Infections trojans (entre autres ?)
gryzzly
Messages postés
5220
Date d'inscription
Statut
Contributeur
Dernière intervention
-
Regis59 Messages postés 21143 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Regis59 Messages postés 21143 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
Un de mes proches m'a fait parvenir ces photos d'écrans aujourd'hui d'une infection (faut pas en vouloir, pour les photos, l'informatique entre tout juste dans leurs habitudes) :
Symptomes :
http://marmottemanu.free.fr/share/ccm/desinfection/1.jpg
http://marmottemanu.free.fr/share/ccm/desinfection/2.jpg
http://marmottemanu.free.fr/share/ccm/desinfection/3.jpg
Avec écran complètement figé lors de l'apparition de ces merdes de pubs. Le seul moyen qu'il ait trouvé pour s'en sortir est : ctrl alt suppr --> reboot
Premiers résultats demandés :
http://marmottemanu.free.fr/share/ccm/desinfection/4.jpg
http://marmottemanu.free.fr/share/ccm/desinfection/5.jpg
http://marmottemanu.free.fr/share/ccm/desinfection/6.jpg
Cclaener n'a rien trouvé , Spybot a tué Zlob.DNSChanger et bit defender (en ligne) n'a pas pu résoudre le problème
Est ce que vous auriez une idée de comment nettoyer la machine en question ?
sous win xp (SP2 je suppose). J'ai installé à l'époque sur la machine antivir (dont il semble que les mises à jour ne veulent plus se faire, y compris manuellement), et comme firewall (je sais plus...)
Merci d'avance!
Un de mes proches m'a fait parvenir ces photos d'écrans aujourd'hui d'une infection (faut pas en vouloir, pour les photos, l'informatique entre tout juste dans leurs habitudes) :
Symptomes :
http://marmottemanu.free.fr/share/ccm/desinfection/1.jpg
http://marmottemanu.free.fr/share/ccm/desinfection/2.jpg
http://marmottemanu.free.fr/share/ccm/desinfection/3.jpg
Avec écran complètement figé lors de l'apparition de ces merdes de pubs. Le seul moyen qu'il ait trouvé pour s'en sortir est : ctrl alt suppr --> reboot
Premiers résultats demandés :
http://marmottemanu.free.fr/share/ccm/desinfection/4.jpg
http://marmottemanu.free.fr/share/ccm/desinfection/5.jpg
http://marmottemanu.free.fr/share/ccm/desinfection/6.jpg
Cclaener n'a rien trouvé , Spybot a tué Zlob.DNSChanger et bit defender (en ligne) n'a pas pu résoudre le problème
Est ce que vous auriez une idée de comment nettoyer la machine en question ?
sous win xp (SP2 je suppose). J'ai installé à l'époque sur la machine antivir (dont il semble que les mises à jour ne veulent plus se faire, y compris manuellement), et comme firewall (je sais plus...)
Merci d'avance!
17 réponses
SALUT
antivirus 2008 est un rogue
dans 1 premier temps faut faire ça :
Telecharge malwarebytes
-> http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
ps : les rapport sont aussi rangé dans l onglet rapport/log
ensuite il nous faudrait un rapport hijackthis se la machine :
Télécharge HijackThis ici :
-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)
-> http://pageperso.aol.fr/balltrap34/Hijenr.gif
Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)
-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
Post le rapport généré ici stp...
antivirus 2008 est un rogue
dans 1 premier temps faut faire ça :
Telecharge malwarebytes
-> http://www.malwarebytes.org/mbam/program/mbam-setup.exe
Tu l´instale; le programme va se mettre automatiquement a jour.
Une fois a jour, le programme va se lancer; click sur l´onglet parametre, et coche la case : "Arreter internet explorer pendant la suppression".
Click maintenant sur l´onglet recherche et coche la case : "executer un examen complet".
Puis click sur "rechercher".
Laisse le scanner le pc...
Si des elements on ete trouvés > click sur supprimer la selection.
si il t´es demandé de redemarrer > click sur "yes".
A la fin un rapport va s´ouvrir; sauvegarde le de maniere a le retrouver en vu de le poster sur le forum.
