebete...

    fais ceci

    avec tes peripheriques externes branchés :

    ouvre le bloc note et copie colle les commandes en gras :

    @echo on
    taskkill /im explorer.exe /f
    taskkill /im wscript.exe
    start reg add HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\EXplorer\Advanced /v ShowSuperHidden /t REG_DWORD /d 1 /f
    start reg import kill.reg
    del c:\autorun.* /f /q /as
    del %SYSTEMROOT%\system32\autorun.* /f /q /as
    del d:\autorun.* /f /q /as
    del e:\autorun.* /f /q /as
    del f:\autorun.* /f /q /as
    del g:\autorun.* /f /q /as
    del h:\autorun.* /f /q /as
    del i:\autorun.* /f /q /as
    del j:\autorun.* /f /q /as
    del k:\autorun.* /f /q /as
    del l:\autorun.* /f /q /as
    start explorer.exe

    ferme le bloc et enregistre le sur le bureau sous le nom de kill_autorun_vbs.bat

    va sur le bureau et double clik sur kill_autorun_vbs.bat et laisse le faire son boulot

    post en suite le rapport de g!rly.bat

    @+
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut gerrard.

    bien joué pour flash desinfector ;-)

    je ne voulais pas le passer pour eviter la confusion mais tu as bien fait apres tout !

    maintenant ton pc est vacciné contre ce genre d´attaque a en croire E:\autorun.inf Présent > c´est le vaccin...

    cool

    post un nouveau rapport hijack this stp

    @+
    1
  7. g!rly Messages postés 18462 Statut Contributeur 407
     
    tres bien

    on va passer ceci pour se donner bonne conscience :

    Télécharge combofix.exe (par sUBs) sur ton Bureau.

    -> http://download.bleepingcomputer.com/sUBs/ComboFix.exe

    -> Double clique combofix.exe.
    -> Tape sur la touche 1 (Yes) pour démarrer le scan.
    -> Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Avant d'utiliser ComboFix :

    -> Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

    -> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent géner fortement la procédure de recherche et de nettoyage de l'outil.

    Une fois fait, sur ton bureau double-clic sur Combofix.exe.

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

    - En fin de scan il est possible que ComboFix ait besoin de redemarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)

    -> Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.

    -> Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    -> Tutoriel https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    @+
    1
  8. ^^Marie^^ Messages postés 41884 Date d'inscription   Statut Membre Dernière intervention   3 280
     
    De la part de G!rly

    voila .)

    tu branches E sans l´ouvrir

    puis

    Copie le texte ci-dessous :

    File::
    C:\bdtmp
    C:\WINDOWS\Lany.vbs
    C:\Lany.vbs
    E:\h.cmd
    E:\xfoolavp.com
    E:\jfvkcsy.bat

    Registry::
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0d7f3­­9­b4-2263-11dd-b9c6-000000000000}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e91f­­9­63-28de-11dd-b9df-101111111111}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{61756­­f­85-21da-11dd-b9c5-0010b592806d}]
    [-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6a4d3­­2­b8-24d4-11dd-b9cb-101111111111}]

    Ouvre le Bloc-Notes puis colle le texte copié.
    (Démarrer\Tous les programmes\Accessoires\Bloc notes.)
    Sauvegarde ce fichier sous le nom de CFScript.txt.

    Glisse maintenant le fichier CFScript.txt dans Combofix.exe comme ci-dessous :

    http://sd-1.archive-host.com/membres/up/1366464061/CFScript.gif

    Cela va relancer Combofix,

    Une fenêtre bleue va apparaître: au message qui apparaît ( Type 1 to continue, or 2 to abort) , tape 1 puis valide.

    Patiente le temps du scan.Le bureau va disparaître à plusieurs reprises: c'est normal!

    Ne touche à rien tant que le scan n'est pas terminé.

    Après redémarrage, poste le contenu du rapport Combofix.txt

    je ne suis pas certaine qu´il ai vu le message meme en mp :~

    J'ai bon là ??

