Auteur | Message |
---|
Invité Invité
| Sujet: Re: [Résolu] Vérole en provenance d'une clé usb .... Trop fort Lun 21 Déc 2009 - 11:54 | |
| Salut.
ZHP ne montre pas le fichier en question. Supprimé ou caché ?
On va déjà fixer une ligne néfaste comme ceci :
• Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag) • Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») • Copie/colle les lignes suivantes et place les dans ZHPFix :
----------------------------------------------------------
O64 - Services: CurCS - SSHNAS (SSHNAS) - LEGACY_SSHNAS
----------------------------------------------------------
• Clique sur « Tous », puis sur « Nettoyer » • Copie/colle la totalité du rapport dans ta prochaine réponse
=================================
Puis, on va demander à SEAF de vérifier pour nous le fichier caché. Peut-être en saurons-nous un peu plus: :
Télécharge SEAF.exe de C_XX :
http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
Double clique sur SEAF.exe .
Une fenêtre "cmd" va s'ouvrir .
Tape [moreinfo],gdjif dans cette fenêtre et tape ensuite sur Entrée.
Patiente pendant la recherche.
Une fenêtre avec un log .txt va s'afficher.
Copie/colle ce rapport.
Un tuto si besoin : http://forum.pcastuces.com/sf___recherche_fichier_et_registre-f31s48.htm
++ |
|
| |
Moloch Moderateurs (trices)
Nombre de messages : 1282 Age : 42 Localisation : 4ème dimension Date d'inscription : 27/01/2008
| Sujet: Re: [Résolu] Vérole en provenance d'une clé usb .... Trop fort Lun 21 Déc 2009 - 12:59 | |
| ZHPFix v1.12.23 by Nicolas Coolman - Rapport de suppression du 21/12/2009 12:59:13 Fichier d'export Registre : C:\ZHPExportRegistry-21-12-2009-12-59-13.txt Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Processus mémoire : (Néant)
Module mémoire : (Néant)
Clé du Registre : O64 - Services: CurCS - SSHNAS (SSHNAS) - LEGACY_SSHNAS => Clé supprimée avec succès
Valeur du Registre : (Néant)
Elément de données du Registre : (Néant)
Dossier : (Néant)
Fichier : (Néant)
Logiciel : (Néant)
Script Registre : (Néant)
Autre : (Néant)
Récapitulatif : Processus mémoire : 0 Module mémoire : 0 Clé du Registre : 1 Valeur du Registre : 0 Elément de données du Registre : 0 Dossier : 0 Fichier : 0 Logiciel : 0 Autre : 0
End of the scan | |
|
| |
Moloch Moderateurs (trices)
Nombre de messages : 1282 Age : 42 Localisation : 4ème dimension Date d'inscription : 27/01/2008
| Sujet: Re: [Résolu] Vérole en provenance d'une clé usb .... Trop fort Lun 21 Déc 2009 - 13:03 | |
| Decidemment, il se cache bien ....
1. ========================= SEAF 1.0.0.6 - C_XX | 13:00:45,95 2. 3. Valeur(s) recherchée(s): 4. 5. gdjif 6. 7. (!) --- Informations supplémentaires 8. 9. ========================= Fichier(s)/Dossier(s): 10. 11. Aucun fichier/Dossier trouvé. 12. 13. ========================= Registre: 14. 15. 16. 17. [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603] 18. "000"="gdjif.exe" 19. 20. [HKEY_CURRENT_USER\Software\Microsoft\Search Assistant\ACMru\5603] 21. "001"="gdjif" 22. 23. [HKEY_USERS\S-1-5-21-1801674531-515967899-839522115-1004\Software\Microsoft\Search Assistant\ACMru\5603] 24. "000"="gdjif.exe" 25. 26. [HKEY_USERS\S-1-5-21-1801674531-515967899-839522115-1004\Software\Microsoft\Search Assistant\ACMru\5603] 27. "001"="gdjif" 28. 29. 30. ========================= E.O.F | 13:02:56,56 | |
|
| |
Invité Invité
| Sujet: Re: [Résolu] Vérole en provenance d'une clé usb .... Trop fort Mer 23 Déc 2009 - 10:16 | |
| Salut Moloch.
Bon, cela montre que le fichier a été soit supprimé par ton AV, soit par MBAM, je ne sais pas. En tout cas, il ne semble plus présent.
Peux-tu me poster un rapport HijackThis ?
Encore des soucis visibles avec le pc ?
