-
Compteur de contenus
5 537 -
Inscription
-
Dernière visite
-
Jours gagnés
1
Type de contenu
Profils
Forums
Blogs
Tout ce qui a été posté par Mark
-
[résolu ] Infection Vundo
Mark a répondu à un(e) sujet de Vilo dans Analyses et éradication malwares
Oh que si Même en boîte, ils sont très lourds donc une surcharge inutile pour la bdd du forum. Je dis "inutile" car une fois filtrés, on peut se passer des "Object is locked skipped" qui font 98% des rapports Bon je vous laisse bosser et vous souhaite bon WE ===== Details ===== Number of items = 192 Number of viruses found: 9 Number of infected objects: 16 Number of suspicious objects: 0 C:\Program Files\Norton Internet Security\Norton AntiVirus\QuarantineAC53AE7.exe ------> Trojan-Dropper.Win32.Delf.nh C:\Program Files\Norton Internet Security\Norton AntiVirus\QuarantineC1D76F2.exe ------> Virus.Win32.Virut.av C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\2D8C5427.tmp ------> Trojan-Downloader.Win32.Alphabet.gen C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\3BB7603B.dll ------> AdWare.Win32.SecToolBar.k skipped C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\3FB44B42.tmp ------> not-virus:Hoax.Win32.Renos.hx C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\40FE5BD7.dll ------> Trojan.Win32.Obfuscated.lf C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\411257C1.tmp ------> Trojan-Downloader.Win32.Alphabet.gen C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\536C1108 ------> Trojan-Downloader.Win32.ConHook.hl C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\543B2EAC.tmp ------> not-virus:Hoax.Win32.Renos.hx C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\54B100BF.tmp ------> not-virus:Hoax.Win32.Renos.hx C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\55926732.tmp ------> Trojan-Downloader.Win32.Alphabet.gen C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\5611373B.tmp ------> Trojan-Downloader.Win32.Alphabet.gen C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\5C987CF0 ------> Trojan-Downloader.Win32.Tiny.id C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\5E6771C8.dll ------> Trojan.Win32.Dialer.qn C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\63330715 ------> Trojan-Downloader.Win32.ConHook.hl C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\6C27293B ------> Trojan-Downloader.Win32.Tiny.id -
[résolu ] Infection Vundo
Mark a répondu à un(e) sujet de Vilo dans Analyses et éradication malwares
Tu relances Kaspersky ? Nooooooon..! (je blague...). Juste à mettre le rapport en <codebox> et je ferai le ménage. Sans blague, les rapports sont tellement gros que je vais les supprimer lorsque tout sera terminé ; ça ralentit la navigation dans cette discussion à l'extrême... Bonne continuation et bon WE à vous deux -
[résolu ] Infection Vundo
Mark a répondu à un(e) sujet de Vilo dans Analyses et éradication malwares
Merci, Vilo Les balises à utiliser dans un tel cas sont : <codebox> </codebox> (remplacer les "<>" par des "[]"). Voici le détail filtré : ====================== ===== Details ===== Number of items = 198 Number of viruses found: 11 Number of infected objects: 22 Number of suspicious objects: 0 C:\Program Files\Norton Internet Security\Norton AntiVirus\QuarantineC1D76F2.exe ------> Virus.Win32.Virut.av C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\2D8C5427.tmp ------> Trojan-Downloader.Win32.Alphabet.gen C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\3BB7603B.dll ------> AdWare.Win32.SecToolBar.k skipped C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\3FB44B42.tmp ------> not-virus:Hoax.Win32.Renos.hx C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\40FE5BD7.dll ------> Trojan.Win32.Obfuscated.lf C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\411257C1.tmp ------> Trojan-Downloader.Win32.Alphabet.gen C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\536C1108 ------> Trojan-Downloader.Win32.ConHook.hl C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\543B2EAC.tmp ------> not-virus:Hoax.Win32.Renos.hx