Infections trojans (entre autres ?)
Fermé
gryzzly
Messages postés
4607
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
24 octobre 2020
-
10 juil. 2008 à 23:58
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 - 11 juil. 2008 à 13:29
Regis59 Messages postés 21123 Date d'inscription mardi 27 juin 2006 Statut Contributeur sécurité Dernière intervention 22 juin 2016 - 11 juil. 2008 à 13:29
A voir également:
- Infections trojans (entre autres ?)
- Anti trojans - Télécharger - Antivirus & Antimalwares
- Plusieurs infections... ✓ - Forum Virus / Sécurité
- Trojans download - Télécharger - Antivirus & Antimalwares
- Trojans détectés ✓ - Forum Virus / Sécurité
- Infections PC pjjoint.malekal.com - Forum Virus / Sécurité
17 réponses
SALUT
antivirus 2008 est un rogue
dans 1 premier temps faut faire ça :
Telecharge malwarebytes
-> http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
ps : les rapport sont aussi rangé dans l onglet rapport/log
ensuite il nous faudrait un rapport hijackthis se la machine :
Télécharge HijackThis ici :
-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)
-> http://pageperso.aol.fr/balltrap34/Hijenr.gif
Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)
-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
Post le rapport généré ici stp...
antivirus 2008 est un rogue
dans 1 premier temps faut faire ça :
Telecharge malwarebytes
-> http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
ps : les rapport sont aussi rangé dans l onglet rapport/log
ensuite il nous faudrait un rapport hijackthis se la machine :
Télécharge HijackThis ici :
-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)
-> http://pageperso.aol.fr/balltrap34/Hijenr.gif
Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)
-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
Post le rapport généré ici stp...
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
11 juil. 2008 à 12:46
11 juil. 2008 à 12:46
Salut,
Et si tu prenais le contrôle à distance de son PC, ne serais ce pas plus accessible?
A+
Et si tu prenais le contrôle à distance de son PC, ne serais ce pas plus accessible?
A+
Salut ,
Je pourrais avoir le rapport s'il te plait ?
On va voir ce qui tourne avant d'attaquer transmet ça à ton ami :
→ Télécharge TrendMicro™ HijackThis™
→ Enregistre HJTInstall.exe sur ton bureau.
→ Double-clique sur HJTInstall.exe pour lancer le programme
(!) Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
→ Accepte la license en cliquant sur le bouton "I Accept"
→ Ferme Hijackthis en cliquant sur la croix-rouge.
→ Télécharge sur ton bureau DSS (ex Comboscan) de Deckard:
(choisis enregistrer, puis Bureau comme emplacement)
Ferme toutes les applications en cours.
→ Double-clic sur DSS.exe pour lancer l'outil.
→ Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK.
→ A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK.
Le rapport main.txt va s'afficher, copie le dans ta prochaine réponse.
Si un rapport complémentaire a été créé ( extra.txt ), poste le aussi dans ta réponse.
Les rapports sont ici :
(!) C:\Deckard\System Scanner\main.txt
(!) C:\Deckard\System Scanner\extra.txt
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
A++
bit defender (en ligne)
Je pourrais avoir le rapport s'il te plait ?
On va voir ce qui tourne avant d'attaquer transmet ça à ton ami :
→ Télécharge TrendMicro™ HijackThis™
→ Enregistre HJTInstall.exe sur ton bureau.
→ Double-clique sur HJTInstall.exe pour lancer le programme
(!) Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
→ Accepte la license en cliquant sur le bouton "I Accept"
→ Ferme Hijackthis en cliquant sur la croix-rouge.
→ Télécharge sur ton bureau DSS (ex Comboscan) de Deckard:
(choisis enregistrer, puis Bureau comme emplacement)
Ferme toutes les applications en cours.
→ Double-clic sur DSS.exe pour lancer l'outil.
→ Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK.
→ A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK.
Le rapport main.txt va s'afficher, copie le dans ta prochaine réponse.
Si un rapport complémentaire a été créé ( extra.txt ), poste le aussi dans ta réponse.
Les rapports sont ici :
(!) C:\Deckard\System Scanner\main.txt
(!) C:\Deckard\System Scanner\extra.txt
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
A++
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
11 juil. 2008 à 00:04
11 juil. 2008 à 00:04
Salut
Ah, il s'est fait piégé ;-)
1/
Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le Smitfraudfix.exe et choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
2/
Télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre-le bien dans c : !
