Clés infectées impossibles à supprimer
Fermé
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
-
26 juin 2008 à 14:20
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 3 juil. 2008 à 14:25
sKe69 Messages postés 21360 Date d'inscription samedi 15 mars 2008 Statut Contributeur sécurité Dernière intervention 30 décembre 2012 - 3 juil. 2008 à 14:25
A voir également:
- Clés infectées impossibles à supprimer
- Supprimer compte instagram - Guide
- Supprimer une page word - Guide
- Supprimer compte facebook - Guide
- Supprimer compte gmail - Guide
- Supprimer edge - Guide
18 réponses
lecristal
Messages postés
961
Date d'inscription
samedi 31 mars 2007
Statut
Membre
Dernière intervention
9 août 2022
18
26 juin 2008 à 17:01
26 juin 2008 à 17:01
attention a regedit
il faut faire une sauvegarde avant de faire toute manipulation
il faut faire une sauvegarde avant de faire toute manipulation
lecristal
Messages postés
961
Date d'inscription
samedi 31 mars 2007
Statut
Membre
Dernière intervention
9 août 2022
18
26 juin 2008 à 14:22
26 juin 2008 à 14:22
ah!!!!!!!!!
Hijackthis
tu n'arrive aps a le fixer avec Hijackthis ????????????
Hijackthis
tu n'arrive aps a le fixer avec Hijackthis ????????????
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
26 juin 2008 à 14:24
26 juin 2008 à 14:24
pas très constructif ta réponse ... tu as rien d'autre à proposer !?
lecristal
Messages postés
961
Date d'inscription
samedi 31 mars 2007
Statut
Membre
Dernière intervention
9 août 2022
18
26 juin 2008 à 14:26
26 juin 2008 à 14:26
si tu ne dais faire fonctionne Hijackthis
alors je ne peux pas t'aider
alors je ne peux pas t'aider
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
26 juin 2008 à 14:31
26 juin 2008 à 14:31
Si tu regardes bien le topic complet , je lui ai fait fixer ces lignes ! et que dale ... elle sont tjrs là ...
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=4#70
Autre chose ?
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=4#70
Autre chose ?
green day
Messages postés
26364
Date d'inscription
vendredi 30 septembre 2005
Statut
Modérateur, Contributeur sécurité
Dernière intervention
27 décembre 2019
2 165
26 juin 2008 à 14:34
26 juin 2008 à 14:34
Salut
de passage rapide, tu peux me coller le script de combo, peut être une erreur de syntaxe ?
@+
;-)
de passage rapide, tu peux me coller le script de combo, peut être une erreur de syntaxe ?
@+
;-)
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
26 juin 2008 à 14:38
26 juin 2008 à 14:38
merci :)
c'est ici : http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=4#76
et le script :
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex]
Voilà ...
c'est ici : http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=4#76
et le script :
Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}]
[-HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex]
Voilà ...
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
lecristal
Messages postés
961
Date d'inscription
samedi 31 mars 2007
Statut
Membre
Dernière intervention
9 août 2022
18
26 juin 2008 à 14:38
26 juin 2008 à 14:38
ah
je vois effectivement
le probleme se complique
bien sur r'assure moi
tu met bien ls croix dans les cases quand tu fixe les lignes dans Hijackthis
sinon
regarde cette adresse cela peut d'aider
http://www.malekal.com/index.php
ah n'oublie pas que les pros se font payer
il n'y a que des volontaires dans les forums
enfin je crois
allez passe une bonne journée
et revient nous voir si tu te pose encore des problemes
et si nous pouvons t'aider
je vois effectivement
le probleme se complique
bien sur r'assure moi
tu met bien ls croix dans les cases quand tu fixe les lignes dans Hijackthis
sinon
regarde cette adresse cela peut d'aider
http://www.malekal.com/index.php
ah n'oublie pas que les pros se font payer
il n'y a que des volontaires dans les forums
enfin je crois
allez passe une bonne journée
et revient nous voir si tu te pose encore des problemes
et si nous pouvons t'aider
green day
Messages postés
26364
Date d'inscription
vendredi 30 septembre 2005
Statut
Modérateur, Contributeur sécurité
Dernière intervention
27 décembre 2019
2 165
26 juin 2008 à 14:48
26 juin 2008 à 14:48
Est-ce que tu as passé SDfix ?
il faut aussi supprime les fichiers associés aux clés avec la commande file::
je reviens plus tard,@+
il faut aussi supprime les fichiers associés aux clés avec la commande file::
je reviens plus tard,@+
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
26 juin 2008 à 15:03
26 juin 2008 à 15:03
C'est ce que j'avais fait au début :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#40
mais cela n'a pas fonctionner ...