Copie et colle le rapport stp.
ps : les rapport sont aussi rangé dans l onglet rapport/log
ensuite il nous faudrait un rapport hijackthis se la machine :
Télécharge HijackThis ici :
-> http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe
Tutoriel d´instalation : (Merci a Balltrap34 pour cette réalisation)
-> http://pageperso.aol.fr/balltrap34/Hijenr.gif
Tutoriel d´utilisation (video) : (Merci a Balltrap34 pour cette réalisation)
-> http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm
Post le rapport généré ici stp...
Salut ,
Je pourrais avoir le rapport s'il te plait ?
On va voir ce qui tourne avant d'attaquer transmet ça à ton ami :
→ Télécharge TrendMicro™ HijackThis™
→ Enregistre HJTInstall.exe sur ton bureau.
→ Double-clique sur HJTInstall.exe pour lancer le programme
(!) Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
→ Accepte la license en cliquant sur le bouton "I Accept"
→ Ferme Hijackthis en cliquant sur la croix-rouge.
→ Télécharge sur ton bureau DSS (ex Comboscan) de Deckard:
(choisis enregistrer, puis Bureau comme emplacement)
Ferme toutes les applications en cours.
→ Double-clic sur DSS.exe pour lancer l'outil.
→ Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK.
→ A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK.
Le rapport main.txt va s'afficher, copie le dans ta prochaine réponse.
Si un rapport complémentaire a été créé ( extra.txt ), poste le aussi dans ta réponse.
Les rapports sont ici :
(!) C:\Deckard\System Scanner\main.txt
(!) C:\Deckard\System Scanner\extra.txt
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
A++
bit defender (en ligne)
Je pourrais avoir le rapport s'il te plait ?
On va voir ce qui tourne avant d'attaquer transmet ça à ton ami :
→ Télécharge TrendMicro™ HijackThis™
→ Enregistre HJTInstall.exe sur ton bureau.
→ Double-clique sur HJTInstall.exe pour lancer le programme
(!) Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
→ Accepte la license en cliquant sur le bouton "I Accept"
→ Ferme Hijackthis en cliquant sur la croix-rouge.
→ Télécharge sur ton bureau DSS (ex Comboscan) de Deckard:
(choisis enregistrer, puis Bureau comme emplacement)
Ferme toutes les applications en cours.
→ Double-clic sur DSS.exe pour lancer l'outil.
→ Une fenêtre s'ouvre, invitant à fermer toutes les applications, clique sur OK.
→ A la fin de l'analyse, une fenêtre s'ouvre, clique sur OK.
Le rapport main.txt va s'afficher, copie le dans ta prochaine réponse.
Si un rapport complémentaire a été créé ( extra.txt ), poste le aussi dans ta réponse.
Les rapports sont ici :
(!) C:\Deckard\System Scanner\main.txt
(!) C:\Deckard\System Scanner\extra.txt
(CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
A++
Salut
Ah, il s'est fait piégé ;-)
1/
Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le Smitfraudfix.exe et choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
2/
Télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre-le bien dans c : !
Lance le puis:
Clique sur "do a system scan and save logfile" (cf démo)
Faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
Bon courage
A+
Note: Si vous avez un quelconque commentaire/suggestion, n’hésitez pas.
Ah, il s'est fait piégé ;-)
1/
Télécharge ceci: (merci a S!RI pour ce programme).
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Exécute le Smitfraudfix.exe et choisit l’option 1, il va générer un rapport
Copie/colle le sur le poste stp.
2/
Télécharge HijackThis ici:
http://telechargement.zebulon.fr/138-hijackthis-1991.html
Dézippe le dans un dossier prévu à cet effet.
Par exemple C:\hijackthis < Enregistre-le bien dans c : !
Lance le puis:
Clique sur "do a system scan and save logfile" (cf démo)
Faire un copier coller du log entier sur le forum
Démo : (Merci a Balltrap34 pour cette réalisation)
http://pagesperso-orange.fr/rginformatique/section%20virus/demohijack.htm
Bon courage
A+
Note: Si vous avez un quelconque commentaire/suggestion, n’hésitez pas.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Salut les gars :)
gryzzly , comme tu vois , on est 3 sur ce topic.
Choisi-en 1 parmi nous 3 afin d'éviter croisements de post et autres ...