    ;;))


    1
  9. g!rly Messages postés 18462 Statut Contributeur 407
     
    Salut gerard,

    Je crois que je me suis flouter par la vaccination de sUbs (flash desinfector)

    Fix.reg

    Ouvre le bloc-notes (click droit sur le bureau > dans l´arborescence choisie nouveau et nouveau fichier texte) et fais un copier coller de ce qui est en citation ci-dessous (copie tout d'un trait-sans les barres(x)) :

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    REGEDIT4

    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\amva]

    XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX
    Note : Regedit4 est sur la premiere ligne dans le bloc note et il y a une ligne blanche a la fin.
    Puis click sur "fichier"/"enregistrer sous" :
    dans : sur le bureau
    Nom du fichier : fix.reg
    Type de fichier : "tous les fichiers"
    clique sur "enregistrer"

    ca doit ressembler a ca une fois enrregistré :

    http://img520.imageshack.us/img520/4251/screenshot005ps2.png

    double clique sur fix.reg => tu dois obligatoirement avoir un message "voulez-vous vraiment ajouter les informations contenues dans ce fichier .reg au registre ?"
    Si c'est bien le cas, clique sur "oui"

    puis passe ce scan en ligne :

    Fais un scan en ligne Kaspersky avec Internet Explorer :
    https://www.kaspersky.fr/?domain=webscanner.kaspersky.fr
    -> Click sur Démarrer Online-Scanner
    -> Click maintenant sur J'accepte.
    -> Valide l'installation d'un ou de plusieurs ActiveX si c'est nécessaire.
    -> Patiente pendant l'installation des Mises à jour.
    -> Choisis par la suite l'analyse du Poste de travail.
    -> Sauvegarde puis colle le rapport généré en fin d'analyse.

    je sais c´est long, mais...

    @+
    1
  10. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut gerard81,

    regarde ceci concernant avast :

    antivir vs avast :

    -> http://forum.malekal.com/ftopic3528.php

    alors je te conseille de le desinstaller et d´installer antivir a la place

    Telecharge et instales l'antivirus Antivir Personal Edition Classic :

    ->https://www.malekal.com/avira-free-security-antivirus-gratuit/

    https://www.avira.com/en/prime

    http://mickael.barroux.free.fr/securite/antivir.php
    http://speedweb1.free.fr/frames2.php?page=tuto5
    <- tutoriel configuration du scanner...

    une fois antivir ouvert click surconfiguration et coche la case "expert mode" puis sur l´onglet scanner dans la fenetre du dessous tu va voir : rootkit search click sur le petit + pour deployer et coche la case a coté de ton disk dur
    puis click sur configuration en haut a droite; dans la nouvelle fenetre a gauche >scanner > coche "scan all files" et en dessous >scanner priority = High
    coche : allow stopping the scanner, comme cela tu peux faire une pause pendant le scan si tu le desir.
    puis sur la droite coche les case suivantes :
    scan boot sectors of selected drives
    scan master boot sectors
    scan memory
    search foe rootkit before scan
    decoche :
    ignore off line files
    toujours a gauche > scan > deploie > heuristique > macrovirus heuristic = coché et en dessous > win32 heuristic la case coché et high detection level

    Je te dis tous ca car j´aimerais que tu performes un scan entier de ta machine a l´aide d´antivir avec les reglages stipulés ci dessus et que tu post le rapport généré ici stp

    ps : passe le en mode sans echec

    post le rapport stp

    @+
    1
  11. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok gerrard

    supprime ceci :

    C:\Documents and Settings\Wolof\Bureau\LOGICIELS\Sécurité\WinXP_Manager_5[1].2.2_Keygen.rar

    je repasse demain

    bonne nuit
    1
  12. g!rly Messages postés 18462 Statut Contributeur 407
     
    ok

    a l´aide de hijack this coche et fix :

    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

    comment fixer :

    Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)

    -> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm

    puis

    tu surf avec internet explorer 6.0 = failles de securitées importantes

    alors fais les mises a jour windows : tu veux la version 7.0

    https://support.microsoft.com/en-US/topic/internet-explorer-downloads-d49e1f0d-571c-9a7b-d97e-be248806ca70

    et pourquoi ne pas surfer avec firefox? = plus sur, tout en gardant ie 7.0 pour les mises a jour windows car impossible a effectuer sous firefox

    http://www.mozilla-europe.org/fr/

    plugins : ad block plus, no script, ect...

    https://www.hugedomains.com/domain_profile.cfm?d=geckozone&e=org

    puis

    instale :