Lance le puis:
Clique sur "do a system scan and save logfile" (cf démo)
Faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
Bon courage
A+
Note: Si vous avez un quelconque commentaire/suggestion, n’hésitez pas.
Ah, il s'est fait piégé ;-)
1/
Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le Smitfraudfix.exe et choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
2/
Télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre-le bien dans c : !
Lance le puis:
Clique sur "do a system scan and save logfile" (cf démo)
Faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
Bon courage
A+
Note: Si vous avez un quelconque commentaire/suggestion, n’hésitez pas.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut les gars :)
gryzzly , comme tu vois , on est 3 sur ce topic.
Choisi-en 1 parmi nous 3 afin d'éviter croisements de post et autres ...
A+++
gryzzly , comme tu vois , on est 3 sur ce topic.
Choisi-en 1 parmi nous 3 afin d'éviter croisements de post et autres ...
A+++
gryzzly
Messages postés
4607
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
24 octobre 2020
1 323
11 juil. 2008 à 00:12
11 juil. 2008 à 00:12
Ok.
1) il n'y aura pas plus de rapport scan en ligne que ce que j'ai posté en 1.... il faudra faire sans.
2) vous etes trois a donner des instructions différentes. Par quoi on commence ?
3) pour le reste ... j'attends d'en savoir un peu plus (demain dans la journée / soirée ... au pire ce week end)
Merci :o)
1) il n'y aura pas plus de rapport scan en ligne que ce que j'ai posté en 1.... il faudra faire sans.
2) vous etes trois a donner des instructions différentes. Par quoi on commence ?
3) pour le reste ... j'attends d'en savoir un peu plus (demain dans la journée / soirée ... au pire ce week end)
Merci :o)
Re ,
Voir post <5> ;)
a++
Voir post <5> ;)
a++
gryzzly
Messages postés
4607
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
24 octobre 2020
1 323
11 juil. 2008 à 00:40
11 juil. 2008 à 00:40
Oui, On s'était croisé... je reprendrais demain ou ce week end, quand il aura fait le travail et fait suivre les rapports :o)
à très vite
Merci
à très vite
Merci
gryzzly
Messages postés
4607
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
24 octobre 2020
1 323
11 juil. 2008 à 11:07
11 juil. 2008 à 11:07
Bonjour,
A titre d'information, rappel des instructions que j'ai envoyé :
1)
→ Télécharge TrendMicro™ HijackThis™
→ Enregistre HJTInstall.exe sur ton bureau.
→ Double-clique sur HJTInstall.exe pour lancer l'installation du programme
(!) Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
→ Accepte la license en cliquant sur le bouton "I Accept"
→ Un fois installé, lances le programme
→ Clique sur "do a system scan and save logfile"
→ A la fin du scan, il va ouvrir un fichier qui s'appelle hijackthis.log :
tu fais fichier > enregistrer sous > et tu l'enregistres avec le nom hijackthis.log.txt dans un dossier où tu peux le retrouver pour me l'envoyer par mail (pièce jointe)
2)
→ Télécharge http://siri.urz.free.fr/Fix/SmitfraudFix.exe
→ Exécute le Smitfraudfix.exe et choisit l'option 1, il va générer un rapport dans un fichier .txt :
tu fais fichier > enregistrer sous > et tu l'enregistres avec le nom smitfraud.txt dans un dossier où tu peux le retrouver pour me l'envoyer par mail (pièce jointe).
3)
→ Télécharge http://www.malwarebytes.org/mbam/program/mbam-setup.exe
→ Tu l´installes ; le programme va se mettre automatiquement a jour.
→ Une fois a jour, le programme va se lancer
→ cliques sur l´onglet paramètres, et coche la case : "Arrêter internet explorer pendant la suppression".
→ Cliques sur l´onglet recherche et coche la case : "Exécuter un examen complet". Puis cliques sur "rechercher".
Laisse le scanner le pc...
→ Si des éléments on été trouvés > cliques sur supprimer la sélection.
→ si il t´es demandé de redemarrer > click sur "yes".
→ A la fin un rapport va s´ouvrir
tu fais fichier > enregistrer sous > et tu l'enregistres avec le nom malwarebytes.txt dans un dossier où tu peux le retrouver pour me l'envoyer par mail (pièce jointe).