A+++
gryzzly , comme tu vois , on est 3 sur ce topic.
Choisi-en 1 parmi nous 3 afin d'éviter croisements de post et autres ...
A+++
Ok.
1) il n'y aura pas plus de rapport scan en ligne que ce que j'ai posté en 1.... il faudra faire sans.
2) vous etes trois a donner des instructions différentes. Par quoi on commence ?
3) pour le reste ... j'attends d'en savoir un peu plus (demain dans la journée / soirée ... au pire ce week end)
Merci :o)
1) il n'y aura pas plus de rapport scan en ligne que ce que j'ai posté en 1.... il faudra faire sans.
2) vous etes trois a donner des instructions différentes. Par quoi on commence ?
3) pour le reste ... j'attends d'en savoir un peu plus (demain dans la journée / soirée ... au pire ce week end)
Merci :o)
Bonjour,
A titre d'information, rappel des instructions que j'ai envoyé :
1)
→ Télécharge TrendMicro™ HijackThis™
→ Enregistre HJTInstall.exe sur ton bureau.
→ Double-clique sur HJTInstall.exe pour lancer l'installation du programme
(!) Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
→ Accepte la license en cliquant sur le bouton "I Accept"
→ Un fois installé, lances le programme
→ Clique sur "do a system scan and save logfile"
→ A la fin du scan, il va ouvrir un fichier qui s'appelle hijackthis.log :
tu fais fichier > enregistrer sous > et tu l'enregistres avec le nom hijackthis.log.txt dans un dossier où tu peux le retrouver pour me l'envoyer par mail (pièce jointe)
2)
→ Télécharge http://siri.urz.free.fr/Fix/SmitfraudFix.exe
→ Exécute le Smitfraudfix.exe et choisit l'option 1, il va générer un rapport dans un fichier .txt :
tu fais fichier > enregistrer sous > et tu l'enregistres avec le nom smitfraud.txt dans un dossier où tu peux le retrouver pour me l'envoyer par mail (pièce jointe).
3)
→ Télécharge http://www.malwarebytes.org/mbam/program/mbam-setup.exe
→ Tu l´installes ; le programme va se mettre automatiquement a jour.
→ Une fois a jour, le programme va se lancer
→ cliques sur l´onglet paramètres, et coche la case : "Arrêter internet explorer pendant la suppression".
→ Cliques sur l´onglet recherche et coche la case : "Exécuter un examen complet". Puis cliques sur "rechercher".
Laisse le scanner le pc...
→ Si des éléments on été trouvés > cliques sur supprimer la sélection.
→ si il t´es demandé de redemarrer > click sur "yes".
→ A la fin un rapport va s´ouvrir
tu fais fichier > enregistrer sous > et tu l'enregistres avec le nom malwarebytes.txt dans un dossier où tu peux le retrouver pour me l'envoyer par mail (pièce jointe).
Retour utilisateur :
1) ce matin est apparu un message de mise à jour de Zone alarm, il ne sait pas si l'execution s'est correctement passée.
http://marmottemanu.free.fr/share/ccm/desinfection/7.jpg
2) rapport hijackthis :
3)
smitfraudfix n'a pas édité de rapport puisqu'il a été reconnu comme infecté par Avira antivir. Il a été mis en quarantaine (a tord ?)
http://marmottemanu.free.fr/share/ccm/desinfection/8.jpg
http://marmottemanu.free.fr/share/ccm/desinfection/9.jpg
4)
enfin malwareNet ne s'ouvre pas (je ne sais pas si c'est parce qu'il n'arrive pas a télécharger le .exe ou s'il ne s'execute pas.
alors sur le site il a pris rogue remover qui n'a rien détecté
Voilà ce que je peux vous en dire ... Je sais simplement que si la personne en question rencontre trop de soucis à installer les logiciels, elle va arrêter (ils ne sont pas de la génération PC !), et il faudra attendre le 14 aout quand je passerais les voir pour prendre en charge la machine... mauvais plan, parce qu'en attendant, ils vont criser avec ces saletés et la machine sera toujours infectée.
A titre d'information, rappel des instructions que j'ai envoyé :
1)
→ Télécharge TrendMicro™ HijackThis™
→ Enregistre HJTInstall.exe sur ton bureau.
