Aller au contenu
  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Désinfection PC récalcitrante


maxr397

Messages recommandés

re,

 

Ok. on continu les verif et on supprimera comme dit tout a l'heure le tout d'un coup. J'aimerai une petite analyse sur un fichier qui peut etre fait "revenir" d'autres fichiers aleatoires.

 

1/affiche tout les fichiers:

 

Démarrer, Poste de travail ou autre dossier, Menu Outils, Option des dossiers, onglet Affichage :

Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation

cliquer sur "Appliquer"

cliquer sur le bouton "Appliquer à tous les dossiers" / OK

 

 

 

2/rend toi ensuite sur ce site http://virusscan.jotti.org/ et fait analyser .exe qui se trouve ici:

 

C:\WINDOWS\system32\.exe

 

 

et post le resultat.

 

@+

Lien vers le commentaire
Partager sur d’autres sites

voici le résultat :

The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file

 

edit : je ne sais pas si je t'en ai déjà parlé mais j'ai aussi un programme ftp.exe qui essaie souvent de se connecter à internet. J'ai fait une recherche et apparemment ce ne serait pas forcément quelque chose de tres "recommandable" ...

 

j'ai aussi lsass.exe, LSA Shell (export version) qui veut se connecter.

Modifié par maxr397
Lien vers le commentaire
Partager sur d’autres sites

re,

 

merci pour ces infos :P

 

j'ai aussi lsass.exe, LSA Shell (export version) qui veut se connecter.

 

n'autorise pas pour le moment. Dans le dossier system32, tu as combien de lssas.exe?

 

 

Télécharge le programme Submit File Packer http://www.safer-networking.org/files/sfp.zip

 

redémarre le pc impérativement en mode sans échec http://www.sosordi.net/Faq/Faq.2.html

 

Ouvre le programme Submit File Packer et copie/colle le chemin de fichier suivant dans la fenêtre qui s'est ouverte:

 

C:\WINDOWS\system32\.exe

 

 

clique sur le bouton Continue

Cela va créer une archive de ce fichier sur ton bureau nommée requested files[date].cab

Renomme ce fichier et appele le pseudo suivi de l'extension .cab ce qui donnerai pour moi: bruce lee.cab

 

redemarre en mode normal

 

Et fait analyser le fichier ici http://virusscan.jotti.org/ poste ensuite le resultat

Lien vers le commentaire
Partager sur d’autres sites

voici ce que ca donne :

File: maxr397.cab

Status:

OK

MD5 f82a2bb4100531165be71b3da0c08c7b

Packers detected:

-

Scanner results

AntiVir

Found nothing

ArcaVir

Found nothing

Avast

Found nothing

AVG Antivirus

Found nothing

BitDefender

Found nothing

ClamAV

Found nothing

Dr.Web

Found nothing

F-Prot Antivirus

Found nothing

F-Secure Anti-Virus

Found nothing

Fortinet

Found nothing

Kaspersky Anti-Virus

Found nothing

NOD32

Found nothing

Norman Virus Control

Found nothing

VirusBuster

Found nothing

VBA32

Found nothing

 

et ensuite (apres le disclaimer) il y avait aussi ca :

 

 

Statistics

Last file scanned at least one scanner reported something about: keygen.exe, detected by:

 

Scanner Malware name

AntiVir X

ArcaVir X

Avast X

AVG Antivirus X

BitDefender X

ClamAV X

Dr.Web X

F-Prot Antivirus X

F-Secure Anti-Virus X

Fortinet X

Kaspersky Anti-Virus X

NOD32 X

Norman Virus Control Suspicious_F.gen

VirusBuster X

VBA32 X

 

par contre ca ne va pas en s'améliorant car maintenant bitdefender démarre et en moins d'une minutes j'ai une alerte qui apparait pendant meme pas une seconde (je crois que c'est une modification du registre mais je ne suis pas sur vu la vitesse ou ca s'en va) et bitdefender se ferme...

