| infection (?) par Security tool | |
|
|
|
Auteur | Message |
---|
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: infection (?) par Security tool Sam 8 Mai 2010 - 2:46 | |
| Bonjour !
J'ai installé un truc qu'il ne fallait surement pas installer, et pourtant d'habitude je fais attention, mais là j'avais l'impression que c'était une mise à jour de l'antivirus... Enfin bref, voilà donc ce "truc" est Security tool et il me fait bien ch'*r !!
Il m'alerte sans arrêt avec des fenêtre qui font peur (^^) et qui s'installent en plein milieu de mon écran, qui m'emp^chent de continuer... Je ne peux pas le désinstaller puisqu'il m'empêche d'aller dans "ajout/suppression de programmes". Je ne peux rien faire, il me stoppe tout le temps. Il ouvre une fenêtre, et mêmesi je clique sur "continue sans protection", il mestoppe dans mon action !! Parfois il arrête tout, un écran bleu apparaît et là c'est stressant... !! Il n'y a pas toujours les icones sur l'écran, le fondd'écran est noir... Bref, j'ai besoin de vous !
J'ai trouvé cette réponse à quelqu'un qui avait le même problème que moi :
Bonsoir Mél51 et bienvenue sur le forum.
Ça va être un peu long, je vais te demander d'installer des logiciels qui vont me donner des rapports, et de là, on verra ce qu'on pourra faire
Quelques remarques préliminaires : - ce n'est pas parce qu'il n'y a plus de symptômes que c'est fini - à partir de maintenant, n'essaie pas de t'en débarrasser tout seul, je pourrais perdre le fil - il y a des étapes à suivre, suis les dans l'ordre dans lesquelles je les mets svp - ne prends aucune initiative avec les logiciels que tu vas utiliser : si tu es bloqué, ou si tu as un doute, stoppe tout et reviens me voir ... mal utilisés, ces logiciels peuvent sévèrement endommager ton système. - Enfin, il y a toujours les aléas de la vie, même si tout a l'air d'aller, un ordinateur peut planter à n'importe quel moment.
Si tu es d'accord avec ceci, c'est parti.
Etape 1
Clique ici pour télécharger exehelper sur ton bureau.
Double-clique sur exeHelper.com pour le lancer.
Une fenêtre va s'ouvrir, patiente quelques instants et appuie sur une touche quand le scan sera terminé. Si la fenêtre te montre ce message "Error deleting file", relance exehelper puis copie/colle le contenu de son rapport svp. Il devrait se trouver sur le bureau sous le nom log.txt
Etape 2
Clique ici pour télécharger Win32kdiag sur ton bureau
Lance le Utilisateur de vista : clic droit sur l'icône de win32kdiag et sélectionne "lancer en tant qu'administrateur"
Une fenêtre va s'ouvrir, patiente le temps du scan.
Copie le contenu du rapport svp : tu le trouveras aussi sur ton bureau sous le nom Win32kDiag.txt
---> Mais Security tool m'empêche de faire la première étape !! | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Sam 8 Mai 2010 - 13:25 | |
| Bonjour Sandwa, Tu as bien fait de venir ici, une infection, c'est comme une maladie, les médicaments qui sont bons pour les uns ne sont pas forcément bons pour les autres. Je vais te prendre en charge, et te donner quelques instructions pour te débarasser de cette sale bète. Comme tu l'as dit toi même: "j'ai dû installer un truc qu'il ne fallait pas". A priori, c'est un rogue, mais on va vérifier: Utilise ce logiciel de diagnostic :
• Télécharge ZHPDiag (de Nicolas Coolman) • Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. • Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») • Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette • Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
Tutoriel: http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Quand j'aurai étudié le rapport, je te donnerai de nouvelles consignes, ne fais rien d'autre en attendant, et en cas de problème previens-moi tout de suite. A+ Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Sam 8 Mai 2010 - 15:07 | |
| Ah au secouurs !
Heu... D'abord merci bien monsieur de prendre en charge mon cas, c'est très gentil !
Ensuite voilà je vous explique mes déboirs du moment :
Je n'arrive pas à faire ce que vous m'avez dit de faire, donc je vous avais préparé une réponse longue et très bien expliquée de ce qui m'arrivait, mais mon ordinateur vient de planter...
Bon voilà en gros ce que je vous disais :
Je n'arrive pas à installer ZHPDiag car Security tool m'en empêche. Quand j'ai voulu l'installer, au début tout allait bien, il y a bien eu le téléchargement avec l'avancée des pourcentages... puis une fenêtre est apparue : "registrybooster[1].exe is infected with worm Lsas.Blaster.Keyloger. This worm is trying to send your credit card details using registrybooster[1].exe to connect to remote host." J'ai cliqué sur "continue unprotected" puis rien ne s'est passé, il n'a pas continué le chargement.
J'ai tenté de le réinstaller mais après avoir cliqué deux fois (dans deux fenêtres différentes) sur "exécuter", une fenêtre me demandant de choisir la langue apparait pendant une demi-seconde puis elle disparait, sans qu'aucune explication ne me soit donnée...
Et donc pendant que j'étais en train de vous raconter tout ça tout à l'heure, l'ordi a planté : écran tout bleu avec des écritures blanches, je ne sais plus trop ce que ça disait exactement : que le système a rencontré une erreur, que si c'est la première fois que je voyais cet écran bleu, il fallait que je redémarre mon ordinateur, que si ce n'était pas la première fois, il fallait que je fasse ce qui était marqué en dessous. Pour tenter de récupérer ma page j'ai cliqué sur la touche "windows" du clavier, puis sur contrôle et l'ordi s'est redémarré tout seul... (Cet écran bleu je l'avais déjà eu hier soir). Là je suis allée sur notre ordi "familial" pour rédiger ce post parce-que j'ai peur que ça recommence.
Donc je suis dans le doute et le stress : que dois-je faire ?
En attendant votre réponse, j'ai d'autres questions ; est-ce que c'est dangereux pour mes fichiers qui sont dans mon ordi ? En le rallumant tout à l'heure (avant de rédiger mon post), j'ai tenté de les copier vers un disque dur externe, mais la copie s'est arrêtée (c'était marqué "le fichier est introuvable") et là je ne peux plus accéder à mes fichiers, photos etc, rien ne veux s'ouvrir... Autre précision : mon fond d'écran est actuellement tout noir et sans icones. j'ai accès au bureau selement en ouvrant le bureau via une fenêtre...
Dans l'attente de votre réponse, merci beaucoup. | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Dim 9 Mai 2010 - 0:07 | |
| Bonsoir Sandwa - Citation :
- D'abord merci bien monsieur de prendre en charge mon cas, c'est très gentil
Arrète de me considèrer comme un vieux papy, je ne vais pas t'offrir des bonbons; de plus sur les forums, tout le monde se tutoie. Bon soyons sérieux: je m'attendais à ce que tu m'expliques, ta sale bestiole a la réputation de bloquer les applications, mais on va essayer de lui tordre le cou: essaye ceci Télécharge rkill depuis l'un des liens ci-dessous: http://download.bleepingcomputer.com/grinler/rkill.pif http://download.bleepingcomputer.com/grinler/rkill.scr http://download.bleepingcomputer.com/grinler/rkill.com http://download.bleepingcomputer.com/grinler/rkill.exe Enregistre le fichier sur le Bureau. Désactive le module résident de l'antivirus et celui de l'antispyware. Fais un double clic sur le fichier rkill] téléchargé pour lancer l'outil. Pour Vista, faire un clic droit sur le fichier [b]rkill/b téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil. Une fenêtre à fond noir va apparaître brièvement, puis disparaître. Si rien ne se passe, ou si l'outil ne se lance pas, télécharge l'outil depuis un autre des quatre liens ci-dessus et fais une nouvelle tentative d'exécution. Si aucun des outils téléchargés depuis les quatre liens ci-dessus ne semble fonctionner, ne pas continuer le nettoyage, et me prévenir sur le forum. Ensuite, sans redémarrer ton ordi:
- Télécharge Malwarebytes
- Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
- Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
- Lance une analyse complète en cliquant sur "Exécuter un examen complet"
- Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
- L'analyse peut durer un bon moment.....
- Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
- Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
- Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
* Il se pourrait que certains fichiers doivent être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée En cas de problème, préviens moi Tu peux éventuellement faire les téléchargement à partir du 2ème ordi, et les transfèrer par une clé USB:copie le fichier sur le Bureau de l'ordi infecté. (Attention à vider la clé avant de la déconnecter de l'ordi infecté pour éviter toute propagation d'infection) . Pour tes fichiers photos, on verra après avoir tué le processus malicieux; pour l'instant je ne peux rien dire A très bientôt Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Dim 9 Mai 2010 - 15:08 | |
| Ah mince... je viens de voir que je suis un boulet !
Tout s'est bien passé, l'analyse a duré + de 2h30 et un post s'est ouvert, et il m'a demandé de redémarrer mon ordi et j'ai fait ok, sans copier le post... Et il a disparu...
Bravo Sandra hein...
Je croyais que "sans redémarrer ton ordi" c'était avant d'installer Malwarebytes mais je viens de comprendre que ça devait être après l'analyse.
En tous cas, quand mon ordi s'est rallumé : "Security tool" n'est plus là et aucune fenêtre alertante n'est apparue... En somme, tout à l'air comme d'habitude, mais je sais qu'il faut se méfier donc j'ai recommencé une analyse pour vous poster le truc à la fin, mais est-ce que ça va aller ? (J'ai peur que ce qu'il te fallait, c'est ce qui a été supprimé et tout... :s) Dans les trucs à supprimer, il y avait des "trojan", des "rogue"...
J'suis vraiment désolée, jme sens trop nulle !