    Comodo 3 pro :

    http://www.commentcamarche.net/telecharger/telecharger 34055041 comodo firewall pro

    tuto : https://www.malekal.com/tutorial-comodo-firewall/

    spywareblaster :

    http://www.brightfort.com/spywareblaster.html

    c´est un resident, il suffit de le mettre a jour de temps en temps car la version gratuite ne le fait pas toute seul , une fois installé et mis a jour tu mets toutes les protections sur "enable"

    tuto : https://www.malekal.com/tutorial-spywareblaster/

    spyware gard :

    https://www.zebulon.fr/dossiers/securite/47-spywareguard.html

    verifie que tu as la derneire version d´acroabt reder :

    tu veux la version 8.1 derniere en date alors desinstale ta version par le panneau de configuration / ajoue et suppression de programme

    et instale la derniere :

    https://get2.adobe.com/reader/otherversions/

    ou oublie completement acrobat reader et instales foxit plus léger a la place:

    https://www.clubic.com/telecharger-fiche13808-foxit-reader.html

    voila

    @+
    1
  13. g!rly Messages postés 18462 Statut Contributeur 407
     
    gerrard81,

    avec tout ce que l´on a installé, tu vas etre tranquil; mais apres c´est sur il ne faut pas faire ou telecharger n´importe quoi sur internet...

    regarde ceci pour te donner une idée des malvaillances rencontrées sur la toile :

    6 helpers ont lancé un projet AntiMalwares.
    Le but de ce projet est de sensibiliser les internautes sur les dangers de la toile, leur faire prendre conscience que le téléchargement de certaines catégories de programmes est dangereux prime plus sur la sécurité de leur PC que d'empiler des antispywares.

    La page du projet est ici : https://www.malekal.com/projet-antimalware-2/

    L'article est disponible sous forme de PDF mais aussi bbcode (pour ce qui aurait un forum).
    Le bbcode au format CCM n'est pas disponible, néanmoins pour ceux qui le souhaitent, vous pouvez faire passer le PDF en fin de désinfection, si vous avez un blog ou sites mettre le PDF en téléchargement (il y a aussi des bannières), envoyer le PDF à vos amis par mail, MSN etc..

    Bref le but étant de toucher un maximum d'internautes pour relever le niveau des connaissances sur les virus, stopper les clichés etc..


    @+
    1
  14. gerrard81 Messages postés 81 Statut Membre 6
     
    C'est très sympa de ta part g!rly . Je suis soulagé de savoir que le pire n'est pas arrivé. Tu auras le log hijackthis assez tôt.Grand MERCI.
    0
  15. g!rly Messages postés 18462 Statut Contributeur 407
     
    Ok tres bien gerrard81 ;-)
    @ bientot`
    0
  16. gerrard81 Messages postés 81 Statut Membre 6
     
    Salut g!rly. Je t'envoie le rapport hijackthis demandé !!! N'hésite pas si t'as besoin d'autres détails. Merci

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:44:17, on 23/05/2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2

    (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Program Files\Alwil

    Software\Avast4\aswUpdSv.exe
    C:\Program Files\Alwil

    Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Program Files\IVT

    Corporation\BlueSoleil\BTNtService.exe
    C:\Program Files\Fichiers

    communs\LightScribe\LSSrvc.exe
    C:\WINDOWS\system32\HPZipm12.exe
    C:\WINDOWS\system32\svchost.exe
    C:\Program Files\Fichiers communs\Ulead

    Systems\DVD\ULCDRSvr.exe
    C:\Program Files\Alwil

    Software\Avast4\ashMaiSv.exe
    C:\Program Files\Alwil

    Software\Avast4\ashWebSv.exe
    C:\WINDOWS\Explorer.EXE
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Program Files\Fichiers

    communs\Real\Update_OB\realsched.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\system32\wuauclt.exe
    E:\Hijackthis_nstall.exe
    C:\Program Files\Trend

    Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet

    Explorer\Main,Start Page =

    https://www.google.ci/?gws_rd=ssl
    R0 - HKCU\Software\Microsoft\Internet

    Explorer\Toolbar,LinksFolderName = Liens
    O2 - BHO: RealPlayer Download and Record

    Plugin for Internet Explorer -

    {3049C3E9-B461-4BC5-8870-4C09146192CA} -

    C:\Program

    Files\Real\RealPlayer\rpbrowserrecordplugin.

    dll
    O4 - HKLM\..\Run: [avast!]

    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Program

    Files\Fichiers

    communs\Real\Update_OB\realsched.exe"

    -osboot
    O4 - HKCU\..\Run: [CTFMON.EXE]

    C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE]

    C:\WINDOWS\system32\CTFMON.EXE (User

    'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE]

    C:\WINDOWS\system32\CTFMON.EXE (User

    'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE]

    C:\WINDOWS\system32\CTFMON.EXE (User

    'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE]

    C:\WINDOWS\system32\CTFMON.EXE (User

    'Default user')
    O8 - Extra context menu item: E&xporter vers

    Microsoft Excel -

    res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EX

    E/3000
    O9 - Extra button: Recherche -

    {92780B25-18CC-41C8-B9BE-3C9C571A8263} -

    C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
    O9 - Extra button: Messenger -