C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\54B100BF.tmp ------> not-virus:Hoax.Win32.Renos.hx C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\55926732.tmp ------> Trojan-Downloader.Win32.Alphabet.gen C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\5611373B.tmp ------> Trojan-Downloader.Win32.Alphabet.gen C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\5C987CF0 ------> Trojan-Downloader.Win32.Tiny.id C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\5E6771C8.dll ------> Trojan.Win32.Dialer.qn C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\63330715 ------> Trojan-Downloader.Win32.ConHook.hl C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\6C27293B ------> Trojan-Downloader.Win32.Tiny.id C:\System Volume Information\_restore{2B37E09E-337E-45BF-A187-FBE953F78AD9}\RP549\A0104527.exe ------> Trojan-Dropper.Win32.Delf.nh C:\System Volume Information\_restore{2B37E09E-337E-45BF-A187-FBE953F78AD9}\RP579\A0107219.exe ------> P2P-Worm.Win32.Kapucen.b C:\System Volume Information\_restore{2B37E09E-337E-45BF-A187-FBE953F78AD9}\RP579\A0107220.exe ------> P2P-Worm.Win32.Kapucen.b C:\System Volume Information\_restore{2B37E09E-337E-45BF-A187-FBE953F78AD9}\RP579\A0107221.exe ------> P2P-Worm.Win32.SpyBot.gz C:\System Volume Information\_restore{2B37E09E-337E-45BF-A187-FBE953F78AD9}\RP579\A0107222.exe ------> P2P-Worm.Win32.Kapucen.b C:\System Volume Information\_restore{2B37E09E-337E-45BF-A187-FBE953F78AD9}\RP579\A0107223.exe ------> P2P-Worm.Win32.Kapucen.b C:\System Volume Information\_restore{2B37E09E-337E-45BF-A187-FBE953F78AD9}\RP579\A0107224.exe ------> P2P-Worm.Win32.Kapucen.b ======================== @+ -
Bonsoir Lubiki En regardant les rapports, je constate que tu as installé IE7 alors que nous étions en phase d'investigation. AntiVir n'avait rien détecté à priori, donc je me demande... si l'installation d'IE7 a été faite selon les règles. Pour ce qui est de surfer sans antivirus, tout dépend ! Je connais des gens qui surfent sans protections et ne choppent strictement rien ; je ne le conseille à personne cependant, car il faut une éthique de surf tout à fait étanche et de bonnes connaissances générales en sécu. Si vous êtes allés sur des sites de cracks ou autres à risque sans protections... bang... ou si vous avez téléchargé sur P2P ou bien des petits freewares n'importe où... enfin bref, très facile de se faire infecter lorsque l'on combine surf risqué + aucun antivirus. =============== Cela dit, j'aimerais que tu regardes dans un dossier et me dises ce qui s'y trouve. Ce dossier est caché donc tu devras modifier quelques paramètres afin de le voir : Ferme tous les programmes/fenêtres afin de te retrouver sur le Bureau. Double-clique sur le Poste de Travail Du menu Outils, clique Options des dossiers... De la nouvelle fenêtre, choisis l'onglet Affichage Sous Fichiers et dossiers, coche la case Afficher le contenu des dossiers système Sous Fichiers et dossiers cachés, clique le bouton Afficher les fichiers et dossiers cachés Décoche la case Masquer les extensions des fichiers dont le type est connu Décoche la case Masquer les fichiers protégés du système d'exploitation (recommandé) Clique le bouton Appliquer puis OK. Ferme les fenêtres du Poste de travail. Maintenant, navigue vers ce dossier : C:\Documents and Settings\Kikin\UserData << ..et dis-moi si tu connais son contenu. S'il y a des trucs bizarres et inconnus, je te prescrirai une manip qui nous listera tout ce qu'il y a dedans.. Petite question : il existe un autre compte utilisateur sur le PC (Kikin) ? As-tu essayé de te loguer avec (en mode Normal) ? @+
-
Bonjour Zonk, Bruce, John ; Zonk : cette infection est bien connue et très aggressante pour les users (popups incessants) ; elle est également coriace (rootkit) et aucun scanneur commercial ne peut la virer. L'important ici est de déloger l'infection rapidement ; pour le pré-nettoyage, changement d'antivirus et passage d'antispywares, ça peut attendre à la seconde phase... John peut poster son rapport HijackThis et ensuite la bête pourra être virée. Bonne continuation...