Merci pour ton temps. A bientot
Sandra. | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Dim 9 Mai 2010 - 19:46 | |
| Bonjour Sandra, - Citation :
- Ah mince... je viens de voir que je suis un boulet !
Mais non, ne soit pas défaitiste, il y a toujours une solution: Ouvre MBAM Onglet "rapports/logs" Tu y trouveras la liste des derniers rapports avec la date et l'heure Poste moi celui qui correspond à l'analyse qui nous intéresse Donc, apparemment, ma potion magique a fait son boulot. Poste moi aussi un nouveau ZHPDiag pour vérifier si tout va bien (suis la procédure indiquée plus haut, dans ma première réponse) A+ Michael PS: "sans redémarrer ton ordi", c'était bien avant de passer MBAM. Il était impératif de le faire juste après RKill, dont la mission était de tuer le processus infectieux pour que MBAM puisse l'éradiquer complètement, sinon en redémarrant, l'infection serait revenue, et aurait bloqué MBAM | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Dim 9 Mai 2010 - 20:16 | |
| Ahhlàlà ok, donc voici le premier, celui que e croyais avoir perdu : (heure : 14h55):
****
Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org
Version de la base de données: 4080
Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.11
09/05/2010 14:55:05 mbam-log-2010-05-09 (14-55-05).txt
Type d'examen: Examen complet (C:\|) Elément(s) analysé(s): 197075 Temps écoulé: 2 heure(s), 36 minute(s), 12 seconde(s)
Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 2 Elément(s) de données du Registre infecté(s): 1 Dossier(s) infecté(s): 1 Fichier(s) infecté(s): 6
Processus mémoire infecté(s): (Aucun élément nuisible détecté)
Module(s) mémoire infecté(s): (Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s): HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\57651428 (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sysgif32 (Trojan.Agent) -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s): HKEY_LOCAL_MACHINE\SOFTWARE\Clients\StartMenuInternet\IEXPLORE.EXE\shell\open\command\(default) (Hijack.StartMenuInternet) -> Bad: ("C:\Documents and Settings\Propriétaire\Local Settings\Application Data\av.exe" /START "C:\Program Files\Internet Explorer\iexplore.exe") Good: (iexplore.exe) -> Quarantined and deleted successfully.
Dossier(s) infecté(s): C:\Documents and Settings\All Users\Application Data\57651428 (Rogue.Multiple) -> Quarantined and deleted successfully.
Fichier(s) infecté(s): C:\Documents and Settings\All Users\Application Data\57651428\57651428.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully. C:\Documents and Settings\Propriétaire\Local Settings\Temporary Internet Files\Content.IE5\M3M2IVG1\inst[1].exe (Rogue.SecurityTool) -> Quarantined and deleted successfully. C:\Documents and Settings\All Users\Application Data\57651428\57651428.ini (Rogue.Multiple) -> Quarantined and deleted successfully. C:\Documents and Settings\Propriétaire\Bureau\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully. C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Security Tool.LNK (Rogue.SecurityTool) -> Quarantined and deleted successfully. C:\Documents and Settings\Propriétaire\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
**************************************************************************************
Et voici celui qui vient de se terminer (i a retrouvé une infection) :
Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org
Version de la base de données: 4080
Windows 5.1.2600 Service Pack 3 Internet Explorer 7.0.5730.11
09/05/2010 20:12:00 mbam-log-2010-05-09 (20-12-00).txt
Type d'examen: Examen complet (C:\|) Elément(s) analysé(s): 198107 Temps écoulé: 3 heure(s), 18 minute(s), 1 seconde(s)
Processus mémoire infecté(s): 0 Module(s) mémoire infecté(s): 0 Clé(s) du Registre infectée(s): 0 Valeur(s) du Registre infectée(s): 0 Elément(s) de données du Registre infecté(s): 0 Dossier(s) infecté(s): 0 Fichier(s) infecté(s): 1
Processus mémoire infecté(s): (Aucun élément nuisible détecté)
Module(s) mémoire infecté(s): (Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s): (Aucun élément nuisible détecté)
Valeur(s) du Registre infectée(s): (Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s): (Aucun élément nuisible détecté)
Dossier(s) infecté(s): (Aucun élément nuisible détecté)
Fichier(s) infecté(s): C:\System Volume Information\_restore{679A0020-90B4-4C3C-BC0A-B3810AF6E02F}\RP374\A0129279.exe (Rogue.SecurityTool) -> Quarantined and deleted successfully. | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Dim 9 Mai 2010 - 20:34 | |
| Pour le rapport ZHPDiag :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijcSChDml.txt
Voilà voilà, j'espère que j'ai tout bien fait !
Je sais que ce n'est peut-être pas fini, mais déjà merci de m'avoir rendu mon ordi ! Vous faîtes tous un boulot formidable ici ! Je ne serai de retour par ici que jeudi ou vendredi, pour l'instant mon ordi va se reposer !
Bonne semaine à toi d'ici là,
A + Sandra. | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Jeu 13 Mai 2010 - 0:31 | |
| Bonjour, J'ai étudié ton rapport, et on a un peu de pain sur la planche. Pour commencer: Clique ici pour télécharger Gmer sur ton bureau. - Ferme tous tes programmes et déconnecte toi d'internet.
- Désactive tes logiciels de sécurité (antivirus, antispyware, etc).
- Décompresse le fichier téléchargé sur ton bureau et double clique sur Gmer.exe pour le lancer.
- Utilisateur de Vista : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".
Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, clique sur l'onglet Rootkit/Malware. Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All. Clique sur le bouton Scan. Laisse Gmer travailler et ne touche plus à ton ordinateur. Patiente car le scan peut être long. A la fin du scan, un rapport s'ouvrira : enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu ici. Quitte Gmer et réactive tes logiciels de sécurité. Attention à ne rien tenter par toi même !!A très bientôt Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Jeu 13 Mai 2010 - 14:24 | |
| Je ne comprends pas... Après avoir fait le scan, aucun rapport ne s'est ouvert. Je pouvais cliquer sur "ok" ou "annuler" donc je me suis dit qu'en cliquant sur ok, le scan allait apparaître. Mais non, il a fermé la fenêtre et voilà... J'ai recommencé un nouveau scan, mais là il n'a rien trouvé. (avant il y avait des trucs avec des adresses à rallonge...). J'ai cherché l'ancien rapport mais je ne trouve rien...
***** Voilà ce qu'il met actuellement après ce deuxième scan :
GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-05-13 14:23:00 Windows 5.1.2600 Service Pack 3 Running: gmer.exe; Driver: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\uwloapog.sys
---- System - GMER 1.0.15 ----
SSDT F7C423C6 ZwCreateKey SSDT F7C423BC ZwCreateThread SSDT F7C423CB ZwDeleteKey SSDT F7C423D5 ZwDeleteValueKey SSDT F7C423DA ZwLoadKey SSDT F7C423A8 ZwOpenProcess SSDT F7C423AD ZwOpenThread SSDT F7C423E4 ZwReplaceKey SSDT F7C423DF ZwRestoreKey SSDT F7C423D0 ZwSetValueKey SSDT F7C423B7 ZwTerminateProcess
---- EOF - GMER 1.0.15 ----
J'aurais par ailleurs voulu savoir si je peux naviguer sans problème sur Internet. Merci ! | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Jeu 13 Mai 2010 - 16:50 | |
| Re bonjour, Autant pour moi,les instructions pour Gmer étaient incomplètes. Voici les bonnes: Clique ici pour télécharger Gmer sur ton bureau. - Ferme tous tes programmes et déconnecte toi d'internet.
- Désactive tes logiciels de sécurité (antivirus, antispyware, etc).
- Décompresse le fichier téléchargé sur ton bureau et double clique sur Gmer.exe pour le lancer.
- Utilisateur de Vista : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".