++ |
|
| |
Moloch Moderateurs (trices)
Nombre de messages : 1282 Age : 42 Localisation : 4ème dimension Date d'inscription : 27/01/2008
| Sujet: Re: [Résolu] Vérole en provenance d'une clé usb .... Trop fort Mer 23 Déc 2009 - 12:20 | |
| Ben écoute nan ca a l'air d'aller, je te poste le HiJack This plus tard | |
|
| |
Moloch Moderateurs (trices)
Nombre de messages : 1282 Age : 42 Localisation : 4ème dimension Date d'inscription : 27/01/2008
| Sujet: Re: [Résolu] Vérole en provenance d'une clé usb .... Trop fort Mer 23 Déc 2009 - 17:27 | |
| Et voilà le HJT ...
Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:26:54, on 23/12/2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal
Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe c:\Program Files\Microsoft Security Essentials\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Program Files\Microsoft Security Essentials\msseces.exe C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe C:\Program Files\Razer\Lycosa\razerhid.exe C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program Files\Razer\DeathAdder\razerhid.exe C:\Program Files\PC Tools Firewall Plus\FWService.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\svchost.exe C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\AlertModule\0\AlertModule.exe C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe C:\Program Files\OrangeHSS\systray\systrayapp.exe C:\Program Files\Razer\Lycosa\razertra.exe C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe C:\Program Files\Razer\DeathAdder\razerofa.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Razer\DeathAdder\razertra.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\Program Files\Java\jre6\bin\javaw.exe C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr.msn.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Windows Internet Explorer R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens R3 - URLSearchHook: Search Class - {08C06D61-F1F3-4799-86F8-BE1A89362C85} - C:\Program Files\OrangeHSS\SearchURLHook\SearchPageURL.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program Files\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program Files\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ORAHSSSessionManager] C:\Program Files\OrangeHSS\SessionManager\SessionManager.exe O4 - HKLM\..\Run: [MSSE] "c:\Program Files\Microsoft Security Essentials\msseces.exe" -hide O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Program Files\Fichiers communs\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Program Files\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" O4 - HKLM\..\Run: [00PCTFW] "C:\Program Files\PC Tools Firewall Plus\FirewallGUI.exe" -s O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [Lycosa] "C:\Program Files\Razer\Lycosa\razerhid.exe" O4 - HKLM\..\Run: [DeathAdder] C:\Program Files\Razer\DeathAdder\razerhid.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NCsoft Launcher] C:\Program Files\NCSoft\Launcher\NCLauncher.exe /Minimized O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{B69B26BB-12B8-4964-A3C6-649E0AEBFF77}: NameServer = 192.168.1.1 O23 - Service: France Telecom Routing Table Service (FTRTSVC) - France Telecom SA - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Program Files\PC Tools Firewall Plus\FWService.exe O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
-- End of file - 5879 bytes | |
|
| |
Invité Invité
| Sujet: Re: [Résolu] Vérole en provenance d'une clé usb .... Trop fort Mer 23 Déc 2009 - 21:12 | |
| Ok, ben ça m'a l'air tout bon. Tu pourras passer Toolscleaner pour supprimer les outils : Nettoyage des outils:Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau: Toolscleaner Clique sur Recherche et laisse le scan se terminer. Clique sur Suppression pour finaliser. Clique sur Quitter, pour que le rapport puisse se créer. Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\). ========================= Supprime ce qui reste, je pense que Toolscleaner ne prend pas en charge SEAF ! ++ |
|
| |
Moloch Moderateurs (trices)
Nombre de messages : 1282 Age : 42 Localisation : 4ème dimension Date d'inscription : 27/01/2008
| Sujet: Re: [Résolu] Vérole en provenance d'une clé usb .... Trop fort Jeu 24 Déc 2009 - 0:24 | |
| Voilà le rapport...
[ Rapport ToolsCleaner version 2.3.11 (par A.Rothstein & dj QUIOU) ]
--> Recherche:
C:\UsbFix.txt: trouvé ! C:\_OTM: trouvé ! C:\UsbFix: trouvé ! C:\Rsit: trouvé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: trouvé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: trouvé ! C:\Documents and Settings\moloch\Bureau\HijackThis.lnk: trouvé ! C:\Documents and Settings\moloch\Bureau\OTM.exe: trouvé ! C:\Documents and Settings\moloch\Bureau\UsbFix.exe: trouvé ! C:\Documents and Settings\moloch\Bureau\Rsit.exe: trouvé ! C:\Program Files\ZHPDiag: trouvé ! C:\Program Files\trend micro\HijackThis.exe: trouvé ! C:\Program Files\trend micro\hijackthis.log: trouvé ! C:\Program Files\trend micro\HijackThis: trouvé ! C:\Program Files\trend micro\HijackThis\HijackThis.exe: trouvé ! C:\Program Files\trend micro\HijackThis\hijackthis.log: trouvé ! C:\Program Files\ZHPDiag\ZHPdiag.exe: trouvé !