-
Bonjour Lubiki ComboFix a viré de lourdes infections... y compris des rootkits et des trojans qui peuvent installer des portes dérobées. AntiVir en a viré aussi. Ce genre d'infection peut causer des dégâts, malheureusement, et je ne sais pas si nous pouvons remettre le PC dans un état de marche convenable suite à un tel assaut. On peut essayer de passer un outil antivirus : ========================= Deux progs à télécharger du PC sain et qui devront être lancés sur ton PC : Je te prie d'imprimer ces instructions ou de les coller dans un fichier texte car tu en auras besoin. 1) Télécharge ATF Cleaner par Atribune 2) Télécharge Dr.Web CureIt de ce lien : ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe ========================= Voici la marche à suivre (sur ton PC) : 1) Pour ATF-Cleaner : Double-clique ATF-Cleaner.exe afin de lancer le programme. Sous l'onglet Main, choisis : Select All Clique sur le bouton Empty Selected Si tu utilises le navigateur Firefox : Clique Firefox au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Si tu utilises le navigateur Opera : Clique Opera au haut et choisis : Select All Clique le bouton Empty Selected NOTE : Si tu veux conserver tes mots de passe sauvegardés, clique No à l'invite. Clique Exit, du menu prinicipal, afin de fermer le programme. Pour obtenir du Support technique, double-clique l'adresse électronique située au bas de chacun des menus. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 2) Pour Dr.Web CureIt : Double clique drweb-cureit.exe et accepte le lancement du "Express Scan" Ce scan rapide permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton "Yes" à l'invite. Lorsque le scan rapide est terminé, Clique sur Options >> Change settings; Choisis l'onglet "Scan", et décoche "Heuristic analysis". De retour à la fenêtre principale : active (coche) les lecteurs qui doivent être scannés; Choisis tous les lecteurs. Un point rouge t'indiquera les lecteurs sélectionnés. Clique la flèche verte sur la droite, et le scan débutera. Clique Yes to all à l'invite de "cure/move" le fichier détecté. Lorsque le scan sera complété, regarde si tu peux cliquer sur cet icône, adjacent aux fichiers détectés : Si oui, alors clique dessus et ensuite clique sur l'icône "Next", au dessous, et choisis Move incurable, tel que présenté dans cette image: Du menu principal de l'outil, au haut à gauche, clique sur le menu File et choisis Save report list Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv Ferme Dr.Web Cureit Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage. Essaie le mode Normal à nouveau Suite au redémarrage, si mode Normal toujours inaccessible, colle le fichier du rapport sur ta clé USB (ou CD/DVD) puis viens le poster ici, dans ta prochaine réponse. Bon succès...
-
[résolu ] Infection Vundo
Mark a répondu à un(e) sujet de Vilo dans Analyses et éradication malwares
Bonjour vous deux ; Je passais par là et j'ai constaté que le rapport de Kaspersky était... énorme ! J'ai remis le rapport dans une boîte, car dérouler tout ça donnerait la migraine à quiconque oserait tout regarder... Je voulais tester quelque chose et j'en ai profité pour filtrer et réorganiser le rapport un brin. Voici donc l'essentiel : ========================= ===== Infected Objects ===== C:\Program Files\Norton Internet Security\Norton AntiVirus\QuarantineC1D76F2.exe C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\2D8C5427.tmp C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\3BB7603B.dll C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\40FE5BD7.dll C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\411257C1.tmp C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\536C1108 C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\55926732.tmp C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\5611373B.tmp C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\5C987CF0 C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\5E6771C8.dll C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\63330715 C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\6C27293B E:\Travail Jérôme\Sécurité\backup-20071209-233727-808.dll ===== Details ===== Number of items = 23 Number of viruses found: 12 Number of infected objects: 23 Number of suspicious objects: 0 C:\Program Files\Norton Internet Security\Norton AntiVirus\QuarantineC1D76F2.exe ------> Virus.Win32.Virut.av C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\2D8C5427.tmp ------> Trojan-Downloader.Win32.Alphabet.gen C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\3BB7603B.dll ------> AdWare.Win32.SecToolBar.k skipped C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\3FB44B42.tmp ------> not-virus:Hoax.Win32.Renos.hx C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\40FE5BD7.dll ------> Trojan.Win32.Obfuscated.lf C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\411257C1.tmp ------> Trojan-Downloader.Win32.Alphabet.gen C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\536C1108 ------> Trojan-Downloader.Win32.ConHook.hl C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\543B2EAC.tmp ------> not-virus:Hoax.Win32.Renos.hx C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\54B100BF.tmp ------> not-virus:Hoax.Win32.Renos.hx C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\55926732.tmp ------> Trojan-Downloader.Win32.Alphabet.gen C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\5611373B.tmp ------> Trojan-Downloader.Win32.Alphabet.gen C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\5C987CF0 ------> Trojan-Downloader.Win32.Tiny.id C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\5E6771C8.dll ------> Trojan.Win32.Dialer.qn C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\63330715 ------> Trojan-Downloader.Win32.ConHook.hl C:\Program Files\Norton Internet Security\Norton AntiVirus\Quarantine\6C27293B ------> Trojan-Downloader.Win32.Tiny.id C:\System Volume Information\_restore{2B37E09E-337E-45BF-A187-FBE953F78AD9}\RP549\A0104527.exe ------> Trojan-Dropper.Win32.Delf.nh C:\System Volume Information\_restore{2B37E09E-337E-45BF-A187-FBE953F78AD9}\RP579\A0107219.exe ------> P2P-Worm.Win32.Kapucen.b C:\System Volume Information\_restore{2B37E09E-337E-45BF-A187-FBE953F78AD9}\RP579\A0107220.exe ------> P2P-Worm.Win32.Kapucen.b C:\System Volume Information\_restore{2B37E09E-337E-45BF-A187-FBE953F78AD9}\RP579\A0107221.exe ------> P2P-Worm.Win32.SpyBot.gz C:\System Volume Information\_restore{2B37E09E-337E-45BF-A187-FBE953F78AD9}\RP579\A0107222.exe ------> P2P-Worm.Win32.Kapucen.b C:\System Volume Information\_restore{2B37E09E-337E-45BF-A187-FBE953F78AD9}\RP579\A0107223.exe ------> P2P-Worm.Win32.Kapucen.b C:\System Volume Information\_restore{2B37E09E-337E-45BF-A187-FBE953F78AD9}\RP579\A0107224.exe ------> P2P-Worm.Win32.Kapucen.b E:\Travail Jérôme\Sécurité\backup-20071209-233727-808.dll ------> Trojan-Downloader.Win32.Zlob.fed ============================== @++ -
Bonsoir à vous deux, et désolé pour la petite intrusion... Ce message est uniquement pour WawaSeb : As-tu demandé la permission à Deckard pour héberger son outil (Deckard's System Scanner) ? Et renommé par surcroît ? Si "non", je te prie d'éditer ton post où tu le suggères et d'en retirer le lien s'il te plait. Tu devras également le retirer du serveur. Si tu héberges d'autres progs sous les mêmes conditions, tu sais quoi faire. Si tu as les permissions nécessaires ; chapeau et mes excuses.. Si tu croyais bien faire pour aider en hébergeant le prog sous un autre nom, ça ne se fait pas de cette façon... Tu devrais plutôt l'uploader sur un site de téléchargements temporaires - avec son nom réel et crédit à l'auteur dans ton post. C'est l'éthique de notre boulot et le respect envers les développeurs, rien de plus... Bonne continuation à vous deux ===========================
-
Bonsoir Lubiki ; Pas jojo tout ça... As-tu essayé de démarrer le PC en mode Sans Échec ? Si cela fonctionne, tu pourras à tout le moins installer des petits progs et les lancer. Tu devras bien sûr télécharger depuis un ordi sain, mettre ça sur clé USB (ou CD/DVD si pas de clé) et ensuite installer le tout sur le PC infecté. Pour accéder au mode Sans Échec : démarre l'ordi et tout de suite après le "Bip" (chargement du BIOS) tu tapotes la touche F8. Un écran avec choix de démarrages apparaîtra ; choisis "Mode sans échec" (avec les flèches du clavier) et valide avec "Entrée". Choisis la session "Administrateur" car ce sera plus simple pour lancer les outils directement du Bureau.. Si cela fonctionne, reviens lire ici depuis le PC sain et imprime les instructions pour ComboFix. Télécharge l'outil et colle-le dans une clé USB. Reviens sur le PC infecté et lance ComboFix à partir du Bureau de la session Administrateur. Si ça fonctionne, essaie de redémarrer en mode Normal. Si tu ne résussis pas à accéder au mode Normal, colle le rapport de ComboFix (C:\ComboFix.txt) sur la clé USB et reviens le poster ici depuis le PC sain. @+
-
