A tous les dépanneurs en herbe !

Question

Bonjour à tous !

A toutes les personnes qui se lancent depuis quelques temps dans la désinfections, soyez la bienvenue sur CCM ! :-)

Une question, un renseignement, un doute, alors ce poste est pour vous ! tous les bénévoles de la sécurité se feront une joie de venir vous épauler !

N'hésitez pas !

Juste un conseil, éviter de prendre trop de postes à la fois ! On ne pourra pas tout suivreet ce n'est pas du tout pédagogique !

bon courage !

@+

!^^![ME] · Accepted Answer

encourager les débutants à "faire de la désinfection" en live sur les pc des visiteurs de ccm
c'est un peu comme les encourager à achever des ordis déjà mal en point.
les gens viennent en espérant se faire nettoyer par des spécialistes,des helpers,ils font confiance
et sont prêt à s'en remettre à n'importe qui du moment que l'ordi refonctionne normalement.
si vous voulez former des helpers faite leur installer des vm et qu'ils fassent leur "tests" dessus
pas sur les bécanes des visiteurs.

Perso, je pense que si ils veulent se faire aider pas des "vrais pros" et ne pas prendre de riisque ils n'ont qu'a aller dans une boite d'info, c'est aussi simple que ca.

fiat500 · Answer

re

+1

green day · Answer

Up

Nilou17 · Answer

Coucou Greenette ! :-))

J'ai un petit souci avec ce message.

Une infection apparaît dans le log HijackThis de Titix199, mais je ne me souviens plus quel outil utiliser...

O4 - HKCU\..\Run: [qcoregj] c:\documents and settings	itix199\local settings\application data\qcoregj.exe qcoregj 
O4 - HKCU\..\Run: [gwggieq] c:\documents and settings	itix199\local settings\application data\gwggieq.exe gwggieq


Merci d'avance ! Bonne soirée à toi ! <:-))

green day · Answer

Saluto ! ;-))

 j'arrive !

@toute

12.eleven · Answer

Navilog et MBAM à première vue ;-)

green day · Answer

Up !

DllD · Answer

Bonsoir,

Il y a des problèmes sur ce topic : http://www.commentcamarche.net/forum/affich 7136132 help prbleme wlm

Je ne vois pas le problème.

Pouvez-vous faire quelque chose ?

Merci.

E..T · Answer

Bonjour tout le monde,
Je viens de faire un tour sur mes messages et oups il y en a un que j'avais zapper
http://www.commentcamarche.net/forum/affich 7173576 infecte par je sais pas quoi
Donc si un membre qui qui maitrise peut passer sur ce post ça serait cool .
Merci par avance.
@+

Katsuki · Answer

encourager les débutants à "faire de la désinfection" en live sur les pc des visiteurs de ccm
c'est un peu comme les encourager à achever des ordis déjà mal en point.
les gens viennent en espérant se faire nettoyer par des spécialistes,des helpers,ils font confiance
et sont prêt à s'en remettre à n'importe qui du moment que l'ordi refonctionne normalement.
si vous voulez former des helpers faite leur installer des vm et qu'ils fassent leur "tests" dessus
pas sur les bécanes des visiteurs.

DllD · Answer

Bonjour à Tous,

Juste un truc :

Quand on doute ou que l'on sait pas, alors on s'abstient de répondre.

C'est ma 'philosophie'.

PS : le forum V/S est quasi le seul où on peut véritable nuire à l'internaute : fixer des lignes légitimes dans HiJackT....ect... Sur les autres forums, une mauvaise réponse => dans les fraises mais sans danger, pas de machine abîmée.

C'est peut être pour cela que certains n'acceptent pas les interventions foireuses. Et ces gens là ne sont peut être pas plus des grogneurs que d'autres.


Observer, écouter pour apprendre et comprendre afin de pouvoir restituer......


Bonne journée.

:-)

!^^![ME] · Answer

Belle philosophie...Tout a fait d'accord.

Bonne fin de journée.

E..T · Answer

Salut tout le monde
juste un ptit Up !

@++

fahd_zboot · Answer

bonjour tous,,

Je vois que green day, nous a fait une très bonne astuce sur HJT: http://www.commentcamarche.net/faq/sujet 12196 autoformation a l analyse d un rapport hijackthis
Merci à elle,
Mais je vois qu'elle n'a pas précisé pourquoi il faut renommer son exécutable pendant son installation. Quelqu'un le sait?
Merci d'avance.