Ensuite je lui est fait changer d'AV ( ce que je fais rarement en cours de désinfection ) : virer Avast pour AntiVir .
Ce dernier à mis les dll en quarantaine, mais les clé sont toujours là et bien accrochées !
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#40
mais cela n'a pas fonctionner ...
Ensuite je lui est fait changer d'AV ( ce que je fais rarement en cours de désinfection ) : virer Avast pour AntiVir .
Ce dernier à mis les dll en quarantaine, mais les clé sont toujours là et bien accrochées !
Salut Ske ,
Tu peux tenter OtmoveIt avec :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex
A+
Tu peux tenter OtmoveIt avec :
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex
A+
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
26 juin 2008 à 16:50
26 juin 2008 à 16:50
Salut,
J'y avait bien pensé mais, vu que CFScript n'y est parvenu, pourquoi OTmoveIt y arriverait-il ?
Au point où on en est ... à tenter biensûr ^^
merci !
J'y avait bien pensé mais, vu que CFScript n'y est parvenu, pourquoi OTmoveIt y arriverait-il ?
Au point où on en est ... à tenter biensûr ^^
merci !
Utilisateur anonyme
>
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
26 juin 2008 à 16:58
26 juin 2008 à 16:58
Salut,
sinon tu peux lui faire supprimer manuellement en passant par regedit....
sinon tu peux lui faire supprimer manuellement en passant par regedit....
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
>
Utilisateur anonyme
26 juin 2008 à 17:05
26 juin 2008 à 17:05
Salut ;)
en dernier recours , j'y avais bien pensé ... en espérent que le helpé s'en sorte , son PC est assez instable ...
jettes un cil sur le résultat de VirusTotal , cela pourra peut-être t'inspiré :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#36 et les deux suivants ...
en dernier recours , j'y avais bien pensé ... en espérent que le helpé s'en sorte , son PC est assez instable ...
jettes un cil sur le résultat de VirusTotal , cela pourra peut-être t'inspiré :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#36 et les deux suivants ...
lecristal
Messages postés
961
Date d'inscription
samedi 31 mars 2007
Statut
Membre
Dernière intervention
9 août 2022
18
26 juin 2008 à 17:08
26 juin 2008 à 17:08
s'est le genre de truc
que si tu touche a cela
tu peux bousillé definitivement windows
et le reste aussi
j'ai deja testé
et j'ai du faire un formatage complet apres
que si tu touche a cela
tu peux bousillé definitivement windows
et le reste aussi
j'ai deja testé
et j'ai du faire un formatage complet apres
Re,
sKe :
A la fin du comboscan :
R0 ubqgamqy;ubqgamqy;C:\WINDOWS\system32\drivers\ubqgamqy.sys [2004-08-05 14:00]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
mpbcwszj
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e568e942-b240-11dc-8f6c-806d6172696f}]
\Shell\AutoRun\command - D:\Setup.exe
Cékoiça ?
Peut être un virustotal sur D:\Setup.exe ?
sKe :
A la fin du comboscan :
R0 ubqgamqy;ubqgamqy;C:\WINDOWS\system32\drivers\ubqgamqy.sys [2004-08-05 14:00]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs
mpbcwszj
[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e568e942-b240-11dc-8f6c-806d6172696f}]
\Shell\AutoRun\command - D:\Setup.exe
Cékoiça ?
Peut être un virustotal sur D:\Setup.exe ?
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
>
Utilisateur anonyme
26 juin 2008 à 18:16
26 juin 2008 à 18:16
j'ai bien tenté de supprimer cette clé aussi mais sans succès !
---> http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#28
mais pour la vérife sur Virustotal , pas penser lol
Pour une autre idée de script , DllD , je suis bien évidemment preneur !