→ Double-clique sur HJTInstall.exe pour lancer l'installation du programme
(!) Par défaut, il s'installera là :
C:\Program Files\Trend Micro\HijackThis
→ Accepte la license en cliquant sur le bouton "I Accept"
→ Un fois installé, lances le programme
→ Clique sur "do a system scan and save logfile"
→ A la fin du scan, il va ouvrir un fichier qui s'appelle hijackthis.log :
tu fais fichier > enregistrer sous > et tu l'enregistres avec le nom hijackthis.log.txt dans un dossier où tu peux le retrouver pour me l'envoyer par mail (pièce jointe)
2)
→ Télécharge http://siri.urz.free.fr/Fix/SmitfraudFix.exe
→ Exécute le Smitfraudfix.exe et choisit l'option 1, il va générer un rapport dans un fichier .txt :
tu fais fichier > enregistrer sous > et tu l'enregistres avec le nom smitfraud.txt dans un dossier où tu peux le retrouver pour me l'envoyer par mail (pièce jointe).
3)
→ Télécharge http://www.malwarebytes.org/mbam/program/mbam-setup.exe
→ Tu l´installes ; le programme va se mettre automatiquement a jour.
→ Une fois a jour, le programme va se lancer
→ cliques sur l´onglet paramètres, et coche la case : "Arrêter internet explorer pendant la suppression".
→ Cliques sur l´onglet recherche et coche la case : "Exécuter un examen complet". Puis cliques sur "rechercher".
Laisse le scanner le pc...
→ Si des éléments on été trouvés > cliques sur supprimer la sélection.
→ si il t´es demandé de redemarrer > click sur "yes".
→ A la fin un rapport va s´ouvrir
tu fais fichier > enregistrer sous > et tu l'enregistres avec le nom malwarebytes.txt dans un dossier où tu peux le retrouver pour me l'envoyer par mail (pièce jointe).
Retour utilisateur :
1) ce matin est apparu un message de mise à jour de Zone alarm, il ne sait pas si l'execution s'est correctement passée.
http://marmottemanu.free.fr/share/ccm/desinfection/7.jpg
2) rapport hijackthis :
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:12:20, on 11/07/2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\arservice.exe C:\Program Files\AVG\guard.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ehome\mcrdsvc.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\ARPWRMSG.EXE C:\WINDOWS\sm56hlpr.exe C:\Program Files\HP\HP Software Update\HPwuSchd2.exe C:\Program Files\AVG\avgas.exe C:\Program Files\ZoneAlarm\zlclient.exe C:\WINDOWS\eHome\ehmsas.exe C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Program Files\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Hercules\WiFi Station\WifiStation.exe C:\Program Files\OpenOffice.org 2.3\program\soffice.exe C:\Program Files\OpenOffice.org 2.3\program\soffice.BIN C:\HP\KBD\KBD.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe c:\windows\system\hpsysdrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\ARPWRMSG.EXE C:\WINDOWS\eHome\ehmsas.exe C:\WINDOWS\sm56hlpr.exe C:\Program Files\HP\HP Software Update\HPwuSchd2.exe C:\Program Files\AVG\avgas.exe C:\Program Files\ZoneAlarm\zlclient.exe C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Picasa2\PicasaMediaDetector.exe C:\Program Files\Hercules\WiFi Station\WifiStation.exe C:\HP\KBD\KBD.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe c:\windows\system\hpsysdrv.exe C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe C:\Program Files\Java\jre1.6.0_03\bin\jucheck.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www8.hp.com/fr/fr/home.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www8.hp.com/fr/fr/home.html R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://runonce.msn.com/runonce3.aspx R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program Files\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [AlwaysReady Power Message APP] ARPWRMSG.EXE O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE O4 - HKLM\..\Run: [HPBootOp] "C:\Program Files\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPwuSchd2.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\AVG\avgas.exe" /minimized O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [ISUSScheduler] "C:\PROGRA~1\FICHIE~1\INSTAL~1\UPDATE~1\issch.exe" -start O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdnnp.exe] C:\WINDOWS\system32\kdnnp.