12.eleven · Answer

Vundo par exemple.

raphy00 · Answer

Bonsoir,

Je n'arrive pas a determiner si ces lignes sont infectees :

O17 - HKLM\System\CCS\Services\Tcpip\..\{303DCC32-1B4F-4F0B-BB35-6AB6564218DB}: NameServer = 138.96.0.10,138.96.0.11 
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = inria.fr 
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = inria.fr 

Je laisse le lien :

http://www.commentcamarche.net/forum/affich 7309582 pub webmediaplayer analyse rapport navilog1

Je remercie d'avance ceux dont l'ame charitable me transmettra la solution !

E..T · Answer

Bonsoir,
Attention je dis peut être une connerie c'est peut être en rapport avec ça :

O4 - Global Startup: VPN Client.lnk = ?
http://www.utc.fr/~5000/vpn/

A voir l'avis d'un expert maintenant

@+

raphy00 · Answer

Merci de ta reponse !

Eh bien peut etre.. Moi en tout cas je ne ferais pas confiance a ce truc la..
Mais peut etre que lui a voulu.. On sait jamais..

Bref, on attend l'avis d'un expert.

green day · Answer

Bonsoir

Raphy : c'est lignes 017 correspondent au réseau internet et à la connexion de la personne, légitimes toutes !

ET : cette ligne ne fera aucun mal, le point d'interrogation au bout signifiant que l'entrée n'est plus valide, ou clé de registre obsolète, donc tu peux la fixer sans problème

@+

E..T · Answer

Bonsoir
Bah voila merci green day !
Une question en passant

Tu dis que
le point d'interrogation au bout signifiant que l'entrée n'est plus valide, ou clé de registre obsolète,
Comment tu le sais ? 

Merci bien
@++

raphy00 · Answer

Ok sur ce point.

Raphy : c'est lignes 017 correspondent au réseau internet et à la connexion de la personne, légitimes toutes 

Mais bon sang, COMMENT ON FAIT POUR LE SAVOIR !!!!?
Pfiouuu..

Moi, apres recherche sur Arin, Je vois des trucs d'Amsterdam et des Ripe Connection center et blablalabla..

C'est infecté ??
C'est normal ??
Impossible de le savoir!..

Ce probleme commence serieusement a me casser les dents, Je vous remercie infiniment pour vos reponses !!!

green day · Answer

Lol ! je l'ai pourtant indiqué ici ! :))

Bon, il y a des parties que je vais reprendre, mais pas dans l'immédiat, j'attends d'avoir des remontées de votre part déjà ! :)

Lignes 017 : Modification des serveurs DNS pour permettre des redirections vers des sites malveillants.

Analyse : il faut vérifier et supprimer les Urls non souhaitées à l'aide de castelcops et du site DNSstuffs ; vous pourrez déterminer avec l'internaute si l'adresse ip lui appartient bien !


ET : c'est la façon de hijack de dire qu'il ne sait pas à quoi correspond la clé, comme le ferai ccleaner par exemple

Verni, je regarde

@+

raphy00 · Answer

Resalut,

Je ne sais pas si qqn a une idee ici :

http://www.commentcamarche.net/forum/affich 7289908 le mode sans echec ne fonctionne pas


http://www.commentcamarche.net/forum/affich 7304767 besoin d aide pour analyse highjackthis


Personellement, ceci est un mystere pour moi.
Je remercie les helpeurs qui voudront bien me preter main forte..

Merci d'avance !

gouby · Answer

Bonjour

apparement, c'est ici que l'on post quand on est un noob en désinfection

Voilà, j'ai un problème compréhension sur le rapport hjt , du vrai chinois

si quelqu'un veut bien m'aider ou voir pleins de personnes 8-), ce serait cool

le lien :
http://www.commentcamarche.net/forum/affich 7295844 probleme counter strike du a trojan et worms

Merchi

green day · Answer

re

"noob" n'est pas une tare, c'est juste un passage obligé, une période de transite ! :)

il n'a pas posté tous les rapports demandés !

s'il peut poster le rapport de l'antivirus ce serait pas mal aussi

 @+

green day · Answer

Le rapport est propre :

Starting master boot sector scan:
Master boot sector HD0
[INFO] No virus was found!
Master boot sector HD1
<gras>[INFO] No virus was found!
[WARNING] Le périphérique n'est pas prêt.
[INFO] Please restart the search with Administrator rights
Master boot sector HD2
[INFO] No virus was found!
[WARNING] Le périphérique n'est pas prêt.
[INFO] Please restart the search with Administrator rights
Master boot sector HD3
[INFO] No virus was found!
[WARNING] Le périphérique n'est pas prêt.
[INFO] Please restart the search with Administrator rights
Master boot sector HD4
[INFO] No virus was found!
[WARNING] Le périphérique n'est pas prêt.
[INFO] Please restart the search with Administrator rights

Start scanning boot sectors:
Boot sector 'C:\'
[INFO] No virus was found!
Boot sector 'D:\'
[INFO] No virus was found!
 