A noter que pour l'instant , plus de nouvel de l'helpé ... j'espère qu'il na pas baisser les bras ... :-/
---> http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#28
mais pour la vérife sur Virustotal , pas penser lol
Pour une autre idée de script , DllD , je suis bien évidemment preneur !
A noter que pour l'instant , plus de nouvel de l'helpé ... j'espère qu'il na pas baisser les bras ... :-/
Utilisateur anonyme
>
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
26 juin 2008 à 18:35
26 juin 2008 à 18:35
Ok,
attendons qu'il revienne...
Par contre ce driver ubqgamqy.sys est plus que louche :
https://www.google.fr/search?hl=fr&q=ubqgamqy.sys&btnG=Recherche+Google&meta=&gws_rd=ssl
Il parle d'un trojan (et oui : je lis le chinois :D)
Je le ferai passer chez Virustotal...
En fait il y a beaucoup de choses louches et certaines ont disparues du Combo sans que je comprenne pourquoi...
A+
attendons qu'il revienne...
Par contre ce driver ubqgamqy.sys est plus que louche :
https://www.google.fr/search?hl=fr&q=ubqgamqy.sys&btnG=Recherche+Google&meta=&gws_rd=ssl
Il parle d'un trojan (et oui : je lis le chinois :D)
Je le ferai passer chez Virustotal...
En fait il y a beaucoup de choses louches et certaines ont disparues du Combo sans que je comprenne pourquoi...
A+
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
>
Utilisateur anonyme
26 juin 2008 à 18:38
26 juin 2008 à 18:38
Il me semblais bien être tomber sur un cas un peu spécial ... ^^
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
26 juin 2008 à 18:45
26 juin 2008 à 18:45
autre chose qui m'interpelle :
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}]
2004-08-05 14:00 88064 --a------ C:\WINDOWS\system32\comdlg32e.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}]
2004-08-05 14:00 84992 --a------ c:\windows\system32\dbnmpntwb.dll
...
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex]
dbnmpntwb.dll 2004-08-05 14:00 84992 C:\WINDOWS\system32\dbnmpntwb.dll
c'est pas tout jeune non ? ou c'est fictif comme date ???
HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{B56F637C-8AF9-43FA-A31B-935F967A00CC}]
2004-08-05 14:00 88064 --a------ C:\WINDOWS\system32\comdlg32e.dll
[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{FA566E27-2B42-422B-9370-B1157205F1E1}]
2004-08-05 14:00 84992 --a------ c:\windows\system32\dbnmpntwb.dll
...
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\kswhazex]
dbnmpntwb.dll 2004-08-05 14:00 84992 C:\WINDOWS\system32\dbnmpntwb.dll
c'est pas tout jeune non ? ou c'est fictif comme date ???
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
>
Utilisateur anonyme
26 juin 2008 à 19:05
26 juin 2008 à 19:05
T'es sur que c'est Vundo ? pouquoi dans ce cas la le protocole que je lui est fait suivre n'a eu absolument aucun effet sur ces objets ? ...
Utilisateur anonyme
>
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
26 juin 2008 à 19:13
26 juin 2008 à 19:13
Non,
tu as raison : je ne crois pas qu'il y ai de chivre dans les noms de fichier vundo.
Mais les fichiers sont encore là : http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#41
Perso,
j'aime pas ce mot mais FORMATAGE.
Il est tellement parasité que des fichiers doivent être manquants ou endommagés...
A partir du moment où un PC a été infecté, il n'est plus fiable. Alors pour lui....
Mais je suis partant pour faire un script quand même...
tu as raison : je ne crois pas qu'il y ai de chivre dans les noms de fichier vundo.
Mais les fichiers sont encore là : http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=2#41
Perso,
j'aime pas ce mot mais FORMATAGE.
Il est tellement parasité que des fichiers doivent être manquants ou endommagés...
A partir du moment où un PC a été infecté, il n'est plus fiable. Alors pour lui....
Mais je suis partant pour faire un script quand même...
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
26 juin 2008 à 19:20
26 juin 2008 à 19:20
Mais les fichiers sont encore là ->Oui , c'est bien là le prb ;)
Sinon regardes , c'est peut-être anodin mais au point où on en est :
C:\WINDOWS\system32\84psjwcuuxz.exe
C:\WINDOWS\system32\comdlg32e.dll
C:\windows\system32\dbnmpntwb.dll
"Windows" en Majuscule puis en Minuscule pour le dernier ... une idée ?...
