-
Compteur de contenus
5 537 -
Inscription
-
Dernière visite
-
Jours gagnés
1
Type de contenu
Profils
Forums
Blogs
Tout ce qui a été posté par Mark
-
pop up intempestif et rapport de hijack this
Mark a répondu à un(e) sujet de jeje78 dans Analyses et éradication malwares
Allons-y : Modifie ces options afin de bien voir les fichiers/dossiers cachés : - Lance l'Explorateur Windows (clic-droit sur "Démarrer" >> "Explorer") - Clique le menu "Outils" >> "Options des dossiers..." >> onglet "Affichage" - Coche "Afficher le contenu des dossiers système" - Active "Afficher les fichiers et dossiers cachés" - Décoche "Masquer les extensions des fichiers dont le type est connu" - Clique Ok ~~~~~~~~~~~~~~~~~~~~ Clique sur "Démarrer" >> "Exécuter" et tape cmd puis clique Ok. - À l'invite de commande, tape ces trois lignes en prenant soin de valider avec "[Entrée]" après chacune: sc stop "Aol Software" [Entrée] sc delete "Aol Software" [Entrée] exit [Entrée] À l'aide de l'Explorateur Windows, recherche et supprime ce fichier (si trouvé) : C:\WINDOWS\smss.exe << **Faire très attention à l'emplacement de ce fichier !! car celui situé dans le dossier C:\Windows\System32 est légitime ! Ferme l'Explorateur. ======================== Prière d'imprimer ces instructions, ou de les coller dans un fichier texte, pour lecture durant ce fix. Regarde bien la note au bas, avant de débuter. Télécharge Look2Me-Destroyer.exe (par Atribune) sur ton Bureau. Ferme toutes les fenêtres actives avant de passer à l'étape suivante. Double-clique Look2Me-Destroyer.exe afin de lancer l'outil. Coche Run this program as a task Un message s'affichera, te disant ceci : "Look2Me-Destroyer will close and re-open in approximately 1 minute". Clique OK Il se relancera après la minute, puis clique sur le bouton Scan for L2M; les icônes de ton Bureau vont disparaître : c'est normal. Lorsque le scan termine, clique sur le bouton Remove L2M Un message Done Scanning apparaîtra, clique OK. Un nouveau message s'affichera : Done removing infected files! Look2Me-Destroyer will now shutdown your computer; clique OK. Ton PC va maintenant s'éteindre. Démarre ton PC normalement. Colle le rapport généré (Look2Me-Destroyer.txt), situé sur le Bureau, ainsi qu'un nouveau rapport HijackThis! dans ta prochaine réponse. *Si Look2Me-Destroyer ne se relance pas automatiquement après la minute, redémarre et essaie à nouveau. Bon succès -
pop up intempestif et rapport de hijack this
Mark a répondu à un(e) sujet de jeje78 dans Analyses et éradication malwares
Bonsoir jeje78, et bienvenu sur Zeb Sécu Je prépare une procédure. De retour dans 10 minutes ! -
Rebonjour tout le monde J'aimerais ajouter quelques derniers commentaires, si vous me permettez ; Laurent, tu n'es obligé de cesser l'aide aux internautes, et voici pourquoi (selon moi) : - Chaque forum a sa charte (et parfois des sous-chartes) qui indique aux visiteurs que l'aide reçue provient de bénévoles qui font de leur mieux, selon leurs connaissances. - L'Internet permet à n'importe qui d'aller n'importe où, et de choisir le forum qui pourra aider. - Les outils hyper connus ont été conçus soigneusement, avec des protections efficaces. Les bavures sont possibles, mais les risques de dégâts sont minimisés (je vais rester vague sur ce sujet - désolé..). - Un visiteur de forum pourra juger de la qualité du service en lisant des topics et en consultant la charte. Si l'administration d'un forum accepte que des bénévoles de moindre niveau aident (relativement parlant), ben les visiteurs devront faire avec ou aller ailleurs. - Il n'y a pas de police qui surveille qui analyse les rapports HijackThis!, ou comment ils le font ; trop de forums, pas assez de ressources qualifiées. Sauf... sur les forums avec équipes formées (ou en formation). Quand des gens solides joignent un forum sécu où le niveau d'aide est à améliorer, ben ces mêmes gens vont habituellement créer un nouveau cadre de travail au sein de ce forum, lentement mais sûrement. - Si tu reconnais ne pas être qualifié pour le job, mais le forum te permet d'aider, ben tu peux aider au mieux de tes connaissances. Si ta conscience te perturbes, tu as deux choix : 1) Mets une note/mise en garde