18186 Scanning directories
240057 Files were scanned
0 viruses and/or unwanted programs were found
0 Files were classified as suspicious:
0 files were deleted
0 files were repaired
0 files were moved to quarantine
0 files were renamed
1 Files cannot be scanned
240057 Files not concerned
1854 Archives were scanned
5 Warnings
0 Notes

un petit dernier rapport pour la route :

télécharge ceci :http://www.commentcamarche.net/telecharger/telecharger 34055379 malwarebyte s anti malware 
* Installez le programme sur le bureau : 
o S'il manque le fichier COMCTL32.OCX, vous pourrez le télécharger ici 
* Faites les mises à jour (clic sur Mises à jour puis Recherche de mises à jour) 
* Démarrez en mode sans échec 
* Lancez le MalwareByte's Anti-Malware, cliquez sur Exécuter un examen complet puis Rechercher et sélectionnez tous tes disques durs 
* Une fois le scan terminé, cliquez sur supprimer (si un message demande à redémarrer le PC, acceptez !) 
* Un rapport sera généré, enregistrez le de manière à le retrouver 

==> poste le stp ! 

@+

gouby · Answer

ok, c'est bien ce qu'il me semblait, je voyais 0 virus

donc il a rien ?

ok je post MBAM

green day · Answer

Selon le scan antivirus, oui, il n'y a rien, mais c'est pas parce qu'il ne voit rien qu'il n'y a rien ! ;-))

d'où la nécessité de multiplier les scans !

++

gouby · Answer

j'ai encore une question, sur son rapport hjt, il n'y a rien de suspect ?

gouby · Answer

Bingo, il a trouvé deux fixhiers infectés

Fichier(s) infecté(s): 
C:\Usersomain\Downloads\eMule\Incoming\Win RAR 3.2 + Crack\CORE10k.EXE (Trojan.Agent) -> Quarantined and deleted successfully. 
C:\Windows\System32
vs2.inf (Adware.EGDAccess) -> Quarantined and deleted successfully.

mais les a-t-il vraiment supprimé ?

green day · Answer

:(

 il télécharge des cracks, pas étonnant qu'il a chopé des bestioles ...

un petit coup de navilog pour voir s'il reste des trace de Adware.EGDAccess

@+

anthony5151 · Answer

Bonjour à tous,

Très bonne idée ce sujet ;)


# J'aurai besoin d'aide ici : http://www.commentcamarche.net/forum/affich 7401166 spywarsecure me dit ke mon pc est infecte#dernier

Des alertes Spyware secure s'affichent, je pensais suggérer une utilisation de navilog... Mais je viens de m'apercevoir que la personne qui demande de l'aide est sous Windows 98, et je ne crois pas que Navilog fonctionne avec ce système d'exploitation ?



# Ensuite petite question pour ce sujet : http://www.commentcamarche.net/forum/affich 7298931 internet explorer enorme bug#dernier

Quand navilog trouve plein de fichiers suspects et ne les supprime pas avec l'option 2, comment les faire supprimer ?  D'habitude, je propose d'utiliser la suppression manuelle en tapant le nom du fichier (option 4), mais la liste est est longue, y a-t-il un moyen plus rapide ?


Merci d'avance.

fahd_zboot · Answer

Re, 

Quelqu'un pourrait me donner des indications sur ces deux lignes :

O4 - HKCU\..\Policies\Explorer\Run: [NT Printing Services3] chkdskss.exe

O20 - AppInit_DLLs: oeunya.dll

Merci :)

raphy00 · Answer

Salut,


Cette sorte de 04 se trouve ici :

https://www.bleepingcomputer.com/tutorials/comment-utiliser-hijackthis/#O4Diag

Et le processus semblerait mauvais.

Pour la 020, oeunya.dll ne correspond a rien sur google, donc elle est aléatoire, donc elle est mauvaise.
https://www.google.fr/search?hl=fr&q=oeunya.dll&btnG=Rechercher&meta=&gws_rd=ssl

fahd_zboot · Answer

Re,

Encore une petite aide :-)

Je bloque un peu sur ces lignes :



O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user') 

Est ce que je dois passer UsbFix ?

Merci :)

fahd_zboot · Answer

Re,

Encore une petite aide :-)

Je bloque un peu sur ces lignes :



O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user') 

Un coup de pousse ?