Sinon regardes , c'est peut-être anodin mais au point où on en est :
C:\WINDOWS\system32\84psjwcuuxz.exe
C:\WINDOWS\system32\comdlg32e.dll
C:\windows\system32\dbnmpntwb.dll
"Windows" en Majuscule puis en Minuscule pour le dernier ... une idée ?...
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
>
Utilisateur anonyme
26 juin 2008 à 19:30
26 juin 2008 à 19:30
Ok ...
j'ai rien dis :))))
j'ai rien dis :))))
green day
Messages postés
26364
Date d'inscription
vendredi 30 septembre 2005
Statut
Modérateur, Contributeur sécurité
Dernière intervention
27 décembre 2019
2 165
27 juin 2008 à 00:38
27 juin 2008 à 00:38
Je regarde ça en détail demain, et je te dis quoi ;-)
@+
@+
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
27 juin 2008 à 00:46
27 juin 2008 à 00:46
Merci miss ^^
A+
A+
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
3 juil. 2008 à 13:03
3 juil. 2008 à 13:03
Bonjour,
même si il n'est pas revenu.
D'abord, un script Combo peut échouer et OTMoveIt fonctionner (ou inversement) parce que les mécanismes de destruction ne sont pas identiques (au passage, ce sont les informmions sur ces mécanismes que les auteurs des outils cherchent à protéger).
Ensuite, DllD a très probablement raison sur les 3 items qu'il a donné. Ce sont les causes probables.
Par contre ce qu'il qualifie de Vundo est plus probablement un Delf et il est protégé par le pilote en .sys.
Tu avais fait passer SDFix ?
Dernier point, il me semble qu'il a une vieille version de SmitFraudFix qui traîne. Ancien taritement qui n'a pas enlevé l'outil, initiative personelle ? Tu as vérifié que la version qu'il a utilisé à ta demande était bien la dernière ?
même si il n'est pas revenu.
D'abord, un script Combo peut échouer et OTMoveIt fonctionner (ou inversement) parce que les mécanismes de destruction ne sont pas identiques (au passage, ce sont les informmions sur ces mécanismes que les auteurs des outils cherchent à protéger).
Ensuite, DllD a très probablement raison sur les 3 items qu'il a donné. Ce sont les causes probables.
Par contre ce qu'il qualifie de Vundo est plus probablement un Delf et il est protégé par le pilote en .sys.
Tu avais fait passer SDFix ?
Dernier point, il me semble qu'il a une vieille version de SmitFraudFix qui traîne. Ancien taritement qui n'a pas enlevé l'outil, initiative personelle ? Tu as vérifié que la version qu'il a utilisé à ta demande était bien la dernière ?
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
3 juil. 2008 à 13:27
3 juil. 2008 à 13:27
Salut,
Pour ce que m' a suggérer DllD , tout à fais d'accord , mauvaise analyse de ma part , cela aurais du m'interpeler de suite...
Tu avais fait passer SDFix ? oui , ici :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008#13
Et pour Smithfraud , cela n'a rien donner :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=4#80
Et c'est bien la dernière version en date non ? La 2.328 ...
Et pour OTMoveIt ... malheureusement , pas eu le temps d'essayer ^^
Pour ce que m' a suggérer DllD , tout à fais d'accord , mauvaise analyse de ma part , cela aurais du m'interpeler de suite...
Tu avais fait passer SDFix ? oui , ici :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008#13
Et pour Smithfraud , cela n'a rien donner :
http://www.commentcamarche.net/forum/affich 7030566 malware protecotr 2008?page=4#80
Et c'est bien la dernière version en date non ? La 2.328 ...
Et pour OTMoveIt ... malheureusement , pas eu le temps d'essayer ^^
Lyonnais92
Messages postés
25159
Date d'inscription
vendredi 23 juin 2006
Statut
Contributeur sécurité
Dernière intervention
16 septembre 2016
1 537
3 juil. 2008 à 14:06
3 juil. 2008 à 14:06
Re,
je ne critique pas, je fais une analyse pour progresser.
Clairement, il faut fermer le driver pour s'en sortir.
Au passage, la casse est indifférente (WINDOWs, windows).