Bonjour Lubiki ; ComboFix n'a pas fait un scan complet et je crois savoir pourquoi : c'est le nom de ton compte utilisateur qui pose problème avec le "&" et les espaces je crois. Pour y remédier, prière de déplacer (ou "Couper/Coller") ComboFix.exe directement à la racine du lecteur, donc à C:\ComboFix.exe Lance l'outil à nouveau à partir de cet emplacement, puis poste le rapport généré. Merci et @+
-
Bonjour Lubiki ; Pour la manip avec SDFix : tu étais bien en mode Sans Échec lorsque tu as tenté de le lancer ? Si tu étais en Normal, prière de recommencer s'il te plait, sinon fait ce qui suit : ======================= Télécharge ComboFix (par sUBs) de ce lien : http://download.bleepingcomputer.com/sUBs/ComboFix.exe - Sauvegarde le sur ton Bureau. - En mode Normal, double-clique sur Combofix.exe et suis les instructions. - Lorsqu'il aura terminé, un rapport apparaîtra à l'écran (fichier texte). Poste (copie/colle) le contenu du rapport dans ta prochaine réponse. Le rapport est également sauvegardé ici : C:\ComboFix.txt (où C: est le lecteur système). **Note : Ne pas cliquer dans la fenêtre de Combofix durant l'analyse ; ceci provoquerait le gel du programme. @+
-
[résolu ] Infection Vundo
Mark a répondu à un(e) sujet de Vilo dans Analyses et éradication malwares
Salut à vous deux Juste de passage. Bruce : le log HJT est complet, mais... >> Version pré-historique qui ne liste rien passé les O16... Ça fait des lunes que je ne l'avais pas vu celui-là Bonne continuation à vous deux. Je sors >>>>>>>>>>>>>>>>> -
Bonjour ivy Question tout à fait pertinente. Pas de soucis cette fois-ci, car ComboFix ne fera pas redémarrer ton ordi avec l'opération qu'on lui fait faire. Le rapport devrait nous éclairer et ensuite nous passerons à l'attaque sur les fichiers ciblés (l'outil devra redémarrer à ce moment-là, mais ce sera Ok..). Pour clarifier : envoie les fichiers avec le SFP, puis passe le CFScript prescrit par Charly et poste le rapport généré. Ne redémarre pas l'ordi avant d'avoir de nos nouvelles. Voilou, voilà. Bonne journée à toi !
-
Juste pour faire avancer le schmil... alors que je te vois sur le forum.. manu : le rapport de ComboFix est incomplet. Pourrais-tu le copier/coller en entier s'il te plait ? C'est bien ComboFix.txt Merci..
-
Bonsoir Lubiki, Zonk ; Merci pour les rapports Tu as une belle infection, effectivement. Quelques détails ici : http://www.symantec.com/fr/fr/security_res...-99&tabid=2 La ligne incriminée : O4 - HKLM\..\Run: [Windows Logon Application] C:\WINDOWS\system32\logon.exe Il s'agit d'un trojan qui installe une porte dérobée et qui communique via IRC (il fait tout cela lui-même, sans que tu ne le saches..). Je te poste une procédure, car ça urge : ============================= Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau. ***Si le lien ne fonctionne pas, essaie celui-ci : http://download.bleepingcomputer.com/andymanchesta/SDFix.exe *** Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici : Redémarre ton ordinateur Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde). A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître. Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée". Choisis ton compte. Déroule la liste des instructions ci-dessous : Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.cmd pour lancer le script. Appuie sur Y pour commencer le processus de nettoyage. Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer. Appuie sur une touche pour redémarrer le PC. Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers. Après le chargement du Bureau, l'outil terminera son travail et affichera Finished. Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau. Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt. Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis ! N.B.: - Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil. - Andy fait plusieurs mises à jour, souvent plus d'une par jour... N'hésitez donc pas à demander de télécharger une nouvelle version lorsque le nettoyage dure et que l'outil ne semble pas tout voir. ~~~~~~~~~~~~~~~~~~ Note : Zonk pourra possiblement terminer, car la bête devrait être éradiquée suite au passage de SDFix. Sinon je repasserai... Bon succès
-
Bonjour ivy et Charly Ah ce qu'il était beau ton rêve... Ne t'en fais surtout pas, car tu coopères à merveille. Cette bestiole, tu l'auras deviné, a été codée pour nous faire suer. ComboFix ne "voit" pas le fichier non plus, lorsqu'on consulte les rapports donc il est très bien protégé. Je ne sais pas si Charly sera là tôt aujourd'hui ; n'attends surtout pas sur le forum..lol. Il aura sûrement une autre manip à te faire essayer. D'ici là, prière de fermer l'outil IceSword et de ne pas tenter quoique ce soit avec... par prudence. À Bientôt !