--------------------------------- --> Suppression:
C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis\HijackThis.lnk: supprimé ! C:\Documents and Settings\moloch\Bureau\HijackThis.lnk: supprimé ! C:\Documents and Settings\moloch\Bureau\OTM.exe: supprimé ! C:\Program Files\trend micro\HijackThis.exe: supprimé ! C:\Program Files\trend micro\HijackThis\HijackThis.exe: supprimé ! C:\Program Files\ZHPDiag\ZHPdiag.exe: supprimé ! C:\UsbFix.txt: supprimé ! C:\Documents and Settings\moloch\Bureau\UsbFix.exe: supprimé ! C:\Documents and Settings\moloch\Bureau\Rsit.exe: supprimé ! C:\Program Files\trend micro\hijackthis.log: supprimé ! C:\Program Files\trend micro\HijackThis\hijackthis.log: supprimé ! C:\_OTM: supprimé ! C:\UsbFix: supprimé ! C:\Rsit: supprimé ! C:\Documents and Settings\All Users\Menu Démarrer\Programmes\HijackThis: supprimé ! C:\Program Files\ZHPDiag: supprimé ! C:\Program Files\trend micro\HijackThis: supprimé !
Fichiers temporaires nettoyés ! Corbeille vidée! | |
|
| |
Invité Invité
| Sujet: Re: [Résolu] Vérole en provenance d'une clé usb .... Trop fort Jeu 24 Déc 2009 - 9:52 | |
| Parfait;
N'oublie pas de purger ta restauration. C'est très important, si jamais tu dois revenir en arrière dans quelques temps.
Supprimer les anciens points de restauration:
Clique droit sur "Poste de travail". Clique sur "Propriétés". Clique sur l'onglet "Restauration du système". Coche la case "Désactiver la restauration...", puis "Appliquer" et valide par "OK". Redémarre le pc.
Clique droit sur "Poste de travail". Clique sur "Propriétés". Clique sur l'onglet "Restauration du système". Redécoche la case "Désactiver la restauration...", puis "Appliquer" et valide par "OK".
Les points sont supprimés.
Création d'un nouveau point:
Clique sur "démarrer", "tous les programmes", "Accessoires" puis "Outils système". Clique sur "Restauration du système". Dans la nouvelle fenêtre, coche la case "Créer un point de restauration". Clique sur "Suivant". Entre un nom pour le point de restauration : ce nom doit être assez évocateur (comme: "Après désinfection Bibou") Clique sur "Créer" et le point de restauration se créé automatiquement.
=============
Pour une navigation plus sûre et plus rapide:
Addon à ajouter à firefox pour le sécuriser:
Ici : WOT : https://addons.mozilla.org/en-US/firefox/addon/3456 Explications/Demo ici : http://www.mywot.com/fr/demo
+ ceux-ci: http://www.malekal.com/securiser_Firefox.php
=============
Utile, à lire absolument, quelques minutes de prévention, notamment sur les cracks : http://www.malekal.com/fichiers/projetantimalwares/prevention-protection.pdf
=============
Si tu n'as plus de question et/ou problème, pour moi, c'est ok! (Si tu as encore des questions, n'hésite pas ! )
++ |
|
| |
Moloch Moderateurs (trices)
Nombre de messages : 1282 Age : 42 Localisation : 4ème dimension Date d'inscription : 27/01/2008
| Sujet: Re: [Résolu] Vérole en provenance d'une clé usb .... Trop fort Jeu 24 Déc 2009 - 15:03 | |
| C'est bon pour moi aussi alors, merci beaucoup rico, bon réveillon, joyeux noel !!!!!! | |
|
| |
Invité Invité
| Sujet: Re: [Résolu] Vérole en provenance d'une clé usb .... Trop fort Jeu 24 Déc 2009 - 19:51 | |
| Re.
Passe un très bon réveillon.
Joyeux Noël à toi.
++ |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Vérole en provenance d'une clé usb .... Trop fort Ven 1 Jan 2010 - 19:22 | |
| Joyeux Noël à tous les deux | |
|
| |
GrosBébé Moderateurs (trices)
Nombre de messages : 6878 Age : 43 Localisation : devant le pc Date d'inscription : 18/12/2007
| Sujet: Re: [Résolu] Vérole en provenance d'une clé usb .... Trop fort Ven 1 Jan 2010 - 19:23 | |
| Le sujet semble résolu, je le verrouille. Si pour une raison ou une autre, vous avez besoin de le réouvrir, faites en la demande par MP en précisant la raison et le lien vers ce sujet. Ceci ne s'applique qu'à Moloch. Pour les autres, créez votre propre sujet svp. | |
|
| |
Contenu sponsorisé
| Sujet: Re: [Résolu] Vérole en provenance d'une clé usb .... Trop fort | |
| |
|
| |
| [Résolu] Vérole en provenance d'une clé usb .... Trop fort | |
|