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-21-2273161478-168392776-1468833918-1007\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background (User 'chantal') O4 - S-1-5-21-2273161478-168392776-1468833918-1007 Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe (User 'chantal') O4 - S-1-5-21-2273161478-168392776-1468833918-1007 Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'chantal') O4 - S-1-5-21-2273161478-168392776-1468833918-1007 Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'chantal') O4 - S-1-5-21-2273161478-168392776-1468833918-1007 User Startup: OpenOffice.org 2.3.lnk = C:\Program Files\OpenOffice.org 2.3\program\quickstart.exe (User 'chantal') O4 - S-1-5-21-2273161478-168392776-1468833918-1007 User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'chantal') O4 - S-1-5-21-2273161478-168392776-1468833918-1007 User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'chantal') O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user') O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user') O4 - Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE O4 - Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program Files\Fichiers communs\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: WiFi Station.lnk = ? O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe O9 - Extra button: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra 'Tools' menuitem: Aide à la connexion - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.fr/scan_fr/scan8/oscan8.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{1CEDAE29-FA41-4AE6-BD3D-D3CBBA6A701C}: NameServer = 85.255.113.75,85.255.112.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{1E1907E2-EF57-4FE5-9C5C-825289EEE9A7}: NameServer = 85.255.113.75,85.255.112.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{234FE6EF-3020-4626-9F8F-7E54F95EF177}: NameServer = 85.255.113.75,85.255.112.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{4EB93960-8573-4FEC-87EE-33C593D50BED}: NameServer = 85.255.113.75,85.255.112.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{5B0E7EEC-5107-47F0-9A24-5EFB468D21CE}: NameServer = 85.255.113.75,85.255.112.36 O17 - HKLM\System\CCS\Services\Tcpip\..\{EBA0D845-161A-43CF-9AC4-93A8FBC064D9}: NameServer = 85.255.113.75,85.255.112.36 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 O17 - HKLM\System\CS1\Services\Tcpip\..\{1CEDAE29-FA41-4AE6-BD3D-D3CBBA6A701C}: NameServer = 85.255.113.75,85.255.112.36 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 208.67.220.220,208.67.222.222 O23 - Service: Adobe LM Service - Unknown owner - C:\Program Files\Fichiers communs\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\AVG\guard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Fichiers communs\LightScribe\LSSrvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 11398 bytes
3)
smitfraudfix n'a pas édité de rapport puisqu'il a été reconnu comme infecté par Avira antivir. Il a été mis en quarantaine (a tord ?)
http://marmottemanu.free.fr/share/ccm/desinfection/8.jpg
http://marmottemanu.free.fr/share/ccm/desinfection/9.jpg
4)
enfin malwareNet ne s'ouvre pas (je ne sais pas si c'est parce qu'il n'arrive pas a télécharger le .exe ou s'il ne s'execute pas.
alors sur le site il a pris rogue remover qui n'a rien détecté
Voilà ce que je peux vous en dire ... Je sais simplement que si la personne en question rencontre trop de soucis à installer les logiciels, elle va arrêter (ils ne sont pas de la génération PC !), et il faudra attendre le 14 aout quand je passerais les voir pour prendre en charge la machine... mauvais plan, parce qu'en attendant, ils vont criser avec ces saletés et la machine sera toujours infectée.
Salut ,
Dit lui de désactiver Antivir avant de lancer Smitfraudfix s'il te plait > Faux positif.
( il faudra sans doute re-télécharger Smitfraudfix )
A++
Dit lui de désactiver Antivir avant de lancer Smitfraudfix s'il te plait > Faux positif.
( il faudra sans doute re-télécharger Smitfraudfix )
A++
J'ai fait suivre les instructions, j'en ai donné de nouvelles pour malwarebytes afin d'essayer de récupérer aussi le rapport.
Je vous donne les résultats plus tard.
Merci.
Je vous donne les résultats plus tard.
Merci.
Le mieux serait qu'il vienne directement sur le forum...
Certes, je comprend ton point de vue ... mais la pédagogie est parfois plus facile quand tu connais la personne de longue date et que tu sais quand tu approches du point de non retour / marre / énervement / limites techniques.
Le simple fait de faire un copier/collé qui est dans nos habitudes relève d'un long travail d'explication envers les personnes d'un certain âge qui se met doucement à la technologie et de patience pour l'expliquant que je suis prêt à vous épargner pour donner directement les informations nécessaires :o)
J'ai déjà senti que le point de non retour était proche ... et j'aimerais quand même faire le nécessaire pour nettoyer cette machine au plus tôt.