Gmer peut te demander de lancer un scan, accepte. Dans le cas contraire, clique sur l'onglet Rootkit/Malware. Sur la droite, vérifie que toutes les cases à cocher sont cochées sauf Show All. Clique sur le bouton Scan. Laisse Gmer travailler et ne touche plus à ton ordinateur. Patiente car le scan peut être long. A la fin du scan, un rapport apparaitra dans la fenètre Clique sur le bouton"copy" Ouvre le bloc note de windows (Notepad) Fais un clic droit dedans, et choisis "coller" Enregistre le sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu ici. Quitte Gmer et réactive tes logiciels de sécurité. Attention à ne rien tenter par toi même !!Croise les doigts, et vas-y A+ Michael PS: pour la navigation sur internet, il vaudrait mieux limiter à nos échanges tant que ton PC n'est pas sécurisé | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Jeu 13 Mai 2010 - 20:43 | |
| GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-05-13 20:40:19 Windows 5.1.2600 Service Pack 3 Running: gmer.exe; Driver: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\uwloapog.sys
---- System - GMER 1.0.15 ----
SSDT F7C02276 ZwCreateKey SSDT F7C0226C ZwCreateThread SSDT F7C0227B ZwDeleteKey SSDT F7C02285 ZwDeleteValueKey SSDT F7C0228A ZwLoadKey SSDT F7C02258 ZwOpenProcess SSDT F7C0225D ZwOpenThread SSDT F7C02294 ZwReplaceKey SSDT F7C0228F ZwRestoreKey SSDT F7C02280 ZwSetValueKey SSDT F7C02267 ZwTerminateProcess
---- User code sections - GMER 1.0.15 ----
.text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!LoadResource 7C80A055 7 Bytes JMP 28001E20 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!FindResourceExW 7C80AD28 7 Bytes JMP 28001C60 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!FindResourceW 7C80BC6E 7 Bytes JMP 28001BE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!SizeofResource 7C80BD09 7 Bytes JMP 28001EE0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!FindResourceA 7C80BF29 7 Bytes JMP 28001CF0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!LockResource 7C80CD37 5 Bytes JMP 28001F50 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!CreateEventA 7C8308B5 5 Bytes JMP 28001840 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] kernel32.dll!FindResourceExA 7C835FA8 7 Bytes JMP 28001D80 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] ADVAPI32.dll!CryptDeriveKey 77DB9FFD 7 Bytes JMP 28001000 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] ADVAPI32.dll!CryptDecrypt 77DBA129 7 Bytes JMP 28001060 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!GetWindowLongW 7E3988A6 7 Bytes JMP 280069E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!PeekMessageW 7E39929B 5 Bytes JMP 280045B0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!SetWindowPlacement 7E39DE46 5 Bytes JMP 28005D80 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!CreateDialogParamW 7E39EA3B 5 Bytes JMP 28006000 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!LoadImageW 7E3A7B97 5 Bytes JMP 28006650 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!CreateWindowExW 7E3AD0A3 5 Bytes JMP 28003C70 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!SetWindowRgn 7E3AE528 7 Bytes JMP 28005EC0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!LoadIconW 7E3AE8BC 5 Bytes JMP 28006840 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!MessageBoxIndirectW 7E3E64D5 5 Bytes JMP 280061F0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] USER32.dll!TrackPopupMenuEx 7E3ECF62 5 Bytes JMP 28004E90 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WS2_32.dll!closesocket 719F3E2B 5 Bytes JMP 2800B5E0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WS2_32.dll!send 719F4C27 5 Bytes JMP 2800B1C0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WS2_32.dll!WSARecv 719F4CB5 5 Bytes JMP 2800AFA0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WS2_32.dll!recv 719F676F 5 Bytes JMP 2800AE00 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WS2_32.dll!WSASend 719F68FA 5 Bytes JMP 2800B3A0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] SHELL32.dll!Shell_NotifyIconW 7CA3A5BF 5 Bytes JMP 280033D0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] ole32.dll!CoInitializeEx 774BEF7B 5 Bytes JMP 28002260 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] ole32.dll!CoCreateInstance 774C057E 5 Bytes JMP 28002600 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] ole32.dll!CoRegisterClassObject 774D7E90 5 Bytes JMP 28002360 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WININET.dll!InternetCloseHandle 404B4261 5 Bytes JMP 2800A000 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WININET.dll!HttpOpenRequestA 404BAA7B 5 Bytes JMP 28009CC0 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WININET.dll!InternetReadFile 404C13D4 5 Bytes JMP 28009E50 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou) .text C:\Program Files\Windows Live\Messenger\msnmsgr.exe[1364] WININET.dll!HttpSendRequestA 404C3558 5 Bytes JMP 28009F30 C:\Program Files\Messenger Plus! Live\MsgPlusLive1.dll (Messenger Plus! Live Add-On/Patchou)
---- EOF - GMER 1.0.15 ---- | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Ven 14 Mai 2010 - 23:37 | |
| Coucou, c'est moi, Je vais te donner encore un peu de travail: - Télécharge UsbFix (créé par El Desaparecido & C_XX) et enregistre-le sur ton bureau
- tutoriel recherche
- Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir
- Double clic sur le raccourci UsbFix sur ton bureau, l'installation se fera automatiquement
- Choisi l'option 1 (recherche)
- Laisse travailler l'outil
- Ensuite post le rapport UsbFix.txt qui apparaîtra
- Note : le rapport UsbFix.txt est sauvegardé a la racine du disque
* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus Dors bien, et fais de beaux rèves, pleins de PC qui marchent Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Sam 15 Mai 2010 - 11:29 | |
| Bonjour !!
Merci beaucoup pour cette nouvelle réponse ! Voici donc le rapport :
Bonne journée et bon week-end !
############################## | UsbFix V6.113 |
User : Propriétaire (Administrateurs) # UNKNOWN Update on 13/05/2010 by El Desaparecido , C_XX & Chimay8 Start at: 11:26:19 | 15/05/2010 Website : http://pagesperso-orange.fr/NosTools/index.html Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) M processor 1.70GHz Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3 Internet Explorer 7.0.5730.11 Windows Firewall Status : Enabled AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
C:\ -> Disque fixe local # 37.01 Go (1.22 Go free) [mon disk dur ! hé ça rigole pas!] # NTFS D:\ -> Disque CD-ROM E:\ -> Disque fixe local # 149.05 Go (101.06 Go free) [DD Externe] # NTFS G:\ -> Disque amovible # 979.72 Mo (979.7 Mo free) [CLÉ GRISE] # FAT
################## | Elements infectieux |
C:\log.txt E:\SANDRA
################## | Registre |
################## | Mountpoints2 |
HKCU\..\..\Explorer\MountPoints2\{24f035aa-bcd7-11de-a841-000c76f933e0} Shell\AutoRun\command =E:\wd_windows_tools\WDSetup.exe
HKCU\..\..\Explorer\MountPoints2\{d6dfa547-8d75-11de-a814-000c76f933e0} Shell\Auto\command =E:\launcher.exe Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL launcher.exe
HKCU\..\..\Explorer\MountPoints2\{e91cd800-efae-11dd-a73b-000c76f933e0} Shell\Auto\command =Start.exe Shell\AutoRun\command =C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL Start.exe
################## | Vaccin |
(!) Cet ordinateur n'est pas vacciné !
################## | ! Fin du rapport # UsbFix V6.113 ! | | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Sam 15 Mai 2010 - 23:05 | |
| Bonsoir Sandoi, Bonne nouvelle, toutes les sales bètes de ton PC ont été identifiées, on va passer à la dératisation: - tutoriel nettoyage
- Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectés sans les ouvrir
- Double clic sur le raccourci UsbFix présent sur ton bureau
- choisi l'option 2 ( Suppression )
- Ton bureau disparaîtra et le pc redémarrera .
- Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.
- Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
- Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )
- ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )
- UsbFix te proposera d'uploader un dossier compressé à cette adresse : http://chiquitine.changelog.fr/Sample/Upload.php
- Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
- Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
- Il faut sélectionner "UsbFix" dans le menu déroulant
- Merci d'avance pour ta contribution !!
PS: Si le PC refuse de démarrer avec les clés branchées, ne les branche que lorsque le système a commencé à démarrer A la suite de cette opération, tes clés seront vaccinées contre une nouvelle infection de ce type, mais à l'avenir, n'ouvre jamais une unité de stockage externe (clé usb, disque dur externe, lecteur mp3) sans en faire une analyse par ton antivirus; c'est comme ça que tu as été infectée A+ Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Dim 16 Mai 2010 - 14:29 | |
| Bonjour Michael ! Me revoilà !
Voici le rapport Uskfix :
############################## | UsbFix V6.113 |
User : Propriétaire (Administrateurs) # UNKNOWN Update on 13/05/2010 by El Desaparecido , C_XX & Chimay8 Start at: 13:56:42 | 16/05/2010 Website : http://pagesperso-orange.fr/NosTools/index.html Contact : FindyKill.Contact@gmail.com
Intel(R) Pentium(R) M processor 1.70GHz Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3 Internet Explorer 7.0.5730.11 Windows Firewall Status : Enabled AV : AntiVir Desktop 9.0.1.32 [ Enabled | Updated ]
C:\ -> Disque fixe local # 37.01 Go (1.15 Go free) [mon disk dur ! hé ça rigole pas!] # NTFS D:\ -> Disque CD-ROM E:\ -> Disque fixe local # 149.05 Go (101.06 Go free) [DD Externe] # NTFS G:\ -> Disque amovible # 979.72 Mo (979.7 Mo free) [CLÉ GRISE] # FAT
################## | Elements infectieux |
Supprimé ! C:\log.txt Supprimé ! C:\Recycler\S-1-5-21-2025429265-796845957-725345543-1003 Supprimé ! C:\Recycler\S-1-5-21-2559572119-79812083-3160447976-1003 Supprimé ! E:\SANDRA Supprimé ! E:\Recycler\S-1-5-21-329068152-839522115-682003330-1003
################## | Registre |
################## | Mountpoints2 |
Supprimé ! HKCU\...\Explorer\MountPoints2\{24f035aa-bcd7-11de-a841-000c76f933e0}\Shell\AutoRun\Command Supprimé ! HKCU\...\Explorer\MountPoints2\{d6dfa547-8d75-11de-a814-000c76f933e0}\Shell\Auto\Command Supprimé ! HKCU\...\Explorer\MountPoints2\{e91cd800-efae-11dd-a73b-000c76f933e0}\Shell\Auto\Command
################## | Listing des fichiers présent |
[14/11/2005 15:28|--a------|0] C:\AUTOEXEC.BAT [07/11/2007 15:32|-rahs----|216] C:\boot.ini [05/08/2004 14:00|-rahs----|4952] C:\Bootfont.bin [14/11/2005 15:28|--a------|0] C:\CONFIG.SYS [03/11/2008 19:15|--a------|230424] C:\img1-001.raw [14/11/2005 15:28|-rahs----|0] C:\IO.SYS [14/11/2005 15:28|-rahs----|0] C:\MSDOS.SYS [05/08/2004 14:00|-rahs----|47564] C:\NTDETECT.COM [26/10/2008 20:58|-rahs----|252240] C:\ntldr [?|?|?] C:\pagefile.sys [26/12/2007 23:28|--a------|10160] C:\PAVPROT.BIN [26/12/2007 23:28|--a------|123463] C:\PAVVTS.DAT [09/05/2010 12:06|--a------|382] C:\rkill.log [20/08/2009 11:41|--a------|14] C:\temp.html [16/05/2010 14:01|--a------|2211] C:\UsbFix.txt [11/05/2009 15:58|---hs----|9728] G:\Thumbs.db
################## | Vaccination |
# C:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). # E:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido). # G:\autorun.inf -> Dossier créé par UsbFix (El Desaparecido).