dans ta signature qui indique ton niveau - selon ton inspiration du moment, ou 2) Hausse ton niveau avec de la formation. - Plusieurs d'entre nous sommes autodidactes à la base ; rien de mal à ça !! - Si les gens moins qualifiés en analyse malware savent respecter leurs limites, les dangers pour le visiteur sont grandement réduits (dangers de bouziller un PC..). Savoir dire : "Cette infection dépasse mes compétences, donc je te suggère de visiter un forum où des gens bien formés pourront te guider"... (tu vois le genre). Je termine avec ceci, concernant une demande que tu as faite plus haut (post #26) : C'est quoi cette demande ? Relis-la bien s'il te plaît, avant de lire mes commentaires. Quand tu postes sur un forum, tu reçois de l'aide d'un bénévole qui décide/accepte de te répondre. Si tu débarques sur Zeb Sécu, par exemple; ben si le bénévole éprouve des difficultés, il pourra consulter des collègues. Travail d'équipe !!!!!!!! Nous sommes tous/toutes bénévoles, et avons tous/toutes des disponibilités différentes. Tu veux le meilleur ?... ben il/elle est là derrière... Si un bénévole reçoit une demande spéciale (ça arrive), ben elle sera souvent refusée, tout simplement. Si refus, le visiteur recevra de l'aide de première qualité quand même (l'équipe est toujours là...). Comment veux-tu former des gens s'ils ne peuvent pas appliquer leurs connaissances en "Live" ?? Impossible... si y a juste les tops qui répondent, comme tu le voudrais. Cette mentalité va à l'encontre de qui nous sommes - tu devrais le savoir - alors on oublie ça ! Note: si cette discussion n'était qu'une perte de temps, je ne posterais pas... alors je ne veux plus l'entendre celle-là, s'il te plaît (ça peut devenir insultant à la longue...). Mais là c'est terminé pour moi, car je crois que nous avons fait le tour de la question. Bon Dimanche à toutes/tous
-
Salut Papo, GPRC, tout le monde ; Papo : je crois que si tu as un CD de restau, tu devrais booter avec et faire le formattage à partir de celui-ci, puis réinstaller XP Familial. Assure-toi de spécifier le formatage lors de la procédure, afin de tout effacer la partition C: (qui devrait être la partition système). Bon succès
-
Bonjour Laurent, Gérard, tout le monde (coucou Méga ); Je vais tenter de répondre à ta "toute simple question", du moins celle que j'ai perçue : Tu vois un log avec infection "A" ; tu as trouvé - par recherches - que le tool "X" tue cette infection. Parfait, tu passes "X" et le visiteur est clean/heureux. Le lendemain, tu aides visiteur avec infection "A" présente ; Yes, tu sors "X" et puis quoi ? Marche pas.. C'est ici que les choses se compliquent. "X" ne marche pas parce que l'infection "B" est présente et bloque l'outil "X" - ce que tes recherches ne peuvent clairement t'indiquer. On complique un peu plus... l'infection "B" est présente mais pas visible dans les rapports générés par les outils courants (HijackThis!, Ad-Aware, SpyBot, antivirus, etc..). Zut. Comment faire pour l'identifier alors ? Demander des scans précis, avec outils peu courants, selon la présentation et les symptômes. D'où nous viennent les astuces ? De gens qui testent les infections quotidiennement. Nous voyons beaucoup de bécanes infectées par "A", "B", "C" et "D". Tu trouveras - en recherche - des tools pour chacune, probablement, mais tu ne peux pas prescrire la bonne séquence à moins de bien connaître les infections... En conclusion, et comme le dit Gérard, il n'y a pas de solution/réponse toute simple à ta question ! Tu pourrais me demander de regarder un log HijackThis! tout de suite, et je pourrais te dire : "Ok Laurent, y a Smitfraud + Look2Me + Qoologic + DollarRevenue >> voici la technique"... et demain, avec un autre visiteur qui semble infecté par les mêmes bestioles, ça sera autrement car l'infection "D" a muté et l'outil a été modifié, ou bien l'infection "W" est présente mais quasi invisible, et bouzille les outils. J'espère que ces petites explications ont fait un peu de lumière sur toute la complexité de cette lutte... @+
-
Charly, et merci ! T'es plus rapide que moi sur la gachette Oui, bon courage à toi GPRC.. et surtout ne laisse pas le PC connecté au net (celui qui est infecté).