Merci :)

cbauf · Answer

Salutations et respect,

Voila, j'ai répondu sur un topic

http://www.commentcamarche.net/forum/affich 10009496 virus plus d icone sur le bureau

le membres poste un Log HJT
(moi j'y connait rien) mais ;

pour voir je le passe par un bots

http://hijackthis.de/index.php?langselect=french

et je me dis :

1° tune helper pas terrible

****************************************
je lui donnerais comme conseil de 

1° déposer le log MBAM
et
de renommer le dossier hitjackthis..........doit-il le faire a l'enregistrement ?
(voir même l'exécutable en P.Ex ccm.exe ?)
et de le renvoyer
-----------------------------------------
Le bots
"Souvenez-vous que Hijackthis doit être exécuté dans son propre dossier. C'est seulement s'il est exécuté dans un dossier réservé, qu'il créera des sauvegardes! Tool, mit dem sie dieses Logfile erzeugt haben. Das Programm sollte so angelegt sein ! C:\Programme\HijackThis\HijackThis.exe
-----------------------------------------


?????????????????????????????????????????????????
Il me semble pourtant avoir lu dans un topic
que dans certains cas il fallait renommer le dossier ??

Les-quels [ cas ]

*****************************************
"Ces 2 lignes peuvent cochées car inutiles"

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunesHelper.exe"

******************************************
ais-je tort ? ;)

Merci d'éclairer un débutant plein de venin !

et je m'explique sans doute trés mal

jorginho67 · Answer

Salut !

Attention !
Il est particulièrement déconseillé d'utiliser le robot de lecture HijackThis de, si on ne sait pas analyser les résultats. 
De plus celui ci n'est plus mis à jour depuis quelques temps déjà et n'est donc plus fiable...
Ne jamais se fier aveuglément aux résultats donnés par ce type de robot.

?????????????????????????????????????????????????
Il me semble pourtant avoir lu dans un topic
que dans certains cas il fallait renommer le dossier ??

Les-quels [ cas ] 

Pour déceler la présence de Vundo ( si tu ne vois ni de lignes 02 ni de 020 sur le log HJT )

Mais, c'est une longue histoire...

Le bots
"Souvenez-vous que Hijackthis doit être exécuté dans son propre dossier. C'est seulement s'il est exécuté dans un dossier réservé, qu'il créera des sauvegardes!

Tant qu'il n'est pas dans un dossier ( ou sous dossier ) TEMP , c'est bon.

Juste, que si c'est le cas, certains outils suppriment les fichiers Temporaires, et dans ce cas, plus de back up.


"Ces 2 lignes peuvent cochées car inutiles"

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Légitime => http://www.castlecops.com/tk32132-HTC_DLL_htc_8_1_0178_00_dll_htc_8_1_0168_00_dll_htc_8_1_01_00_dll.html

Une vielle clé, pouvant être nettoyée avec CCleaner...

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunesHelper.exe"

Ici, on la donne comme légitime...
https://www.bleepingcomputer.com/startups/iTunesHelper.exe-2349.html

Fixer une ligne ne veux pas dire supprimer, mais désactiver un exe...

En cas d'exe infectieux, il faut le supprimer avec l'outil adéquat, manuellement, ou, uniquement en cas ultime,  a coup de massue ;-))

raphy00 · Answer

Salut,

Comme beaucoup, j'ai commence par ca :

https://www.bleepingcomputer.com/tutorials/comment-utiliser-hijackthis/

Bonne lecture !

@+

raphy00 · Answer

En tout cas, elle est tres bien.

Et puis, la desinfection ne s'apprend pas en un jour hein !.. ;)

fahd_zboot · Answer

Bonjour,

Je remonte.

J'ai des doutes sur quelques lignes :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.atcomet.com/b/
F2 - REG:system.ini: UserInit=userinit.exe
O15 - Trusted Zone: http://rw.search.ke.voila.fr

C'est sur cette discussion : http://www.commentcamarche.net/forum/affich 12414649

J'aimerai bien avoir quelques explications la dessus.

Merci.

green day · Answer

Salut,

Les lignes R0 et 15, tu peux les fixes sans problème, où les laisser, elles correspondent respectivement aux pages de démarrage de IE et aux sites de la zone de confiance de IE, les liens sont cleans, donc c'est bon.
Pour la ligne F2, elle semble ok car le fichier associé est clean.

@+

;-)

DllD · Answer

Bonjour vous deux :-)

Concernant les lignes F... voici un petit guide assez bien fait : http://assiste.com.free.fr/...

Bonne journée.

A tous les dépanneurs en herbe !

43 réponses

Discussions similaires

Newsletters