################## | Upload |
Veuillez envoyer le fichier : C:\UsbFix_Upload_Me_UNKNOWN.zip : http://chiquitine.changelog.fr/Sample/Upload.php Merci pour votre contribution .
################## | ! Fin du rapport # UsbFix V6.113 ! | | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Dim 16 Mai 2010 - 23:33 | |
| Bonsoir, Tout est parfait, on continue: • Lance ZHPFix, via ZHPDiag, l'icône verte en haut, à droite qui apparaitra a la fin de l'analyse ZHPdiag) • Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») • Copie/colle les lignes suivantes et place les dans ZHPFix :
---------------------------------------------------------- [HKCU\Software\Panda Software] [HKCU\Software\Symantec] [HKLM\Software\Panda Software] [HKLM\Software\Symantec] [HKLM\Software\57651428]
O43 - CFD:Common File Directory ----D- C:\Program Files\Norton Security Scan O43 - CFD:Common File Directory ----D- C:\Program Files\Panda Software O43 - CFD:Common File Directory ----D- C:\Program Files\Securitoo O43 - CFD:Common File Directory ----D- C:\Program Files\Fichiers Communs\Symantec Shared => Symantec Norton Shared
O64 - Services: CurCS - (.not file.) - Panda Goodware Cache Manager (Gwmsrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_GWMSRV O64 - Services: CurCS - (.not file.) - Panda Preventium Driver. (netflt) .(.Pas de propriétaire - Pas de description.) - LEGACY_NETFLT O64 - Services: CurCS - (.not file.) - Panda Antispam Server Service (PASSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PASSRV O64 - Services: CurCS - (.not file.) - Panda Firewall Service (PAVFIRES) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVFIRES O64 - Services: CurCS - (.not file.) - Panda Network Manager (PNMSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PNMSRV O64 - Services: CurCS - (.not file.) - Panda Preventium+ Service (PREVSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PREVSRV O64 - Services: CurCS - (.not file.) - Panda PSK service (PskSvcRetail) .(.Pas de propriétaire - Pas de description.) - LEGACY_PSKSVCRETAIL O64 - Services: CurCS - (.not file.) - Antivirus Filter Driver (AvFlt) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVFLT => Panda Antivirus Filter Driver O64 - Services: CurCS - (.not file.) - Panda Anti-Dialer (ComFiltr) .(.Pas de propriétaire - Pas de description.) - LEGACY_COMFILTR => Panda Anti-Dialer Driver O64 - Services: CurCS - (.not file.) - Panda CPoint Driver (cpoint) .(.Pas de propriétaire - Pas de description.) - LEGACY_CPOINT => Panda CPoint Driver O64 - Services: CurCS - (.not file.) - DSA Filter Plugin (DSAFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_DSAFLT => Panda DSA Filter Plugin O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl) .(.Pas de propriétaire - Pas de description.) - LEGACY_EECTRL => Symantec Eraser Control Driver O64 - Services: CurCS - (.not file.) - NetMon Filter Plugin (FNETMON) .(.Pas de propriétaire - Pas de description.) - LEGACY_FNETMON => Panda Antivirus NetMon Filter Plugin O64 - Services: CurCS - (.not file.) - Ids Filter Plugin (IDSFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_IDSFLT => Panda CPoint Driver Ids Filter Plugin O64 - Services: CurCS - (.not file.) - Mup (Mup) .(.Pas de propriétaire - Pas de description.) - LEGACY_MUP => McAfee Update Service O64 - Services: CurCS - (.not file.) - Panda boot driver (pavboot) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVBOOT => Panda Boot Driver O64 - Services: CurCS - (.not file.) - Panda anti-virus driver (PAVDRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVDRV => Panda Antivirus Filter Driver O64 - Services: CurCS - (.not file.) - Panda Function Service (PAVFNSVR) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVFNSVR => Panda Function Service O64 - Services: CurCS - (.not file.) - Panda Process Protection Driver (PavProc) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVPROC => Panda Process Protection Driver O64 - Services: CurCS - (.not file.) - Panda Process Protection Service (PavPrSrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVPRSRV => Panda Process Protection Service O64 - Services: CurCS - (.not file.) - Panda anti-virus service (PAVSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVSRV => Panda Antivirus Service O64 - Services: CurCS - (.not file.) - Panda IManager Service (PSIMSVC) .(.Pas de propriétaire - Pas de description.) - LEGACY_PSIMSVC => Panda IManager Service O64 - Services: CurCS - (.not file.) - Panda File Shield Driver (ShldDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SHLDDRV => Panda File Shield Driver O64 - Services: CurCS - (.not file.) - SMS Filter Plugin (SMSFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_SMSFLT => Panda Antivirus SMS Filter Plugin Driver
----------------------------------------------------------
• Clique sur "OK", puis « Tous », puis sur « Nettoyer » • Copie/colle la totalité du rapport dans ta prochaine réponse
Tutoriel: http://www.premiumorange.com/zeb-help-process/zhpfix.html Bonne nuit, Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Dim 16 Mai 2010 - 23:42 | |
| Bonjour/bonsoir ! Tant mieux si tout est parfait, je suis toujours sous tes ordres mon capitaine Voici donc ce nouveau rapport : ZHPFix v1.12.3099 by Nicolas Coolman - Rapport de suppression du 16/05/2010 23:40:43 Fichier d'export Registre : C:\ZHPExportRegistry-16-05-2010-23-40-43.txt Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html Contact : nicolascoolman@yahoo.fr Processus mémoire : (Néant) Module mémoire : (Néant) Clé du Registre : HKCU\Software\Panda Software => Clé supprimée avec succès HKCU\Software\Symantec => Clé supprimée avec succès HKLM\Software\Panda Software => Clé supprimée avec succès HKLM\Software\Symantec => Clé supprimée avec succès HKLM\Software\57651428 => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - Panda Goodware Cache Manager (Gwmsrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_GWMSRV => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - Panda Preventium Driver. (netflt) .(.Pas de propriétaire - Pas de description.) - LEGACY_NETFLT => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - Panda Antispam Server Service (PASSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PASSRV => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - Panda Firewall Service (PAVFIRES) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVFIRES => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - Panda Network Manager (PNMSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PNMSRV => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - Panda Preventium+ Service (PREVSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PREVSRV => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - Panda PSK service (PskSvcRetail) .(.Pas de propriétaire - Pas de description.) - LEGACY_PSKSVCRETAIL => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - Antivirus Filter Driver (AvFlt) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVFLT => Panda Antivirus Filter Driver => Clé absente O64 - Services: CurCS - (.not file.) - Panda Anti-Dialer (ComFiltr) .(.Pas de propriétaire - Pas de description.) - LEGACY_COMFILTR => Panda Anti-Dialer Driver => Clé absente O64 - Services: CurCS - (.not file.) - Panda CPoint Driver (cpoint) .(.Pas de propriétaire - Pas de description.) - LEGACY_CPOINT => Panda CPoint Driver => Clé absente O64 - Services: CurCS - (.not file.) - DSA Filter Plugin (DSAFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_DSAFLT => Panda DSA Filter Plugin => Clé absente O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl) .(.Pas de propriétaire - Pas de description.) - LEGACY_EECTRL => Symantec Eraser Control Driver => Clé absente O64 - Services: CurCS - (.not file.) - NetMon Filter Plugin (FNETMON) .(.Pas de propriétaire - Pas de description.) - LEGACY_FNETMON => Panda Antivirus NetMon Filter Plugin => Clé absente O64 - Services: CurCS - (.not file.) - Ids Filter Plugin (IDSFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_IDSFLT => Panda CPoint Driver Ids Filter Plugin => Clé absente O64 - Services: CurCS - (.not file.) - Mup (Mup) .(.Pas de propriétaire - Pas de description.) - LEGACY_MUP => McAfee Update Service => Clé absente O64 - Services: CurCS - (.not file.) - Panda boot driver (pavboot) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVBOOT => Panda Boot Driver => Clé absente O64 - Services: CurCS - (.not file.) - Panda anti-virus driver (PAVDRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVDRV => Panda Antivirus Filter Driver => Clé absente O64 - Services: CurCS - (.not file.) - Panda Function Service (PAVFNSVR) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVFNSVR => Panda Function Service => Clé absente O64 - Services: CurCS - (.not file.) - Panda Process Protection Driver (PavProc) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVPROC => Panda Process Protection Driver => Clé absente O64 - Services: CurCS - (.not file.) - Panda Process Protection Service (PavPrSrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVPRSRV => Panda Process Protection Service => Clé absente O64 - Services: CurCS - (.not file.) - Panda anti-virus service (PAVSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVSRV => Panda Antivirus Service => Clé absente O64 - Services: CurCS - (.not file.) - Panda IManager Service (PSIMSVC) .(.Pas de propriétaire - Pas de description.) - LEGACY_PSIMSVC => Panda IManager Service => Clé absente O64 - Services: CurCS - (.not file.) - Panda File Shield Driver (ShldDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SHLDDRV => Panda File Shield Driver => Clé absente O64 - Services: CurCS - (.not file.) - SMS Filter Plugin (SMSFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_SMSFLT => Panda Antivirus SMS Filter Plugin Driver => Clé absente Valeur du Registre : (Néant) Elément de données du Registre : (Néant) Préférences navigateur : (Néant) Dossier : C:\Program Files\Norton Security Scan => Supprimé et mis en quarantaine C:\Program Files\Panda Software => Supprimé et mis en quarantaine C:\Program Files\Securitoo => Supprimé et mis en quarantaine C:\Program Files\Fichiers Communs\Symantec Shared => Symantec Norton Shared => Dossier absent Fichier : (Néant) Logiciel : (Néant) Script Registre : (Néant) Master Boot Record : (Néant) Autre : (Néant) Récapitulatif : Processus mémoire : 0 Module mémoire : 0 Clé du Registre : 29 Valeur du Registre : 0 Elément de données du Registre : 0 Dossier : 4 Fichier : 0 Logiciel : 0 Master Boot Record : 0 Préférences navigateur : 0 Autre : 0 End of the scan | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Lun 17 Mai 2010 - 15:34 | |
| Salut Soldat, On dirait que notre lance roquettes à raté un certain nombre d'ennemis, ils ont dû se cacher quelque part, mais ils ne perdent rien pour attendre. On va attaquer la position suivante. Pour ceux qui ont vista ou windows 7,désactivez l'UAC : Tuto : http://www.commentcamarche.net/faq/sujet-8343-vista-desactiver-l-uac Recherche de toolbars infectieuses :/!\ Désactive toutes tes protections résidentes ! /!\
- Télécharge Toolbar-S&D (de la Team IDN) sur ton Bureau : http://eric.71.mespages.googlepages.com/ToolBarSD.exe
- Si tu es sous Vista Clique-droit sur le fichier téléchargé > Exécuter en tant qu'administrateur
- Toujours pour les utilisateurs Vista : Clique-droit sur le raccourci de Toolbar-S&D > Exécuter en tant qu'administrateur
- Choisis F pour Français, et valide par Entrée
- Choisis maintenant l'option 1 (Recherche). Patiente jusqu'à la fin de la recherche.