-
Merci ivy Un autre ? Si... facile et rapide celui-là : ======================= Télécharge CatchMe (de GMER) de ce lien : http://www.gmer.net/catchme.exe - Sauvegarde-le sur ton Bureau. - Double-clique le fichier afin de lancer l'outil ; laisse-le scanner. - Un rapport apparaîtra (fichier texte) ; colle son contenu ici s'il te plaît. Nous devrons analyser tout cela, donc je ne sais pas quand nous pourrons te donner la prochaine manip à effectuer ; n'attends pas sur le forum si ça te semble long. Merci @+
-
Bonsoir ivy Je crois que Charly est au boulot, donc je vais te demander un autre scan s'il te plaît ; cette infection est très complexe et nous devons couvrir tous les angles : ======================= Télécharge SREng (par Smallfrogs) de ce lien: http://www.kztechs.com/eng/download.html Extrais tout son contenu sur ton Bureau Du dossier sreng2 qui se trouve maintenant sur ton Bureau, double clique sur SREng.exe afin de lancer l'outil Clique sur Smart Scan Ensuite, clique sur le bouton [scan] Lorsque complété, clique sur le bouton [save Reports] Sauvegarde le rapport sur ton Bureau Copie/colle le contenu du fichier SREnglLOG.log dans ta prochaine réponse, s'il te plaît. Merci... et @+
-
PC qui redémarre systématiquement...
Mark a répondu à un(e) sujet de karo02 dans Analyses et éradication malwares
Désolé j'ai dû m'absenter quelques minutes... Disons que si tu pouvais nous donner le message avec codes d'erreurs en entier, je pourrais peut-être cibler le problème, mais pas de garanties. Ça semble être matériel en tout cas. Selon la nature, possible qu'un formatage ne fasse pas le boulot, mais là encore je ne peux rien affirmer. Je devrai m'absenter pour quelques heures (je suis de l'autre côté de l'Atlantique donc heure de la bouffe ici ). C'est comme tu veux : reviens-nous avec le code d'erreur complet et nous pourrons tenter quelques recherches, ou bien tu plonges dans un formatage tout de suite. Petit ajout : lorsque tu réinstalleras XP, choisis de formater en NTFS plutôt qu'en FAT32 ; c'est plus sécuritaire de cette façon. @++ -
PC qui redémarre systématiquement...
Mark a répondu à un(e) sujet de karo02 dans Analyses et éradication malwares
Petite dernière question ? L'écran bleu apparait-il juste après le chargement du BIOS ? Ou bien Windows tente de se charger pendant un moment puis donne l'écran bleu juste avant le choix de compte ? Pas de message d'erreur ? Si c'est immédiat, pas nécessaire d'attendre ma réponse pour le formatage...lol XP ne peut être installé que sur une seule machine avec une clé de produit, donc ton XP Pro ne peut être activé sur un autre PC... @++ -
PC qui redémarre systématiquement...
Mark a répondu à un(e) sujet de karo02 dans Analyses et éradication malwares
Zut... Bon... un dernier truc tout simple ? Si jamais ton compte était corrompu, un nouveau pourrait peut-être marché ; va dans le Panneau de config >> Comptes d'utilisateurs >> et créé un nouveau compte avec droits d'administrateur. Ensuite, essaie de redémarrer en Normal en utilisant ce nouveau compte.. Je dois filer pour quelques heures. Ah oui je viens d'échanger avec Charly : si ton problème de charnière cause un réel problème à Windows, il est possible qu'un formatage ne règle pas ton problème actuel. Au pire, tu formates et tu verras ; si ça ne fonctionne pas, faudra voir à le faire réparer ou tout simplement le remplacer. @++ -
PC qui redémarre systématiquement...