-
Bonjour GPRC, papo GPRC : tu aurais dû poster dans ta discussion initiale, mais bon c'est pas archi grave. Liegeois attendra une réponse dans l'autre topic par contre.. Ce que tu décris n'est pas jojo.. et je m'explique. Goldun.k installe un keylogger qui dérobe les mots de passe et toute information de transactions bancaires / cartes de crédits ; il s'installe souvent avec un rootkit - qui le protège de façon farouche et qui peut être indétectable. Le ShellBot installe une porte dérobée qui permet à l'utilisateur distant/malveillant de prendre le contrôle de ta machine et d'en faire un PC zombie qui attaque des cibles précises (requêtes répétitives) - sans ton consentement et souvent sans que tu le saches. ShellBot : http://www.sophos.fr/virusinfo/analyses/trojshellbota.html Goldun.k : http://www.symantec.com/avcenter/venc/data...n.goldun.k.html Face à une telle infection, il est fortement conseillé de formater le disque dur et de réinstaller Windows afin de t'assurer d'avoir une bécane propre. Tu devrais également contacter ton institution bancaire et leur expliquer que tu as été infecté et que quelqu'un a eu accès à tes informations perso (# de comptes, # de carte de crédit). Ne pas refaire de transactions en ligne via cet ordi avant de le nettoyer. Étant donné que tu ne peux pas démarrer l'ordi convenablement, le formatage devient rapidement ta seule option. Nous pourrions essayer de le faire démarrer pendant des heures, mais le but premier dans ton cas est de sécuriser des infos personnelles et de nettoyer à fond. Si tu ne veux absolument pas formater, ben on pourra regarder ce qui peut être fait, mais je ne promets rien ! Si t'as des questions, moi ou un autre bénévole pourra y répondre
-
Salut lolo, Bruce Merci pour les trois rapports lolo Bon, y semble que la détection de Spyware.RealSpy soit un faux-positif de la part de PestPatrol. Par contre, ce NetSpy KeyLogger est une m.... et SearchCentrix aussi ! Pas de MiAddle As-tu une idée d'où pourrait venir ce NetSpy KeyLogger ? Voici un peu d'info : http://www.agentland.fr/Download/Intelligent_Agent/2117.html De toute façon, je te fais passer PestPatrol à nouveau, en Sans Échec, et mets NetSpy KeyLogger et SearchCentrix en quarantaine. Ignore "Spyware.RealSpy" pour l'instant. Toujours en Sans Échec, lance ATF-Cleaner. Ensuite, passe un scan complet avec Ewido (oui-oui, complet...désolé si cé long.. ). Sauvegarde le rapport d'Ewido. Redémarre en mode Normal. Je vais te demander un rapport "StartupList" de HijackThis!, et voici comment faire : - Lance HijackThis! et clique sur "Open the Misc Tools section" - Coche les deux cases suivantes (à droite de "Generate StartupList log") : List also minor sections (full) List empty sections (complete) Clique sur Generate StartupList log Poste le nouveau rapport d'Ewido et le rapport Startuplist.txt dans ta prochaine réponse. @+