- Poste le rapport généré. (C:\TB.txt)
/!\ Réactive toutes tes protections résidentes ! /!\Feu à volonté Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Lun 17 Mai 2010 - 19:33 | |
| Mon capitaine, tu es un génie ^^
Revoilà le nouveau rapport.
Y a-t-il encore des survivants dans le camp ennemi ??
-----------\\ ToolBar S&D 1.2.9 XP/Vista
Microsoft Windows XP Édition familiale ( v5.1.2600 ) Service Pack 3 X86-based PC ( Uniprocessor Free : Intel(R) Pentium(R) M processor 1.70GHz ) BIOS : BIOS Version: A1010IMS V3.30 05/17/05 USER : Propriétaire ( Administrator ) BOOT : Normal boot Antivirus : AntiVir Desktop 9.0.1.32 (Not Activated) C:\ (Local Disk) - NTFS - Total:37 Go (Free:1 Go) D:\ (CD or DVD)
"C:\ToolBar SD" ( MAJ : 22-08-2009|18:42 ) Option : [1] ( 17/05/2010|19:25 )
-----------\\ Recherche de Fichiers / Dossiers ...
C:\DOCUME~1\PROPRI~1\Cookies\propriétaire@baidu[1].txt
-----------\\ [..\Internet Explorer\Main]
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main] "Local Page"="C:\\WINDOWS\\system32\\blank.htm" "Start Page"="http://www.google.fr/" "Search Page"="http://www.google.com" "SearchMigratedDefaultURL"="http://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8"
[HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Main] "Default_Page_URL"="http://www.google.com" "Default_Search_URL"="http://go.microsoft.com/fwlink/?LinkId=54896" "Search Page"="http://go.microsoft.com/fwlink/?LinkId=54896" "Start Page"="http://fr.msn.com/"
--------------------\\ Recherche d'autres infections
Aucune autre infection trouvée !
1 - "C:\ToolBar SD\TB_1.txt" - 17/05/2010|19:29 - Option : [1]
-----------\\ Fin du rapport a 19:29:34.09 | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Mar 18 Mai 2010 - 13:40 | |
| Bonjour mon petit Soldwat, - Citation :
- Mon capitaine, tu es un génie
Si tout le monde me le dit, je vais finir par le croire - Citation :
- Y a-t-il encore des survivants dans le camp ennemi ??
Ces salopards ont réussi à déjouer la tête chercheuse de mon missile, on va changer de calibre: Télécharges AD-Remover sur ton bureau : /!\ Déconnectes toi et fermes toutes applications en cours
- Double clique sur le programme d'installation , et installe le dans son emplacement par défaut. ( C:\Program files )
- Double clique sur l'icône Ad-remover située sur ton bureau
- Au menu principal choisi l'option "A" recherche
- Postes le rapport qui apparait à la fin .
( le rapport est sauvegardé aussi sous C:\Ad-report(date).log ) ( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) Note :" Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. A très vite de tes nouvelles Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Mar 18 Mai 2010 - 15:15 | |
| - Michael Forest a écrit:
- Télécharges AD-Remover sur ton bureau :
Heu le lien n'est pas valide apparemment...(http 404 et compagnie...) | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Mar 18 Mai 2010 - 18:14 | |
| Mille sabords, Essaie celui-ci: AD-Remover | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Mar 18 Mai 2010 - 18:32 | |
| Mo capitaine, je perds le nord ^^ Il me demande si je veux scanner, nettoyer, desinstaller ou annuler. Je serai tentée de fairs scanner mais... est-ce bien cela ?
Je n'ai pas d'option A ! | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Mar 18 Mai 2010 - 20:25 | |
| Cap sur "scanner", moussaillon, on va éviter de tirer sans savoir sur quoi on tire.
PS: va falloir que je mette mes "discours en boite" à jour | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Mar 18 Mai 2010 - 23:48 | |
| Ah mais je commence à comprendre mon capitaine (j'me doutais qu'il fallait faire scanner ^^) mais j'ai besoin de toi mon capitaine pour atteindre le rivage !! Voici donc cette nouvelle étape : . ======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 ======= . Mis à jour par C_XX le 07/05/10 à 16:50 Contact: AdRemover.contact@gmail.com Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html . Lancé à: 18:29:47 le 18/05/2010 | Mode normal | Option: SCAN Exécuté de: C:\Ad-Remover\ADR.exe SE: Microsoft Windows XP Service Pack 3 - X86 Nom du PC: UNKNOWN Utilisateur actuel: Propriétaire . ============== ÉLÉMENT(S) TROUVÉ(S) ============== . . C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Ask Search Assistant C:\Program Files\Ask Search Assistant . HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\AskSearchAsst.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask.com Search Assistant . . ============== SCAN ADDITIONNEL ============== . . * Internet Explorer Version 7.0.5730.11 * . [HKCU\Software\Microsoft\Internet Explorer\Main] . AutoHide: yes Do404Search: 0x01000000 Enable Browser Extensions: no Local Page: C:\WINDOWS\system32\blank.htm Search Page: hxxp://www.google.com Show_ToolBar: yes Start Page: hxxp://www.google.fr/ Use Search Asst: no . [HKLM\Software\Microsoft\Internet Explorer\Main] . Default_Page_URL: hxxp://www.google.com Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896 Delete_Temp_Files_On_Exit: yes Local Page: %SystemRoot%\system32\blank.htm Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896 Start Page: hxxp://fr.msn.com/ . [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] . Tabs: res://ieframe.dll/tabswelcome.htm Blank: res://mshtml.dll/blank.htm . ======================================== . C:\Ad-Remover\Quarantine: 0 Fichier(s) C:\Ad-Remover\Backup: 1 Fichier(s) . C:\Ad-Report-SCAN[1].txt - 1752 Octet(s) . Fin à: 23:44:26, 18/05/2010 . ============== E.O.F - SCAN[1] ============== | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Mer 19 Mai 2010 - 14:58 | |
| Salut 100doigts (il me faudrait bien ça pour taper efficacement) C'est bon matelot, on en tient un, à l'abordage, option "nettoyer" Déconnecte toi et ferme toutes les applications en cours • Double-clique sur l'icône AD-Remover • Au menu principal, clique sur "Nettoyer"• Confirme le lancement de l'analyse et laisse l'outil travailler • Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt ) (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) A+ Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Mer 19 Mai 2010 - 17:35 | |