Mark a répondu à un(e) sujet de karo02 dans Analyses et éradication malwares
Dommage pour le mode Normal... Merci pour les précisions quant au vieux portable. Je ne m'y connais pas assez côté matériel, mais ton problème de charnière est bien réel pour ce qui est du contact ; Windows ne voit plus l'écran et doit réinstaller...hmmm... On va essayer un truc simple ; si ça ne donne pas de résultats probants, je devrai m'informer pour la suite (j'en discuterai avec Charly). En espérant que cela fonctionne en Sans Échec. Avec ton CD de XP Home sous la main (pas l'autre), fais ceci : - Clique sur "Démarrer" >> "Exécuter..." >> tape cmd puis clique Ok - Dans la fenêtre DOS qui apparait, tape ceci : sfc /scannow (**Note l'espace avant le "/") - Appuie sur "Entrer" - Windows va vérifier les fichiers système et réparer/remplacer si besoin. Possible qu'il te demande d'insérer le CD ; fais-le s.t.p. Redémarre lorsque terminé (en Normal si possible..). Bon succès -
PC qui redémarre systématiquement...
Mark a répondu à un(e) sujet de karo02 dans Analyses et éradication malwares
Bien joué une fois de plus ! Ne t'inquiète pas pour le fichier, tout est bon de ce côté. L'infection coriace semble morte ; cependant, il m'est impossible de le confirmer sans redémarrage en mode Normal. Ça ne veut toujours pas pour le mode Normal ? Pour McAfee : oui il faut le désinstaller en entier si tu préfères conserver AntiVir (ce que je te conseille), mais je ne suis pas certain que tu puisses le faire du mode Sans Échec; essaie tout de même, on verra... Dernière petite question : as-tu ton CD de XP sous la main ? @++ -
PC qui redémarre systématiquement...
Mark a répondu à un(e) sujet de karo02 dans Analyses et éradication malwares
Bonsoir Karo En attendant le retour de Charly, si tu me permets... Il semble que le Service néfaste ait été viré. Je te propose une petite manip toute simple pour le moment : Lance HijackThis et clique "Scan" puis coche les lignes suivantes : -------------------------------- R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O2 - BHO: (no name) - {87EFE72E-ED21-48B1-B465-4DEA4ABA77E0} - c:\windows\system32\ckbackb.dll O4 - Global Startup: MS_update_0610_KB72306.exe O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe (file missing) ------------------------------- Ferme ton navigateur, puis clique "Fix checked". Ferme HijackThis. Recherche et supprime le fichier suivant : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\Démarrage\MS_update_0610_KB72306.exe *Tu peux y accéder facilement en cliquant sur "Démarrer" >> "Tous les programmes" >> "Démarrage" >> clic droit sur MS_update_0610_KB72306.exe et supprime. Redémarre le PC, puis scan avec HijackThis et poste le nouveau rapport, s'il te plait. As-tu tenté de désinstaller McAfee ? Bien joué avec IceSword et KillAFile @+ -
PC qui redémarre systématiquement...
Mark a répondu à un(e) sujet de karo02 dans Analyses et éradication malwares
Bon matin Charly et Karo ; Je suis désolé pour mon apparition qui n'en fût pas une en soirée hier... j'ai dû quitter avant de terminer mon post J'ai fait des recherches de mon côté sur cette bestiole, qui peut se présenter sous deux visages. Sans entrer dans les détails techniques, semblerait que celle-ci puisse peut-être se traiter avec le CFScript proposé par Charly, sans utiliser GMER. On verra si ça fonctionne comme cela, avec possibilité d'utiliser GMER par la suite si résistance. Karo : tu peux donc effectuer les manips prescrites par Charly, mais saute l'étape 2. Autre truc important que tu dois faire pour aider ComboFix : désactive les deux antivirus (McAfee et AntiVir) avant de lancer l'outil lors de l'étape 3. Tu peux désactiver ces programmes via un clic droit sur leur icône près de l'horloge, puis désactive les protections. Après les manips, tu pourras faire le choix de celui que tu veux conserver puis tu désinstalleras l'autre. Si GMER devient nécessaire par la suite, je te refile une astuce pour ajuster ta résolution d'écran en mode Sans Échec : - Du mode Sans Échec, fais un clic droit sur un espace vide (libre) du Bureau et choisis "Propriétés" - Choisis l'onglet "Paramètres" - Ajuste la résolution à 1024 X 768 (ou supérieure selon tes préférences) - **Ne clique pas "Appliquer" ni "Ok" pour l'instant** - Clique plutôt sur le bouton "Avancé" - Assure-toi que "Appliquer les nouveaux paramètres d'affichage sans redémarrer" est activé - Clique "Ok". Voilà. Bon succès