-
Bonsoir Bruce, lolo ; Je fouille de mon côté, et je trouve ça un peu frustrant !! Cette bestiole n'est pas très répandue (relativement..). lolo : je vais te faire essayer une version gratos de PestPatrol qui, selon un site consulté, pourrait nous aider.. Cette version d'essai spéciale se trouve sur le site Allemand de Computer Associates, mais le tool s'installera en version Franco . Cette version est 100% fonctionnelle, avec MAJs auto et bouclier. Voici le lien (téléchargement direct) : http://www.ca.com/de/dsin/PESTPATROL_V5.EXE Installe-le, puis fais un scan avec. Sur ma bécane, il ne trouve rien alors je ne peux pas te dire comment le rapport va se présenter à toi. Par contre, si des éléments infectieux sont trouvés, laisse l'outil les mettre en quarantaine, puis tente de copier/coller le rapport ici, dans ta prochaine réponse. Si tu ne peux copier/coller le rapport, pourrais-tu en prendre une capture d'écran ? Bon succès, et à bientôt
-
Bonjour Bruce, Grower La manip avec le BFU n'a pas fonctionné. Grower, je te suggère la manip à nouveau, avec une tout petite différence... donc suis bien les étapes : Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec. Va dans msconfig et assure-toi que le démarrage "Normal" soit coché (et non le "Sélectif"). Redémarre en mode Sans Échec : au redémarrage, tapote immédiatement la touche F8; tu verras un écran avec choix de démarrages apparaître. Utilisant les flèches du clavier, choisis "Mode Sans Échec" et valide avec "Entrée". Choisis ton compte usuel, et non Administrateur. Démarre le "Brute Force Uninstaller" en double-cliquant BFU.exe (du dossier C:\BFU) - Clique sur le petit dossier jaune, à la droite de la boîte Scriptline to execute, et double-clique sur : EGDACCESS.bfu - Dans la boîte "Scriptline to execute", tu devrais maintenant voir ceci : C:\BFU\EGDACCESS.bfu Clique sur Execute et laisse-le faire son travail. Attendre que Complete script execution apparaîsse et clique sur OK. Clique Exit pour fermer le programme BFU. ==================== Redémarre ton ordi en mode Normal. Scanne avec HijackThis! et poste le nouveau rapport, ainsi que le contenu de ce fichier (si trouvé) : C:\egd.txt << (possible qu'il n'existe pas..) @+
-
Coucou Bruce et salut lolo ; Je viens de faire quelques recherches : ...sont toutes deux liées à Spy Sweeper. ...est liée à Microsoft Office. Juste pour bien suivre l'évolution lolo : pourrais-tu poster un tout nouveau rapport Hijackthis! s.t.p. ? Merci..