| Hé bien capitaine, je ne comprends rien à tout cela, brouillard en vue ! Mais je suis sûre que tu pourras me guider vers de nouvelles aventures, à moins que la traversée ne soit finie ( ) ? ======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 ======= . Mis à jour par C_XX le 07/05/10 à 16:50 Contact: AdRemover.contact@gmail.com Site web: http://pagesperso-orange.fr/NosTools/ad_remover.html . Lancé à: 15:57:12 le 19/05/2010 | Mode normal | Option: CLEAN Exécuté de: C:\Ad-Remover\ADR.exe SE: Microsoft Windows XP Service Pack 3 - X86 Nom du PC: UNKNOWN Utilisateur actuel: Propriétaire . ============== ÉLÉMENT(S) NEUTRALISÉ(S) ============== . . C:\Documents and Settings\Propriétaire\Menu Démarrer\Programmes\Ask Search Assistant C:\Program Files\Ask Search Assistant (!) -- Fichiers temporaires supprimés. . HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\AskSearchAsst.exe HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ask.com Search Assistant . (Orpheline) BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} (CLSID manquant) (Orpheline) HKLM,Uninstall - DivX Plus DirectShow Filters - C:\Program Files\DivX\DivXDSFiltersUninstall.exe (Fichier manquant) (Orpheline) HKLM,Uninstall - PhotoFiltre - C:\Documents and Settings\Propriétaire\Bureau\PhotoFiltre\Uninst.exe (Fichier manquant) (Orpheline) HKLM,Uninstall - {7585478E9D9B42108671C12F8714CEFE} - C:\Program Files\DivX\DivXConverterUninstall.exe (Fichier manquant) (Orpheline) HKLM,Uninstall - {7B63B2922B174135AFC0E1377DD81EC2} - C:\Program Files\DivX\DivXCodecUninstall.exe (Fichier manquant) (Orpheline) HKLM,Uninstall - {8ADFC4160D694100B5B8A22DE9DCABD9} - C:\Program Files\DivX\DivXPlayerUninstall.exe (Fichier manquant) (Orpheline) HKLM,Uninstall - {B13A7C41581B411290FBC0395694E2A9} - C:\Program Files\DivX\DivXConverterUninstall.exe (Fichier manquant) (Orpheline) HKLM,Uninstall - {B7050CBDB2504B34BC2A9CA0A692CC29} - C:\Program Files\DivX\DivXWebPlayerUninstall.exe (Fichier manquant) . ============== SCAN ADDITIONNEL ============== . . * Internet Explorer Version 7.0.5730.11 * . [HKCU\Software\Microsoft\Internet Explorer\Main] . AutoHide: yes Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Do404Search: 0x01000000 Enable Browser Extensions: no Local Page: C:\WINDOWS\system32\blank.htm Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896 Show_ToolBar: yes Start Page: hxxp://fr.msn.com/ Use Search Asst: no . [HKLM\Software\Microsoft\Internet Explorer\Main] . Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Delete_Temp_Files_On_Exit: yes Local Page: %SystemRoot%\system32\blank.htm Search bar: hxxp://search.msn.com/spbasic.htm Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch Start Page: hxxp://fr.msn.com/ . [HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] . Tabs: res://ieframe.dll/tabswelcome.htm Blank: res://mshtml.dll/blank.htm . ======================================== . C:\Ad-Remover\Quarantine: 0 Fichier(s) C:\Ad-Remover\Backup: 13 Fichier(s) . C:\Ad-Report-CLEAN[1].txt - 3109 Octet(s) C:\Ad-Report-SCAN[1].txt - 1876 Octet(s) . Fin à: 17:05:32, 19/05/2010 . ============== E.O.F - CLEAN[1] ============== | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Mer 19 Mai 2010 - 17:54 | |
| Capitaine ! J'ai oublié de te prévenir : je m'en vais étudier, je rentre vendredi après-midi. D'ici là, poste-moi la prochaine mission ! | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Mer 19 Mai 2010 - 23:27 | |
| Permission accordée. Travaille bien, et à ton retour, ouvre l'explorateur windows, et navigue jusqu'à C:\WINDOWS\System32\drivers\hwro.sys copie le fichier hwro.sys dans "mes documents" Ensuite, je voudrais que tu ailles à cette adresse: http://www.virustotal.com/fr/ Que tu cliques sur parcourir, et que tu choisisses le fichier que tu as copié. Poste moi le résultat de l'analyse A bientôt Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Ven 21 Mai 2010 - 19:45 | |
| Bonjour bonjour me revoilà !! Mais me revoilà déjà avec un probleme ! Dans drviers", je n'ai pas de "hwro.sys", ni dans ton mon ordinateur d'ailleurs (en tous cas, l'explorateur windows n'a rien trouvé !) Un pb ? | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Sam 22 Mai 2010 - 0:31 | |
| Bonsoir, Rassure toi, ceux qui n'ont pas de problème ne viennent jamais nous voir C'est probablement un fichier caché: Ouvre l'explorateur windows Déroule "outils" Choisis "options des dossiers" Dans la fenètre qui s'ouvre, choisis l'onglet "affichage" Descends jusqu'à "fichiers et dossiers cachés" coche "afficher les dossiers cachés" Et pendant que tu y seras, décoche "masquer les extensions connues", et "masquer les fichiers protégés du système d'exploitation" un peu plus bas. Accepte l'avertissement de sécurité, clique sur "appliquer", puis "OK " Recommence la recherche A+ Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Sam 22 Mai 2010 - 1:06 | |
| Hé bien non toujours rien... Mais en fait, "afficher les dossiers cachés" était déjà coché ! Je viens d eme rappeler que pour faire de la place sur mon ordi j'ai fait une analyse CCleaner lundi, ça n'set pas à cause de ça j'espère ?! | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Sam 22 Mai 2010 - 14:07 | |
| Ne pleure pas, petit mousse, Remets le cap sur un nouveau ZHPdiag, que je fasse le point A+ Mic | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Sam 22 Mai 2010 - 17:50 | |
| Hey capitaine : analyse en vue :
http://www.cijoint.fr/cjlink.php?file=cj201005/cijpBpUePr.txt
Bon après-midi ! | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Sam 22 Mai 2010 - 23:29 | |
| Bonsoir mon petit sodat, Au temps jadis, tu as dû utiliser Panda antivirus, et il a mal été désinstallé, les miettes qui restent peuvent nous causer des ennuis. ZHPFix les a ratées, on va essayer cet outil: http://www.pandasecurity.com/resources/sop/UNINSTALLER.exe Une fois téléchargé, double clique sur le fichier pour le lancer, et raconte moi tout Bonne nuit Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Dim 23 Mai 2010 - 1:44 | |
| Quel oeil capitaine ! C'était effectivement mon ancie anti-virus.
Heu hé bien ça a été extrêmement court ! Après "exécuter", une fenêtre toute grise s'est ouverte, j'ai cliqué sur ok, ça parait de "reboot" et compagnie... ça a tout fermé et mon ordi s'est éteint puis rallumé ! Rien de plus... (devait-il se passer quelque chose en plus d'ailleurs ?!)
Au passage, depuis quelques jours, à chaque fois que j'allume mon ordinateur, Antivir me signale qu'il a détecté un fichier (www.zuc32.exe) qui contient le cheval de troie TR/Bredolab.29184. Je mets donc refuser l'accès et après je n'en entends plus parler. J'en parle maintenant parce-que je viens de voir le message quand mon ordi s'est rallumé !
Bonne journée maintenant =) | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Dim 23 Mai 2010 - 13:41 | |
| - Citation :
- Heu hé bien ça a été extrêmement court ! Après "exécuter", une fenêtre toute grise s'est ouverte, j'ai cliqué sur ok, ça parait de "reboot" et compagnie... ça a tout fermé et mon ordi s'est éteint puis rallumé !
Rien de plus... (devait-il se passer quelque chose en plus d'ailleurs ?!) A priori, tout est normal, reste à savoir s'il a bien fait le ménage. On le saura avec un nouveau diagnostique. Ce ne sera pas la peine de me poster le rapport complet, vérifie seulement, si à la fin du rapport, en 064, il y a encore des trucs nommés panda; si oui, il faudra trouver un autre outil - Citation :
- Au passage, depuis quelques jours, à chaque fois que j'allume mon ordinateur, Antivir me signale qu'il a détecté un fichier (www.zuc32.exe) qui contient le cheval de troie TR/Bredolab.29184. Je mets donc refuser l'accès et après je n'en entends plus parler. J'en parle maintenant parce-que je viens de voir le message quand mon ordi s'est rallumé !
Je l'avais remarqué, je travaille dessus. Je te donnerai de nouvelles instructions dès que possible. En attendant, continue à le bloquer, ce client là n'a pas de bonnes intentions. | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Dim 23 Mai 2010 - 16:16 | |
| Arghh z'en ai marre ! Il est toujours là !!
Voilà le point 064 : (Au fait, c'est normal que certaines lignes soient marquées en bleu ?)