Retour utilisateur :
1) ce matin est apparu un message de mise à jour de Zone alarm, il ne sait pas si l'execution s'est correctement passée.
http://marmottemanu.free.fr/share/ccm/desinfection/7.jpg
2) rapport hijackthis :
3)
smitfraudfix n'a pas édité de rapport puisqu'il a été reconnu comme infecté par Avira antivir. Il a été mis en quarantaine (a tord ?)
http://marmottemanu.free.fr/share/ccm/desinfection/8.jpg
http://marmottemanu.free.fr/share/ccm/desinfection/9.jpg
4)
enfin malwareNet ne s'ouvre pas (je ne sais pas si c'est parce qu'il n'arrive pas a télécharger le .exe ou s'il ne s'execute pas.
alors sur le site il a pris rogue remover qui n'a rien détecté
Voilà ce que je peux vous en dire ... Je sais simplement que si la personne en question rencontre trop de soucis à installer les logiciels, elle va arrêter (ils ne sont pas de la génération PC !), et il faudra attendre le 14 aout quand je passerais les voir pour prendre en charge la machine... mauvais plan, parce qu'en attendant, ils vont criser avec ces saletés et la machine sera toujours infectée.
A titre d'information, rappel des instructions que j'ai envoyé :
1)
→ Télécharge TrendMicro™ HijackThis™
→ Enregistre HJTInstall.exe sur ton bureau.
→ Double-clique sur HJTInstall.exe pour lancer l'installation du programme
(!) Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
→ Accepte la license en cliquant sur le bouton "I Accept"
→ Un fois installé, lances le programme
→ Clique sur "do a system scan and save logfile"
→ A la fin du scan, il va ouvrir un fichier qui s'appelle hijackthis.log :
tu fais fichier > enregistrer sous > et tu l'enregistres avec le nom hijackthis.log.txt dans un dossier où tu peux le retrouver pour me l'envoyer par mail (pièce jointe)
2)
→ Télécharge http://siri.urz.free.fr/Fix/SmitfraudFix.exe
→ Exécute le Smitfraudfix.exe et choisit l'option 1, il va générer un rapport dans un fichier .txt :
tu fais fichier > enregistrer sous > et tu l'enregistres avec le nom smitfraud.txt dans un dossier où tu peux le retrouver pour me l'envoyer par mail (pièce jointe).
3)
→ Télécharge http://www.malwarebytes.org/mbam/program/mbam-setup.exe
→ Tu l´installes ; le programme va se mettre automatiquement a jour.
→ Une fois a jour, le programme va se lancer
→ cliques sur l´onglet paramètres, et coche la case : "Arrêter internet explorer pendant la suppression".
→ Cliques sur l´onglet recherche et coche la case : "Exécuter un examen complet". Puis cliques sur "rechercher".
Laisse le scanner le pc...
→ Si des éléments on été trouvés > cliques sur supprimer la sélection.
→ si il t´es demandé de redemarrer > click sur "yes".
→ A la fin un rapport va s´ouvrir
tu fais fichier > enregistrer sous > et tu l'enregistres avec le nom malwarebytes.txt dans un dossier où tu peux le retrouver pour me l'envoyer par mail (pièce jointe).
Retour utilisateur :
1) ce matin est apparu un message de mise à jour de Zone alarm, il ne sait pas si l'execution s'est correctement passée.
http://marmottemanu.free.fr/share/ccm/desinfection/7.jpg
2) rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:12:20, on 11/07/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\arservice.exe C:\Program Files\AVG\guard.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\ARPWRMSG.EXE C:\WINDOWS\sm56hlpr.exe C:\Program Files\HP\HP Software Update\HPwuSchd2.exe C:\Program Files\AVG\avgas.exe C:\Program Files\ZoneAlarm\zlclient.exe C:\WINDOWS\eHome\ehmsas.exe C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Hercules\WiFi Station\WifiStation.exe C:\Program Files\OpenOffice.org 2.3\program\soffice.exe C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN C:\HP\KBD\KBD.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe c:\windows\system\hpsysdrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\ARPWRMSG.EXE C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\sm56hlpr.exe C:\Program Files\HP\HP Software Update\HPwuSchd2.exe C:\Program Files\AVG\avgas.exe C:\Program Files\ZoneAlarm\zlclient.exe C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Picasa2\PicasaMediaDetector.exe C:\Program Files\Hercules\WiFi Station\WifiStation.exe C:\HP\KBD\KBD.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe c:\windows\system\hpsysdrv.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www8.hp.com/fr/fr/home.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www8.hp.com/fr/fr/home.html R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG\avgas.exe" /minimized O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ISUSScheduler] "C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe" -start O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdnnp.exe] C:\WINDOWS\system32\kdnnp.