-
[résolu]analyse HijachThis SVP
Mark a répondu à un(e) sujet de crag dans Analyses et éradication malwares
Salut crag ; Il est possible que ces fichiers/dossiers aient disparu. On verra avec la suite. Pour l'instant, nous devons nous débarrasser de Haxdoor, donc prière de suivre mes instructions au post #14. Tu as beaucoup de bestioles coriaces, et cela va nous prendre plusieurs manips pour tout désinfecter. Courage.. et à bientôt -
[résolu]analyse HijachThis SVP
Mark a répondu à un(e) sujet de crag dans Analyses et éradication malwares
Coucou Bruce , et bonjour crag ; Étant un oiseau de nuit, je poste la suite : =========================== Télécharger haxfix.exe et le sauvegarde sur le bureau. Double cliquer sur haxfix.exe pour installer haxfix. (l'installation standard est c:\program Files\haxfix) Cocher "Create a desktop icon" Cliquer "Next" Quand l'installation est terminée, s'assurer que "Launch HaxFix" est coché Cliquer "Finish" Une "fenêtre DOS" à fond rouge s'ouvre avec les options suivantes: 1. Make logfile (créer un rapport) 2. Run auto fix (lancer la réparation en mode automatique) 3. Run manual fix (lancer la réparation en mode manuel) 4. Run wnlogow fix (lancer la réparation pour wnlogow) E. Exit Haxfix (quitter Haxfix) Selectionner l'option 1. Make logfile en tapant 1 puis taper "Entrée" Haxfix va analyser le système. Quand il a fini, un rapport s'ouvrira: haxlog.txt > (c:\haxlog.txt) Copier le contenu de ce rapport et l'inclure (coller) dans votre réponse. On attaque Haxdoor, et ensuite Smitfraud et Look2Me. Beau travail vous deux @+ -
soucis avec ShopperReport [Résolu]
Mark a répondu à un(e) sujet de lolokiss dans Analyses et éradication malwares
Salut lolokiss Nous demandons de désinstaller AntiVir seulement s'il y a un autre antivirus d'actif sur la bécane - pour ne pas en avoir deux qui tournent en même temps. Dans ton cas, tu peux lui laisser AntiVir, qui sera son seul antivirus (et très bon d'ailleurs ) @+ -
Aide Anallyse rapport Hijack This
Mark a répondu à un(e) sujet de arnaud paris dans Analyses et éradication malwares
Salut Arnaud, et Balltrap Désolé, je suis à la sauvette !! Ok, quelques observations : 1) Panda ne montre plus rien, donc je crois que ça y est.. 2) Si edg.txt n'existe pas sur le C:\, ben je crois alors que Egdaccess.bfu n'a jamais tourné proprement... Ça arrive depuis quelques temps. Donc, le combat se serait fait tout en "manuel" (KillBox, Panda, HijackThis!, etc..), et ça pourrait expliquer tous ces fichiers Egdaccess vus et revus par Panda. Arnaud, si tu as le temps, passe BlackLight à nouveau et poste le rapport s.t.p. J'aimerais également si tu pouvais passer cet outil : http://virus-protect.org/bat/datFind.bat **Fais un clic-droit sur le lien et choisis "Enregistrer la cible sous..", et sauvegarde-le sur ton Bureau. Si tu utilises IE, assure-toi que, lors de la sauvegarde, le "Type:" soit à "Tous les fichiers". Lance datFind.bat ; une fenêtre DOS apparaîtra, et ensuite un fichier texte (Bloc-notes). Copie/colle son contenu ici. @+ -
Aide Anallyse rapport Hijack This
Mark a répondu à un(e) sujet de arnaud paris dans Analyses et éradication malwares