---\\ Liste des services Legacy (LALS) (O64) O64 - Services: CurCS - C:\Program Files\Avira\AntiVir Desktop\sched.exe - Avira AntiVir Planificateur (AntiVirSchedulerService) .(.Avira GmbH - Antivirus Scheduler.) - LEGACY_ANTIVIRSCHEDULERSERVICE O64 - Services: CurCS - C:\Program Files\Avira\AntiVir Desktop\avguard.exe - Avira AntiVir Guard (AntiVirService) .(.Avira GmbH - Antivirus On-Access Service.) - LEGACY_ANTIVIRSERVICE O64 - Services: CurCS - (.not file.) - App Filter Plugin (APPFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_APPFLT O64 - Services: CurCS - C:\Program Files\Fichiers communs\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe - Apple Mobile Device (Apple Mobile Device) .(.Apple Inc. - Apple Mobile Device Service.) - LEGACY_APPLE_MOBILE_DEVICE O64 - Services: CurCS - (.not file.) - Antivirus Filter Driver (AvFlt) .(.Pas de propriétaire - Pas de description.) - LEGACY_AVFLT O64 - Services: CurCS - C:\Program Files\Avira\AntiVir Desktop\avgio.sys - avgio (avgio) .(.Avira GmbH - Avira AntiVir Support for Minifilter.) - LEGACY_AVGIO O64 - Services: CurCS - C:\Windows\system32\DRIVERS\avgntflt.sys - avgntflt (avgntflt) .(.Avira GmbH - Avira Minifilter Driver.) - LEGACY_AVGNTFLT O64 - Services: CurCS - C:\Windows\system32\DRIVERS\avipbb.sys - avipbb (avipbb) .(.Avira GmbH - Avira Driver for RootKit Detection.) - LEGACY_AVIPBB O64 - Services: CurCS - C:\Program Files\Bonjour\mDNSResponder.exe - Service Bonjour (Bonjour Service) .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE O64 - Services: CurCS - (.not file.) - Panda Anti-Dialer (ComFiltr) .(.Pas de propriétaire - Pas de description.) - LEGACY_COMFILTR O64 - Services: CurCS - (.not file.) - Panda CPoint Driver (cpoint) .(.Pas de propriétaire - Pas de description.) - LEGACY_CPOINT O64 - Services: CurCS - (.not file.) - Lanceur de processus serveur DCOM (DcomLaunch) .(.Pas de propriétaire - Pas de description.) - LEGACY_DCOMLAUNCH O64 - Services: CurCS - (.not file.) - DSA Filter Plugin (DSAFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_DSAFLT O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl) .(.Pas de propriétaire - Pas de description.) - LEGACY_EECTRL O64 - Services: CurCS - (.not file.) - NetMon Filter Plugin (FNETMON) .(.Pas de propriétaire - Pas de description.) - LEGACY_FNETMON O64 - Services: CurCS - C:\PROGRA~1\FICHIE~1\France Telecom\Shared Modules\FTRTSVC\0\FTRTSVC.exe - France Telecom Routing Table Service (FTRTSVC) .(.France Telecom SA - Pas de description.) - LEGACY_FTRTSVC O64 - Services: CurCS - (.not file.) - GMSIPCI (GMSIPCI) .(.Pas de propriétaire - Pas de description.) - LEGACY_GMSIPCI O64 - Services: CurCS - C:\Program Files\Google\Update\GoogleUpdate.exe - Service Google Update (gupdate1c9b6433db994aa) (gupdate1c9b6433db994aa) .(.Google Inc. - Programme d'installation de Google.) - LEGACY_GUPDATE1C9B6433DB994AA O64 - Services: CurCS - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe - Google Updater Service (gusvc) .(.Google - gusvc.) - LEGACY_GUSVC O64 - Services: CurCS - (.not file.) - Ids Filter Plugin (IDSFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_IDSFLT O64 - Services: CurCS - (.not file.) - InCD File System (InCDfs) .(.Pas de propriétaire - Pas de description.) - LEGACY_INCDFS O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\INCDREC.sys - InCDrec (InCDrec) .(.Ahead Software AG - InCD File System Recognizer.) - LEGACY_INCDREC O64 - Services: CurCS - C:\Program Files\Ahead\InCD\InCDsrv.exe - InCD Helper (InCDsrv) .(.Ahead Software AG - incdsrv.) - LEGACY_INCDSRV O64 - Services: CurCS - C:\Program Files\iPod\bin\iPodService.exe - Service de l’iPod (iPod Service) .(.Apple Inc. - iPodService Module (32-bit).) - LEGACY_IPOD_SERVICE O64 - Services: CurCS - (.not file.) - mbr (mbr) .(.Pas de propriétaire - Pas de description.) - LEGACY_MBR O64 - Services: CurCS - C:\WINDOWS\system32\Drivers\MGHwCtrl.sys - MGHwCtrl (MGHwCtrl) .(.Your Corporation - Description string for MGHwCtrl driver.) - LEGACY_MGHWCTRL O64 - Services: CurCS - (.not file.) - mountmgr (mountmgr) .(.Pas de propriétaire - Pas de description.) - LEGACY_MOUNTMGR O64 - Services: CurCS - (.not file.) - Mup (Mup) .(.Pas de propriétaire - Pas de description.) - LEGACY_MUP O64 - Services: CurCS - (.not file.) - Pilote système NDIS (NDIS) .(.Pas de propriétaire - Pas de description.) - LEGACY_NDIS O64 - Services: CurCS - (.not file.) - Panda Net Driver [TDI Layer] (NETFLTDI) .(.Pas de propriétaire - Pas de description.) - LEGACY_NETFLTDI O64 - Services: CurCS - (.not file.) - NTACCESS (NTACCESS) .(.Pas de propriétaire - Pas de description.) - LEGACY_NTACCESS O64 - Services: CurCS - (.not file.) - Panda Software Controller (Panda Software Controller) .(.Pas de propriétaire - Pas de description.) - LEGACY_PANDA_SOFTWARE_CONTROLLER O64 - Services: CurCS - (.not file.) - PartMgr (PartMgr) .(.Pas de propriétaire - Pas de description.) - LEGACY_PARTMGR O64 - Services: CurCS - (.not file.) - Panda boot driver (pavboot) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVBOOT O64 - Services: CurCS - (.not file.) - Panda anti-virus driver (PAVDRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVDRV O64 - Services: CurCS - (.not file.) - Panda Function Service (PAVFNSVR) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVFNSVR O64 - Services: CurCS - (.not file.) - Panda Process Protection Driver (PavProc) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVPROC O64 - Services: CurCS - (.not file.) - Panda Process Protection Service (PavPrSrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVPRSRV O64 - Services: CurCS - (.not file.) - Panda anti-virus service (PAVSRV) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVSRV O64 - Services: CurCS - (.not file.) - PavTPK.sys (PavTPK.sys) .(.Pas de propriétaire - Pas de description.) - LEGACY_PAVTPK.SYS O64 - Services: CurCS - C:\WINDOWS\system32\PCAMPR5.sys - PCAMPR5 NDIS Protocol Driver (PCAMPR5) .(.Printing Communications Assoc., Inc. (PCAUS - PCAUSA NDIS 5.0 MPR Protocol Driver.) - LEGACY_PCAMPR5 O64 - Services: CurCS - C:\WINDOWS\system32\PCANDIS5.sys - PCANDIS5 NDIS Protocol Driver (PCANDIS5) .(.Printing Communications Assoc., Inc. (PCAUS - PCAUSA NDIS 5.0 Protocol Driver.) - LEGACY_PCANDIS5 O64 - Services: CurCS - (.not file.) - PQNTDrv (PQNTDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_PQNTDRV O64 - Services: CurCS - (.not file.) - Panda IManager Service (PSIMSVC) .(.Pas de propriétaire - Pas de description.) - LEGACY_PSIMSVC O64 - Services: CurCS - (.not file.) - RDPNP (RDPNP) .(.Pas de propriétaire - Pas de description.) - LEGACY_RDPNP O64 - Services: CurCS - C:\Windows\system32\DRIVERS\rmedia.sys - Ricoh MediaCard Driver (rmedia) .(.REDC - RICOH Media Driver as DiskDrive.) - LEGACY_RMEDIA O64 - Services: CurCS - (.not file.) - Appel de procédure distante (RPC) (RpcSs) .(.Pas de propriétaire - Pas de description.) - LEGACY_RPCSS O64 - Services: CurCS - (.not file.) - SetupNTGLM7X (SetupNTGLM7X) .(.Pas de propriétaire - Pas de description.) - LEGACY_SETUPNTGLM7X O64 - Services: CurCS - (.not file.) - Panda File Shield Driver (ShldDrv) .(.Pas de propriétaire - Pas de description.) - LEGACY_SHLDDRV O64 - Services: CurCS - (.not file.) - SMS Filter Plugin (SMSFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_SMSFLT O64 - Services: CurCS - C:\Windows\system32\DRIVERS\ssmdrv.sys - ssmdrv (ssmdrv) .(.Avira GmbH - AVIRA SnapShot Driver.) - LEGACY_SSMDRV O64 - Services: CurCS - (.not file.) - Teefer for NT (Teefer) .(.Pas de propriétaire - Pas de description.) - LEGACY_TEEFER O64 - Services: CurCS - (.not file.) - Services Terminal Server (TermService) .(.Pas de propriétaire - Pas de description.) - LEGACY_TERMSERVICE O64 - Services: CurCS - (.not file.) - uwloapog (uwloapog) .(.Pas de propriétaire - Pas de description.) - LEGACY_UWLOAPOG O64 - Services: CurCS - (.not file.) - SyGate for NT, wg3n (wg3n) .(.Pas de propriétaire - Pas de description.) - LEGACY_WG3N O64 - Services: CurCS - (.not file.) - SyGate for NT, wg4n (wg4n) .(.Pas de propriétaire - Pas de description.) - LEGACY_WG4N O64 - Services: CurCS - (.not file.) - Wifi Monitor Filter Plugin (WNMFLT) .(.Pas de propriétaire - Pas de description.) - LEGACY_WNMFLT O64 - Services: CurCS - (.not file.) - wpsdrvnt (wpsdrvnt) .(.Pas de propriétaire - Pas de description.) - LEGACY_WPSDRVNT | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Lun 24 Mai 2010 - 23:45 | |
| Bonsoir matelot, Excuse moi de t'avoir fait attendre, j'attendais les ordres de l'amiral. Donc il semble que j'avais mal règlé la tête chercheuse de mon premier missile. Paré(e) pour le tir?