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-21-2273161478-168392776-1468833918-1007\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'chantal') O4 - S-1-5-21-2273161478-168392776-1468833918-1007 Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe (User 'chantal') O4 - S-1-5-21-2273161478-168392776-1468833918-1007 Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'chantal') O4 - S-1-5-21-2273161478-168392776-1468833918-1007 Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'chantal') O4 - S-1-5-21-2273161478-168392776-1468833918-1007 User Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe (User 'chantal') O4 - S-1-5-21-2273161478-168392776-1468833918-1007 User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'chantal') O4 - S-1-5-21-2273161478-168392776-1468833918-1007 User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'chantal') O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user') O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user') O4 - Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE O4 - Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: WiFi Station.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1CEDAE29-FA41-4AE6-BD3D-D3CBBA6A701C}: NameServer = 85.255.113.75,85.255.112.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{1E1907E2-EF57-4FE5-9C5C-825289EEE9A7}: NameServer = 85.255.113.75,85.255.112.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{234FE6EF-3020-4626-9F8F-7E54F95EF177}: NameServer = 85.255.113.75,85.255.112.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{4EB93960-8573-4FEC-87EE-33C593D50BED}: NameServer = 85.255.113.75,85.255.112.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{5B0E7EEC-5107-47F0-9A24-5EFB468D21CE}: NameServer = 85.255.113.75,85.255.112.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{EBA0D845-161A-43CF-9AC4-93A8FBC064D9}: NameServer = 85.255.113.75,85.255.112.36 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 O17 - HKLM\System\CS1\Services\Tcpip\..\{1CEDAE29-FA41-4AE6-BD3D-D3CBBA6A701C}: NameServer = 85.255.113.75,85.255.112.36 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG\guard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 11398 bytes
3)
smitfraudfix n'a pas édité de rapport puisqu'il a été reconnu comme infecté par Avira antivir. Il a été mis en quarantaine (a tord ?)
http://marmottemanu.free.fr/share/ccm/desinfection/8.jpg
http://marmottemanu.free.fr/share/ccm/desinfection/9.jpg
4)
enfin malwareNet ne s'ouvre pas (je ne sais pas si c'est parce qu'il n'arrive pas a télécharger le .exe ou s'il ne s'execute pas.
alors sur le site il a pris rogue remover qui n'a rien détecté
Voilà ce que je peux vous en dire ... Je sais simplement que si la personne en question rencontre trop de soucis à installer les logiciels, elle va arrêter (ils ne sont pas de la génération PC !), et il faudra attendre le 14 aout quand je passerais les voir pour prendre en charge la machine... mauvais plan, parce qu'en attendant, ils vont criser avec ces saletés et la machine sera toujours infectée.
Salut ,
Dit lui de désactiver Antivir avant de lancer Smitfraudfix s'il te plait > Faux positif.
( il faudra sans doute re-télécharger Smitfraudfix )
A++
Dit lui de désactiver Antivir avant de lancer Smitfraudfix s'il te plait > Faux positif.
( il faudra sans doute re-télécharger Smitfraudfix )
A++
gryzzly
Messages postés
4607
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
24 octobre 2020
1 323
11 juil. 2008 à 12:14
11 juil. 2008 à 12:14
J'ai fait suivre les instructions, j'en ai donné de nouvelles pour malwarebytes afin d'essayer de récupérer aussi le rapport.
Je vous donne les résultats plus tard.
Merci.
Je vous donne les résultats plus tard.
Merci.
gryzzly
Messages postés
4607
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
24 octobre 2020
1 323
11 juil. 2008 à 12:40
11 juil. 2008 à 12:40
Le mieux serait qu'il vienne directement sur le forum...
Certes, je comprend ton point de vue ... mais la pédagogie est parfois plus facile quand tu connais la personne de longue date et que tu sais quand tu approches du point de non retour / marre / énervement / limites techniques.
Le simple fait de faire un copier/collé qui est dans nos habitudes relève d'un long travail d'explication envers les personnes d'un certain âge qui se met doucement à la technologie et de patience pour l'expliquant que je suis prêt à vous épargner pour donner directement les informations nécessaires :o)
J'ai déjà senti que le point de non retour était proche ... et j'aimerais quand même faire le nécessaire pour nettoyer cette machine au plus tôt.
Mais merci de l'implication.
Certes, je comprend ton point de vue ... mais la pédagogie est parfois plus facile quand tu connais la personne de longue date et que tu sais quand tu approches du point de non retour / marre / énervement / limites techniques.