Coucou Regis, et bonjour Arnaud Ouaip, la bête devient de plus en plus coriace. Arnaud ; voici la suite : ============================================= Ouvre un nouveau fichier du Bloc-notes, et clique sur le menu "Format" ; assure-toi que "Retour automatique" à la ligne est décoché. Copie le texte dans la boîte "Code" ci-bas (sans le mot Code), c'est-à-dire sélectionne tout avec ta souris, puis fais un clic-droit dessus et choisis "Copier" du menu déroulant, RegDeleteKey HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\mvntylb RegDelValue HKLM\Software\Microsoft\Windows\CurrentVersion\Run|mvntylb FileDelete %SYSDIR%\mvntylb_navps.dat FileDelete %SYSDIR%\mvntylb_nav.dat FileDelete %SYSDIR%\mvntylb.dat FileDelete %SYSDIR%\mvntylb.exe Colle ce texte dans le fichier du Bloc-notes : - Clique sur le menu "Fichier" >> "Enregistrer sous.." - Comme destination, choisis le dossier C:\BFU - Nomme le fichier EG.bfu - Sous "Type:", choisis "Tous les fichiers" (important..) - Clique "Enregistrer" - Ferme le Bloc-notes ===================== Du mode Normal, lance le BFU en double-cliquant BFU.exe (du dossier C:\BFU) - Clique sur le petit dossier jaune (icône) à la droite de la boîte "scriptline to execute" - Double-clique sur EG.bfu - Clique sur "Execute" - Attendre que Complete script execution apparaîsse et clique sur OK (l'exécution est rapide..). Clique Exit pour fermer le programme BFU. =============================== Repasse un scan avec Panda, mais ne redémarre pas après s.t.p. Poste le rapport de Panda, un nouveau rapport HijackThis! ainsi que le rapport que tu trouveras ici : C:\egd.txt << S'il faut refaire des manips supplémentaires, on le fera @+ -
infecte par spywarequake, et Security Troubleshooting
Mark a répondu à un(e) sujet de casus dans Analyses et éradication malwares
Salut L@urendo, et merci d'aider sur le forum Sécu Juste un petit point à surveiller, pour ce qui est de la Restauration. il est préférable de la laisser intacte jusqu'à la toute fin d'une désinfection, et voici pourquoi : 1) Si une manip tourne mal (mauvais usage d'un tool, surinfection en cours de fix, bdr tripatouillée. etc...), il nous faut avoir au moins un point de restau en réserve. Même si ce point est déjà infecté, on pourra nettoyer par la suite... ça peut éviter un formatage. 2) Cette approche est plutôt récente en Sécu, suite à quelques surprises rencontrées sur certains boards (quoique très rares..). Un point de restau infecté ne peut pas nuire durant une désinfection, et ne peut pas réinfecter une bécane à moins que le visiteur ne fasse lui-même une restau non prescrite. 3) Lorsque la bécane est bien nettoyée et fonctionnelle, alors là on supprime les points de restau et un nouveau est créé. ==================== Casus : tu peux appliquer la méthode avec SmitfraudFix Bonne journée à vous deux ! -
Infection d'origine inconnue
Mark a répondu à un(e) sujet de Rick0369 dans Analyses et éradication malwares
Bon matin Liegeois , et à toi Rick ; Bon, quelques bestioles traînent par là, mais on peut tout de même avec Megataupe !! Ok, voici la suite : =============== Télécharger SmitfraudFix sur http://siri.urz.free.fr/Fix/SmitfraudFix.zip Dézipper la totalité de l'archive smitfraudfix.zip Utilisation ----- option 1 - Recherche : Double cliquer sur smitfraudfix.cmd Sélectionner 1 pour créer un rapport des fichiers responsables de l'infection. Poster le rapport sur le forum. process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. http://www.beyondlogic.org/consulting/proc...processutil.htm @ bientôt -
Infection d'origine inconnue
Mark a répondu à un(e) sujet de Rick0369 dans Analyses et éradication malwares
Bonjour Rick, et bienvenu sur le forum Sécu de Zeb' Bon, Norton annonce un "Bloodhound" en détection heuristique, c'est-à-dire une bestiole possible, mais non identifiée dans sa base virale. Il doit sûrement y avoir quelque chose là-dessus... On investigue. Prière de suivre la méthode préliminaire de Megataupe ici : http://forum.zebulon.fr/index.php?showtopic=83986 Reviens ici avec ton rapport HijackThis!, et on poursuivra @+ -
Cheval de Troie : Win32
Mark a répondu à un(e) sujet de Trezeguet68 dans Analyses et éradication malwares