• Lance ZHPFix via ZHPDiag, clic sur l'icône verte en haut, à droite qui apparaitra a la fin de l'analyse ZHPdiag) • Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») • Copie/colle les lignes suivantes et place les dans ZHPFix :
---------------------------------------------------------- O4 - Global Startup: wwwzuc32.exe C:\Documents And Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe [HKCU\Software\AskSearchAsst] [HKCU\Software\Every Toolbar] O53 - SMSR:HKLM\...\startupreg\HbTools [Key] C:\Program Files\HbTools\Bin\4.8.2.0\HbtOEAddOn.exe O64 - Services: CurCS - (.not file.) - Panda Anti-Dialer (ComFiltr) O64 - Services: CurCS - (.not file.) - Panda CPoint Driver (cpoint) O64 - Services: CurCS - (.not file.) - Panda Net Driver [TDI Layer] (NETFLTDI) O64 - Services: CurCS - (.not file.) - Panda Software Controller (Panda Software Controller) O64 - Services: CurCS - (.not file.) - Panda anti-virus driver (PAVDRV) O64 - Services: CurCS - (.not file.) - Panda Function Service (PAVFNSVR) O64 - Services: CurCS - (.not file.) - Panda Process Protection Driver (PavProc) O64 - Services: CurCS - (.not file.) - Panda Process Protection Service (PavPrSrv) O64 - Services: CurCS - (.not file.) - Panda anti-virus service (PAVSRV) O64 - Services: CurCS - (.not file.) - Panda IManager Service (PSIMSVC) O64 - Services: CurCS - (.not file.) - Panda File Shield Driver (ShldDrv)
----------------------------------------------------------
• Clique sur"OK", puis « Tous », puis sur « Nettoyer » • Copie/colle la totalité du rapport dans ta prochaine réponse
Tutoriel: http://www.premiumorange.com/zeb-help-process/zhpfix.html
Ajuste bien, et tiens moi au courant après la mise à feu Dors bien, et fais de beaux rèves Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Jeu 27 Mai 2010 - 17:48 | |
| C'est moi qui m'excuse, j'aioublié de te dire que je repartais sur Rennes cette semaine :s
Voici donc le rapport :
ZHPFix v1.12.3099 by Nicolas Coolman - Rapport de suppression du 27/05/2010 17:40:57 Fichier d'export Registre : C:\ZHPExportRegistry-27-05-2010-17-40-57.txt Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr
Processus mémoire : C:\Documents And Settings\Propriétaire\Menu Démarrer\Programmes\Démarrage\wwwzuc32.exe => Fichier supprimé au reboot C:\Program Files\HbTools\Bin\4.8.2.0\HbtOEAddOn.exe => Fichier absent
Module mémoire : (Néant)
Clé du Registre : HKCU\Software\AskSearchAsst => Clé supprimée avec succès HKCU\Software\Every Toolbar => Clé supprimée avec succès O64 - Services: CurCS - (.not file.) - Panda Anti-Dialer (ComFiltr) => Clé absente O64 - Services: CurCS - (.not file.) - Panda CPoint Driver (cpoint) => Clé absente O64 - Services: CurCS - (.not file.) - Panda Net Driver [TDI Layer] (NETFLTDI) => Clé absente O64 - Services: CurCS - (.not file.) - Panda Software Controller (Panda Software Controller) => Clé absente O64 - Services: CurCS - (.not file.) - Panda anti-virus driver (PAVDRV) => Clé absente O64 - Services: CurCS - (.not file.) - Panda Function Service (PAVFNSVR) => Clé absente O64 - Services: CurCS - (.not file.) - Panda Process Protection Driver (PavProc) => Clé absente O64 - Services: CurCS - (.not file.) - Panda Process Protection Service (PavPrSrv) => Clé absente O64 - Services: CurCS - (.not file.) - Panda anti-virus service (PAVSRV) => Clé absente O64 - Services: CurCS - (.not file.) - Panda IManager Service (PSIMSVC) => Clé absente O64 - Services: CurCS - (.not file.) - Panda File Shield Driver (ShldDrv) => Clé absente
Valeur du Registre : (Néant)
Elément de données du Registre : (Néant)
Préférences navigateur : (Néant)
Dossier : (Néant)
Fichier : O4 - Global Startup: wwwzuc32.exe => Supprimé et mis en quarantaine c:\documents and settings\propriétaire\menu démarrer\programmes\démarrage\wwwzuc32.exe => Fichier supprimé au reboot
Logiciel : (Néant)
Script Registre : (Néant)
Master Boot Record : (Néant)
Autre : (Néant)
Récapitulatif : Processus mémoire : 2 Module mémoire : 0 Clé du Registre : 13 Valeur du Registre : 0 Elément de données du Registre : 0 Dossier : 0 Fichier : 2 Logiciel : 0 Master Boot Record : 0 Préférences navigateur : 0 Autre : 0
End of the scan | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Jeu 27 Mai 2010 - 23:40 | |
| Re-bonsoir matelot, Coup au but pour plusieurs choses, mais les miettes de panda sont toujours là (l'espèce est protégée, mais je ne pensais pas que ça valait aussi pour l'AV)
Télécharge TFC (de Old Timer) sur le bureau: http://www.geekstogo.com/forum/TFC-Temp-File-Cleaner-OldTimer-file187.html (Clique sur "download file", en bas de page)
•Double clique sur TFC.exe pour le lancer
•Clique sur le bouton Start et patiente quelques instants.
•Une fois le nettoyage terminé, ton pc va redémarrer. S'il ne le fait pas, redémarre le toi même pour terminer le nettoyage
Dis moi quand ce sera fait (pas de rapport à poster) A+ Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Ven 28 Mai 2010 - 10:33 | |
| Hey captaine ! Me revoilà, après avoir bien suivi toute les instructions. Dernière ligne du truc : Total Files Cleaned = 1 159.00 mb Waw trop un génie ce truc !! Mais ne sois pas jaloux... toi aussi tu es un génie Heu par contre 'tite précision : quand j'ai voulu redémarrer mon ordi, le redémarrage ne s'est pas fait de lui-même : j'ai fait redémarrer puis je suis partie, et quand je suie revenue voir s'il s'était bien redémarré, il était resté sur un écran tout bleu. Du coup je suis revenue plus tard, et c'tait toujours pareil. Il est bien resté 15 ou 20 minutes sur cet écran. Du coup, je l'ai éteint de moi-même et je l'ai rallumé à l'instant. Aucun message problématique ne m'est parvenu ! | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Ven 28 Mai 2010 - 14:45 | |
| - Citation :
- Waw trop un génie ce truc !!
Mais ne sois pas jaloux... toi aussi tu es un génie
Tu es trop gentille, Ne crie pas au génie trop souvent, je vais finir par y prendre goût Pour être sûr que tu n'as rien attrappé d'autre, peux tu me refaire un Gmer (en effet, le Zuc32 n'étais pas là lors du premier, j'aimerais être certain qu'il ne nous a pas fait des petits dans le dos) Clique ici pour télécharger Gmer sur ton bureau. - Ferme tous tes programmes et déconnecte toi d'internet.
- Désactive tes logiciels de sécurité (antivirus, antispyware, etc).
- Décompresse le fichier téléchargé sur ton bureau et double clique sur Gmer.exe pour le lancer.
- Utilisateur de Vista : effectue un clic droit sur gmer.exe et sélectionne "Exécuter en tant qu'administrateur".
Gmer peut te demander de lancer un scan, clique sur "no", puis clique sur l'onglet Rootkit/Malware. Sur la droite, vérifie que toutes les cases suivantes sont décochées "IAT/EAT" et "Show All". Clique sur le bouton Scan. Laisse Gmer travailler et ne touche plus à ton ordinateur. Patiente car le scan peut être long. A la fin du scan,clique sur le bouton "Save", pour enregistrer le rapport sur le bureau sous le nom "gmer.txt" puis copie/colle son contenu ici. Quitte Gmer et réactive tes logiciels de sécurité. Attention à ne rien tenter par toi même !!A tout de suite Michael | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Ven 28 Mai 2010 - 17:38 | |
| Attention, j'ai modifié les instructions Gmer | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Sam 29 Mai 2010 - 16:03 | |
| heu c'est normal qu'il ne trouve rien ou presque ?
Voila ce que j'obtiens :
GMER 1.0.15.15281 - http://www.gmer.net Rootkit scan 2010-05-29 16:02:41 Windows 5.1.2600 Service Pack 3 Running: gmer.exe; Driver: C:\DOCUME~1\PROPRI~1\LOCALS~1\Temp\uwloapog.sys
---- System - GMER 1.0.15 ----
SSDT F7C741DE ZwCreateKey SSDT F7C741D4 ZwCreateThread SSDT F7C741E3 ZwDeleteKey SSDT F7C741ED ZwDeleteValueKey SSDT F7C741F2 ZwLoadKey SSDT F7C741C0 ZwOpenProcess SSDT F7C741C5 ZwOpenThread SSDT F7C741FC ZwReplaceKey SSDT F7C741F7 ZwRestoreKey SSDT F7C741E8 ZwSetValueKey SSDT F7C741CF ZwTerminateProcess
---- Kernel code sections - GMER 1.0.15 ----
.text ntoskrnl.exe!_abnormal_termination + 428 804E2A94 4 Bytes CALL 9045F1DA
---- EOF - GMER 1.0.15 ---- | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Dim 30 Mai 2010 - 0:12 | |
| Bonsoir, En effet, ça ne me parait pas normal. Tu vas réessayer, en suivant bien les instructions modifiés (dans mon dernier message), et en le retéléchargeant; et avant de le lancer, renomme Gmer.exe (clic droit/renommer) en truc.exe par exemple A+ Michael | |
|
| |
sandwa Bibou
Nombre de messages : 40 Age : 33 Localisation : martigne Humeur : :( Date d'inscription : 23/04/2008
| Sujet: Re: infection (?) par Security tool Lun 31 Mai 2010 - 10:36 | |
| Je retourne à Rennes pour deux voire trois semaines; je suis désolée ! J'espere que tu seras toujours là pour moi d'ici là ! En tous cas merci, je ferai ca des que possible !
Porte toi bien, Sandra ! | |
|
| |
Michael Forest Formateur-Helper
Nombre de messages : 280 Age : 76 Localisation : Montargis (France) Date d'inscription : 21/03/2010
| Sujet: Re: infection (?) par Security tool Lun 31 Mai 2010 - 15:24 | |
| Bon vent, garde le cap, et tiens ta voile bordée. On verra tout ça quand tu rentreras au port A+ Michael | |
|
| |
Laddy Admin
Nombre de messages : 7927 Age : 46 Localisation : suisse Date d'inscription : 14/03/2008
| Sujet: Re: infection (?) par Security tool Mar 6 Juil 2010 - 7:06 | |
| Bonjour Sandwa,
le sujet est réouvert à ta demande.
| |
|
| |
Contenu sponsorisé
| Sujet: Re: infection (?) par Security tool | |
| |
|
| |
| infection (?) par Security tool | |
|