Le simple fait de faire un copier/collé qui est dans nos habitudes relève d'un long travail d'explication envers les personnes d'un certain âge qui se met doucement à la technologie et de patience pour l'expliquant que je suis prêt à vous épargner pour donner directement les informations nécessaires :o)
J'ai déjà senti que le point de non retour était proche ... et j'aimerais quand même faire le nécessaire pour nettoyer cette machine au plus tôt.
Mais merci de l'implication.
gryzzly
Messages postés
4607
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
24 octobre 2020
1 323
11 juil. 2008 à 12:53
11 juil. 2008 à 12:53
Effectivement, je passe régulièrement par SparkAngels qui m'aide grandement avec eux.
Sauf que ca coupe toutes les 15 minutes environ (d'expérience) donc je ne peux pas garder la main indéfiniement lors des scans longs. Et il faut que je trouve le temps pour faire les manips en dehors du boulot ... et qu'ils soient à la maison en même temps que moi.
Ce soir/week end, si ça n'a pas avancé, je passerais par ce biais là.
Sauf que ca coupe toutes les 15 minutes environ (d'expérience) donc je ne peux pas garder la main indéfiniement lors des scans longs. Et il faut que je trouve le temps pour faire les manips en dehors du boulot ... et qu'ils soient à la maison en même temps que moi.
Ce soir/week end, si ça n'a pas avancé, je passerais par ce biais là.
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
11 juil. 2008 à 13:14
11 juil. 2008 à 13:14
Oui ou sinon par le contrôle via Windows et/ou WLM.
N'hésites pas si tu as besoin. :-)
Par contre, un truc tout simple que tu peux aussi lui faire faire, c'est d'analyser ce fichier sur le site VirusTotal:
C:\WINDOWS\system32\kdnnp.exe
A+
PS: Tu es un habitué du forum mais tu as besoin de détails sur les procédures ou tu maitrises?
N'hésites pas si tu as besoin. :-)
Par contre, un truc tout simple que tu peux aussi lui faire faire, c'est d'analyser ce fichier sur le site VirusTotal:
C:\WINDOWS\system32\kdnnp.exe
A+
PS: Tu es un habitué du forum mais tu as besoin de détails sur les procédures ou tu maitrises?
gryzzly
Messages postés
4607
Date d'inscription
lundi 7 novembre 2005
Statut
Contributeur
Dernière intervention
24 octobre 2020
1 323
11 juil. 2008 à 13:25
11 juil. 2008 à 13:25
Je ne sais pas prendre en main un pc via windows (enfin, je n'ai jamais pratiqué), d'autant qu'il y a la difficulté supplémentaire vista vs xp.
Par WLM (live messenger ?), je ne savais pas que c'était possible, mais ni lui (pas du tout), ni moi (pigdin) n'utilisons ce logiciel.... a voir.
En ce qui concerne Tu es un habitué du forum mais tu as besoin de détails sur les procédures ou tu maitrises? :
Je suis un habitué du forum, certes. Je sais suivre des instructions en désinfection, telles que vous me les avez données, certes. Je connais de nom tous ces logiciels, et en gros (très gros) à quoi ils servent. Mais je ne sais pas analyser les logs et donc ne sais absolument pas quoi faire avec les hijackthis & co, ni vers quoi m'orienter une fois les logs en main. C'est là que vous intervenez :o)
Autant un rapport antiviral qui demande une quarantaine/suppression/analyse, ca va, mais au delà et un nettoyage en profondeur ...
Par WLM (live messenger ?), je ne savais pas que c'était possible, mais ni lui (pas du tout), ni moi (pigdin) n'utilisons ce logiciel.... a voir.
En ce qui concerne Tu es un habitué du forum mais tu as besoin de détails sur les procédures ou tu maitrises? :
Je suis un habitué du forum, certes. Je sais suivre des instructions en désinfection, telles que vous me les avez données, certes. Je connais de nom tous ces logiciels, et en gros (très gros) à quoi ils servent. Mais je ne sais pas analyser les logs et donc ne sais absolument pas quoi faire avec les hijackthis & co, ni vers quoi m'orienter une fois les logs en main. C'est là que vous intervenez :o)
Autant un rapport antiviral qui demande une quarantaine/suppression/analyse, ca va, mais au delà et un nettoyage en profondeur ...
Regis59
Messages postés
21123
Date d'inscription
mardi 27 juin 2006
Statut
Contributeur sécurité
Dernière intervention
22 juin 2016
1 346
11 juil. 2008 à 13:29
11 juil. 2008 à 13:29
Ok merci pour les précisions ami CCMiste :-)