L'intérêt du topic est que on ne peut pas s'en sortir avec Hijackthis tout seul et que DSS fournit les infos complémentaires (qui sont dans la liste des drivers).
Il y a d'autres outils que DSS pour montrer les informations pertinentes. Mais tous listent les drivers.
je ne critique pas, je fais une analyse pour progresser.
Clairement, il faut fermer le driver pour s'en sortir.
Au passage, la casse est indifférente (WINDOWs, windows).
L'intérêt du topic est que on ne peut pas s'en sortir avec Hijackthis tout seul et que DSS fournit les infos complémentaires (qui sont dans la liste des drivers).
Il y a d'autres outils que DSS pour montrer les informations pertinentes. Mais tous listent les drivers.
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
3 juil. 2008 à 14:10
3 juil. 2008 à 14:10
Je ne prend pas du tout cela pour une critique ^^
No problême , au contraire ... =)
No problême , au contraire ... =)
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
3 juil. 2008 à 14:08
3 juil. 2008 à 14:08
re,
peut-être là :
Le rapport Smithfraud du post 80 :
SmitFraudFix v2.328
Rapport fait à 0:03:05,34, 25/06/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\fswsclds.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\PROGRA~1\SECURI~1\174112\Program\BACKWE~1.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Orange\systray\systrayapp.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\System32\svchost.exe
E:\OFFICE11\WINWORD.EXE
C:\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
.....
" WINWORD.EXE " ---> https://www.bleepingcomputer.com/startups/WINWORD.EXE-21308.html
non ?....
peut-être là :
Le rapport Smithfraud du post 80 :
SmitFraudFix v2.328
Rapport fait à 0:03:05,34, 25/06/2008
Executé à partir de C:\SmitfraudFix
OS: Microsoft Windows XP [version 5.1.2600] - Windows_NT
Le type du système de fichiers est NTFS
Fix executé en mode normal
»»»»»»»»»»»»»»»»»»»»»»»» Process
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Analog Devices\Core\smax4pnp.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\F-Secure\Common\FSM32.EXE
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rundll32.exe
C:\PROGRA~1\SECURI~1\174112\Program\SERVIC~1.EXE
C:\Program Files\F-Secure\Common\FSMA32.EXE
C:\Program Files\F-Secure\fswsclds.exe
C:\Program Files\F-Secure\Common\FSMB32.EXE
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe
C:\Program Files\Fichiers communs\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\F-Secure\Common\FCH32.EXE
C:\Program Files\F-Secure\Common\FAMEH32.EXE
C:\PROGRA~1\SECURI~1\174112\Program\BACKWE~1.EXE
C:\Program Files\F-Secure\Common\FSGK32.EXE
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcAppFlt.exe
C:\Program Files\F-Secure\Anti-Virus\fsav32.exe
C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Program Files\MSN Messenger\usnsvc.exe
C:\WINDOWS\explorer.exe
C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe
C:\Program Files\Orange\systray\systrayapp.exe
C:\WINDOWS\system32\WISPTIS.EXE
C:\WINDOWS\System32\svchost.exe
E:\OFFICE11\WINWORD.EXE
C:\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe
»»»»»»»»»»»»»»»»»»»»»»»» hosts
»»»»»»»»»»»»»»»»»»»»»»»» C:\
.....
" WINWORD.EXE " ---> https://www.bleepingcomputer.com/startups/WINWORD.EXE-21308.html
non ?....
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
3 juil. 2008 à 14:21
3 juil. 2008 à 14:21
..... Non , j'ai rien dis .... N'importe quoi ..... je sort ...... :p
sKe69
Messages postés
21360
Date d'inscription
samedi 15 mars 2008
Statut
Contributeur sécurité
Dernière intervention
30 décembre 2012
464
3 juil. 2008 à 14:25
3 juil. 2008 à 14:25
Clairement, il faut fermer le driver pour s'en sortir.
---> OK , vu ^^ ... c'est la première chose que je ferai si il revient ....
Merci à tous pour le coup de main !
Affaire à suivre donc ...
---> OK , vu ^^ ... c'est la première chose que je ferai si il revient ....
Merci à tous pour le coup de main !
Affaire à suivre donc ...
26 juin 2008 à 17:04
;-)