Mais merci de l'implication.
Certes, je comprend ton point de vue ... mais la pédagogie est parfois plus facile quand tu connais la personne de longue date et que tu sais quand tu approches du point de non retour / marre / énervement / limites techniques.
Le simple fait de faire un copier/collé qui est dans nos habitudes relève d'un long travail d'explication envers les personnes d'un certain âge qui se met doucement à la technologie et de patience pour l'expliquant que je suis prêt à vous épargner pour donner directement les informations nécessaires :o)
J'ai déjà senti que le point de non retour était proche ... et j'aimerais quand même faire le nécessaire pour nettoyer cette machine au plus tôt.
Mais merci de l'implication.
Effectivement, je passe régulièrement par SparkAngels qui m'aide grandement avec eux.
Sauf que ca coupe toutes les 15 minutes environ (d'expérience) donc je ne peux pas garder la main indéfiniement lors des scans longs. Et il faut que je trouve le temps pour faire les manips en dehors du boulot ... et qu'ils soient à la maison en même temps que moi.
Ce soir/week end, si ça n'a pas avancé, je passerais par ce biais là.
Sauf que ca coupe toutes les 15 minutes environ (d'expérience) donc je ne peux pas garder la main indéfiniement lors des scans longs. Et il faut que je trouve le temps pour faire les manips en dehors du boulot ... et qu'ils soient à la maison en même temps que moi.
Ce soir/week end, si ça n'a pas avancé, je passerais par ce biais là.
Oui ou sinon par le contrôle via Windows et/ou WLM.
N'hésites pas si tu as besoin. :-)
Par contre, un truc tout simple que tu peux aussi lui faire faire, c'est d'analyser ce fichier sur le site VirusTotal:
C:\WINDOWS\system32\kdnnp.exe
A+
PS: Tu es un habitué du forum mais tu as besoin de détails sur les procédures ou tu maitrises?
N'hésites pas si tu as besoin. :-)
Par contre, un truc tout simple que tu peux aussi lui faire faire, c'est d'analyser ce fichier sur le site VirusTotal:
C:\WINDOWS\system32\kdnnp.exe
A+
PS: Tu es un habitué du forum mais tu as besoin de détails sur les procédures ou tu maitrises?
Je ne sais pas prendre en main un pc via windows (enfin, je n'ai jamais pratiqué), d'autant qu'il y a la difficulté supplémentaire vista vs xp.
Par WLM (live messenger ?), je ne savais pas que c'était possible, mais ni lui (pas du tout), ni moi (pigdin) n'utilisons ce logiciel.... a voir.
En ce qui concerne Tu es un habitué du forum mais tu as besoin de détails sur les procédures ou tu maitrises? :
Je suis un habitué du forum, certes. Je sais suivre des instructions en désinfection, telles que vous me les avez données, certes. Je connais de nom tous ces logiciels, et en gros (très gros) à quoi ils servent. Mais je ne sais pas analyser les logs et donc ne sais absolument pas quoi faire avec les hijackthis & co, ni vers quoi m'orienter une fois les logs en main. C'est là que vous intervenez :o)
Autant un rapport antiviral qui demande une quarantaine/suppression/analyse, ca va, mais au delà et un nettoyage en profondeur ...
Par WLM (live messenger ?), je ne savais pas que c'était possible, mais ni lui (pas du tout), ni moi (pigdin) n'utilisons ce logiciel.... a voir.
En ce qui concerne Tu es un habitué du forum mais tu as besoin de détails sur les procédures ou tu maitrises? :
Je suis un habitué du forum, certes. Je sais suivre des instructions en désinfection, telles que vous me les avez données, certes. Je connais de nom tous ces logiciels, et en gros (très gros) à quoi ils servent. Mais je ne sais pas analyser les logs et donc ne sais absolument pas quoi faire avec les hijackthis & co, ni vers quoi m'orienter une fois les logs en main. C'est là que vous intervenez :o)
Autant un rapport antiviral qui demande une quarantaine/suppression/analyse, ca va, mais au delà et un nettoyage en profondeur ...