Bonjour à toutes/tous Ok, Regis ; le lien vers PrevX nous donne ce que Trezeguet68 semble avoir (Win32:Mitglieder << détecté par Avast!). Ce qui embête un peu, c'est que PrevX disent que l'emplacement de ce fichier (eldm2) devrait être ici : %appdata%\hidires\ >> ce qui n'est pas notre cas. Par contre... ce lien : http://fileinfo.prevx.com/QQa91716543830-E.../EDLM2.EXE.html ..pointe vers %WINDIR%\SYSTEM32\, donc possiblement une bestiole effectivement. =============================================== Bruce ; j'ai trouvé cette info en fouillant un peu avec le nom du fichier, puis en faisant une recherche avec un autre pseudo de cette bestiole (Trojan-Downloader.Win32.Bagle.ah) http://www3.ca.com/securityadvisor/virusin...s.aspx?id=51774 Un exemple de log ici : http://forum.telecharger.01net.com/telecha...messages-1.html J'anticipe donc la présence de ce dll, bien collé à Winlogon. On verra bien =============================================== Trezeguet68 ; tu peux faire abstraction de ce poste s.t.p. !! Plutôt technique... On verra avec ton prochain rapport -
Coucou Regis, et bonjour Jack33 ; Ton rapport est propre. Cette détection de virus est en fait un faux-positif d'Avast! vis-à-vis Panda... Ils ne s'aiment pas ces deux-là !! lol... Ok, sans blague... Avast! détecte les signatures virales de Panda (ActiveScan) qui ne sont pas encryptées, et signale un virus, ce qui est faux. On va fixer ça tout de suite. Lance HijackThis! et clique "Do a system scan only", puis coche cette ligne (plus les deux en bleu qui sont des rebus) : O2 - BHO: (no name) - {549B5CA7-4A86-11D7-A4DF-000874180BB3} - (no file) O2 - BHO: (no name) - {FDD3B846-8D59-4ffb-8758-209B6AD74ACC} - (no file) O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab Avec seulement HijackThis! qui tourne (ferme les autres fenêtres actives), clique "Fix checked". Voilà. Il est possible d'utiliser ActiveScan avec Avast! sur la bécane ; je sais, car je le fais Il s'agit simplement de désactiver Avast! le temps de télécharger et lancer le scan en ligne. Par la suite, si Avast! aboie lors d'un scan avec un autre prog (comme Ewido ou MS Anti-Spyware, qui vont déclencher les mêmes alertes pour Panda), alors tu peux simplement dire à Avast! d'ignorer. Ou bien tu fixes la ligne O16 de Panda avec HijackThis! (comme ci-dessus). La bécane va mieux ?
-
Cheval de Troie : Win32
Mark a répondu à un(e) sujet de Trezeguet68 dans Analyses et éradication malwares
Coucou Bruce, Regis, bonsoir Trezeguet68 ; Attendons voir le rapport HijackThis!, mais je ne suis pas certain que le résultat de Jotti soit concluant... ça ressemble à un malware ce fichier.. Si nous voyons ceci dans le log : O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll ..nous aurons trouvé notre bestiole, telle que détectée par l'antivirus de Trezeguet. Trezeguet ; prière d'attendre nos conseils avant de fixer/supprimer quoique ce soit par contre... @+ -
Analyse rapports HijackThis, Eradication malwares
Mark a répondu à un(e) sujet de tripack1 dans Analyses et éradication malwares
Coucou Regis , et bonjour tripack1 ; Il te reste une saleté à virer, alors voici la suite : =============================== Télécharge FixWareout de l'un de ces deux liens : http://downloads.subratam.org/Fixwareout.exe http://www.bleepingcomputer.com/files/lonny/Fixwareout.exe Sauvegarde-le sur ton Bureau, puis lance-le. Clique Next, puis Install, et assure-toi que "Run fixit" soit coché, puis clique Finish. Suis les directives à l'écran. L'outil va te demander de redémarrer ton PC; fais-le s'il te plaît. Le redémarrage risque de prendre un peu plus de temps; ceci est normal. Lorsque redémarré, un fichier texte apparaîtra (report.txt); copie/colle ce rapport dans ta prochaine réponse, avec un nouveau rapport HijackThis! également. @+ -