    {FB5F1910-F110-11d2-BB9E-00C04F795683} -

    C:\Program Files\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows

    Messenger -

    {FB5F1910-F110-11d2-BB9E-00C04F795683} -

    C:\Program Files\Messenger\msmsgs.exe
    O23 - Service: avast! iAVS4 Control Service

    (aswUpdSv) - ALWIL Software - C:\Program

    Files\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: avast! Antivirus - ALWIL

    Software - C:\Program Files\Alwil

    Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - ALWIL

    Software - C:\Program Files\Alwil

    Software\Avast4\ashMaiSv.exe
    O23 - Service: avast! Web Scanner - ALWIL

    Software - C:\Program Files\Alwil

    Software\Avast4\ashWebSv.exe
    O23 - Service: BlueSoleil Hid Service -

    Unknown owner - C:\Program Files\IVT

    Corporation\BlueSoleil\BTNtService.exe
    O23 - Service: InstallDriver Table Manager

    (IDriverT) - Macrovision Corporation -

    C:\Program Files\Fichiers

    communs\InstallShield\Driver\11\Intel

    32\IDriverT.exe
    O23 - Service: iPodService - Apple Computer,

    Inc. - C:\Program

    Files\iPod\bin\iPodService.exe
    O23 - Service: LightScribeService Direct

    Disc Labeling Service (LightScribeService) -

    Hewlett-Packard Company - C:\Program

    Files\Fichiers

    communs\LightScribe\LSSrvc.exe
    O23 - Service: Pml Driver HPZ12 - HP -

    C:\WINDOWS\system32\HPZipm12.exe
    O23 - Service: Ulead Burning Helper

    (UleadBurningHelper) - Ulead Systems, Inc. -

    C:\Program Files\Fichiers communs\Ulead

    Systems\DVD\ULCDRSvr.exe
    0
  17. gerrard81 Messages postés 81 Statut Membre 6
     
    Salut g!rly. Excuse moi j'ai été déconnecté depuis hier soir.
    voici le résultat de g!rly.bat:

    C:\autorun.inf Présent
    C:\MS32DLL.dll.vbs Non trouvé
    C:\WINDOWS\MS32DLL.dll.vbs non trouvé

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    MSConfig REG_SZ C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
    Lany REG_SZ C:\WINDOWS\Lany.vbs
    TkBellExe REG_SZ "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
    Adobe Reader Speed Launcher REG_SZ "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe

    La fenêtre noire s'est effectivement ouverte mais ne s'est pas refermée.
    Est-ce que c'est bon? encore merci.
    0
  18. gerrard81 Messages postés 81 Statut Membre 6
     
    Salut g!rly.
    J'ai lancé le scan avec le logiciel RAV. Il dure depuis plus d'une heure et à déja trouvé plus d'une vingtaine de fichiers c:autorun.inf .
    Et depuis ce matin c'est marqué dans ma barre des titres : Piraté par LANY - Ingénieur en Hacking - Fuck U.
    Je crois que la route est encore longue!!
    0
  19. g!rly Messages postés 18462 Statut Contributeur 407
     
    salut gerrard81

    arrete le et post un nouveau rapport de g!rly.bat

    @+
    0
  20. gerrard81 Messages postés 81 Statut Membre 6
     
    C'est très gentil de t'occuper de mon problème G!rly. Sincèrement.
    Voila le rapport g!rly.bat :
    C:\autorun.inf Présent
    C:\MS32DLL.dll.vbs Non trouvé
    C:\WINDOWS\MS32DLL.dll.vbs non trouvé

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    Lany REG_SZ C:\WINDOWS\Lany.vbs

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe
    0
  21. gerrard81 Messages postés 81 Statut Membre 6
     
    Salut G!rly.
    Exécuté kill-autorun_vbs et g!rly.bat. Voici le rapport:

    C:\autorun.inf Non trouvé
    C:\MS32DLL.dll.vbs Non trouvé
    E:\autorun.inf Présent
    E:\MS32DLL.dll.vbs Présent
    C:\WINDOWS\MS32DLL.dll.vbs non trouvé

    ! REG.EXE VERSION 3.0

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
    avast! REG_SZ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    MSConfig REG_SZ C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\OptionalComponents

    ! REG.EXE VERSION 3.0

    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
    CTFMON.EXE REG_SZ C:\WINDOWS\system32\ctfmon.exe

    J'ai entre-temps lu des articles et tutos sur CCM, Zebilon et autres. J'ai donc exécuté FlashDisinfector et Vaccin_Usb.exe
    A +
    0
  • 1
  • 2
  • 3