Bonsoir Regis, Chercheur, Charly, Vinou, toutes/tous ; Vinou : retourne aux paramètres TCP/IP et coche : "Obtenir les adresses des serveurs DNS automatiquement" et valide avec "Ok" et "Ok" et redémarre le PC. Poste un nouveau rapport HijackThis! par la suite. @+
-
Bonjour Pitcat, bidibullu, toutes/tous ; On va poursuivre le nettoyage. Prière d'imprimer ces instructions, ou de les coller dans un fichier texte pour lecture en mode Sans Échec. Étape 1: Télécharge eScan Antivirus Toolkit ici. Sauvegarde-le sur ton Bureau. Avant de lancer le programme, il faut le mettre à jour tel qu'indiqué à l'étape 2. Étape 2: Voici comment mettre l'outil à jour : 1.) Double-clique le fichier mwav.exe qui se trouve sur le Bureau; dézippe les fichiers dans le nouveau dossier suggéré (Kaspersky) situé à la racine du lecteur C:\ (C:\Kaspersky.). Le programme va se lancer, et tu dois le quitter (clique sur "Exit" puis "Exit"). 2.) Double-clique sur le Poste de travail, puis double-clique sur le lecteur principal (habituellement C:\), double-clique sur le dossier Kaspersky; ensuite, double-clique sur le fichier kavupd.exe. Tu verras maintenant une fenêtre DOS apparaître, et la mise à jour se complètera en quelques minutes. 3.) Lorsque la mise à jour sera complétée, tu verras "Press any key to continue"; tape sur une clé pour continuer. Ne pas lancer le scan tout de suite ! Étape 3: Redémarre en mode Sans Échec, et choisis ton compte usuel. Lance ATF-Cleaner afin de nettoyer les fichiers temporaires, puis ferme-le. Étape 4: Clique sur "Démarrer" >> "Exécuter" et tape : cmd - Valide avec "Ok" - Dans la fenêtre DOS, tape ces trois lignes et valide avec [Entrée] après chacune : sc stop BitSec [Entrée] sc delete BitSec [Entrée] exit [Entrée] >> ce qui fermera la fenêtre DOS Étape 5: Toujours en Sans Échec, voici comment utiliser eScan : 1.) Pour lancer "eScan Antivirus Toolkit", trouve le fichier mwavscan.com situé dans le dossier C:\Kaspersky 2.) Double-clique sur mwavscan.com; l'interface d'eScan va apparaître à l'écran. 3.) Il est très important de bien cocher ces boîtes sous Scan Option : Memory, Registry, Startup Folders, System Folders, Services. 4.) Coche la boîte Drive, ce qui donne accès à une nouvelle boîte Drive (bouton rond) juste dessous; coche ce bouton "Drive" (très important..), et tu verras une nouvelle boîte de navigation apparaître à la droite. Clique sur la petite flèche de cette boîte and choisi la lettre de ton disque dur, habituellement C:\. 5.) Juste au-dessous, assure-toi que Scan All Files est coché, et non Program Files. 6.) Clique sur Scan Clean et laisse le tool vérifier tout le disque dur (ça peut être long..). Lorsque terminé, tu verras Scan Completed. Ne pas quitter tout de suite ! 7.) Ouvre un nouveau fichier Bloc notes (clique sur "Démarrer" >> "Programmes" >>"Accessoires" >> "Bloc notes"), puis copie/colle tout le contenu de la fenêtre Virus Log Information (la deuxième, au bas) dans le fichier texte, et sauvegarde le sur ton Bureau. eScan génère également un rapport complet dans le dossier C:\Kaspersky (nommé mwav.log), mais il est trop lourd pour poster sur le forum. Ferme le programme. Étape 6: Lance HijackThis! avec "Do a system scan only" et coche cette ligne : O23 - Service: BitSec(bitsec) (BitSec) - Unknown owner - C:\WINDOWS\system32\bitsec.exe (file missing) Clique "Fix checked", puis ferme HijackThis! Redémarre ton PC en mode Normal. Poste (copie/colle) le rapport que tu as sauvegardé dans ta prochaine réponse, avec un nouveau rapport HijackThis! @+