Modifié par maxr397
Lien vers le commentaire
Partager sur d’autres sites

désolé, j'avais oublié une question

j'en ai donc deux, un caché et l'autre pas.

j'ai testé sur http://virusscan.jotti.org/ le caché et il m'a dit que c'était un malware :

File: lssas.exe

Status:

INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5 ba2256b1ee0f152225b9d34a4e04b3ea

Packers detected:

-

Scanner results

AntiVir

Found Trojan/Drop.Pakes.117

ArcaVir

Found Trojan.Dropper.Pakes

Avast

Found nothing

AVG Antivirus

Found nothing

BitDefender

Found nothing

ClamAV

Found nothing

Dr.Web

Found BackDoor.IRC.Sdbot.924

F-Prot Antivirus

Found nothing

F-Secure Anti-Virus

Found Trojan-Dropper.Win32.Pakes

Fortinet

Found W32/RBot.FAB!worm

Kaspersky Anti-Virus

Found Trojan-Dropper.Win32.Pakes

NOD32

Found Win32/Poebot.NAN

Norman Virus Control

Found nothing

VirusBuster

Found Worm.RBot.IWK

VBA32

Found Trojan.Win32.Poebot.NAN

je sens que je vais désinstaller bitDefender pour mettre antivir (ou peut etre kaspersky) et zone alarm ... (car là bit defender ne trouve rien pour ce fichier)

 

là je suis sur un autre systeme d'exploitation car le premier merde tellement que les apllications se lancent tres mal. Je voulais te poster un rapport Hijackthis car j'ai remarqué un is*.exe que je pensais suspect au démarrage mais quand je le lance il se referme direct.

Modifié par maxr397
Lien vers le commentaire
Partager sur d’autres sites

re,

 

1/ouvre le bloc note(demarrer\tous les programmes\accessoires\bloc notes)

 

2/copie ceci dedans:

 

REGEDIT4

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareServer"=dword:00000000
"AutoshareWks"=dword:00000000

 

-Enregistrez ce fichier reg dans : Bureau

-Nom du fichier : rbot.reg

-Type du fichier : tous les fichiers

-cliquez sur Enregistrer

-quittez le Bloc Notes

 

 

3/ demarre en mode sans echec

 

 

4/fais:

demarer executer services.msc repere User Mode Driver-Manager

 

Double clic dessus :dans le champs Statut du service met le sur arrêté

dans le champs Type de démarrage met le sur désactivé puis

Appliquer puis ok .

 

 

5/ supprime ce qui est en gras:

 

C:\WINDOWS\ wdfmgrr.exe<== le fichier

 

 

 

6/avant de supprimer (le fichier detecté comme nefaste par JOTTI):

 

 

C:\WINDOWS\system32\ lssas.exe

 

 

pointe ton curseur dessus et verifie si il y a ecrit:

 

Entreprise : Microsoft Corporation

taille : 13.0 Ko

 

si ces instructions en gras sont inscrites (je n'ai mis que ces deux la comme info sur le fichier) ne supprime pas le fichier si il n'y a pas ces instructions tu peux le supprimer

 

 

7/ rend toi ici:

 

C:\WINDOWS\system32\.exe

 

fais un clique droit sur .exe puis choisis "renommer" et appele le .old

 

 

8/ Utilisation du fichier: rbot.reg précedemment créé

- double cliquez sur le fichier (Bureau) / Acceptez l'avertissement concernant la fusion / ne pas s'étonner de ne rien voir / validez le message disant que la fusion est terminée.

 

 

9/redemarre en mode normal.

 

10/ demarrer/Panneau de configuration, double-clique sur "Outils d'administration", puis sur "Gestion de l'Ordinateur" et dis moi ce que tu vois ( fais un screen comme fait le jeudi 30 novembre 2006 à 21h56 )

 

@+ et bon courage :P

Modifié par bruce lee
Lien vers le commentaire
Partager sur d’autres sites

Tout d'abord je te dis un grand MERCI pour toute ton aide.

 

par rapport à User Mode Driver-Manager : le service était déjà arréter et le fichier wdfmgrr.exe n'existe pas (j'ai bien fait :"Cocher la case : Afficher les fichiers et dossiers cachés

Décocher la case : Masquer les extensions des fichiers dont le type est connu

Décocher la case : Masquer les fichiers protégés du système d'exploitation")

 

j'ai supprimer le lsass.exe c'était le non caché qui était microsoft corporation (par contre il ne faisait que 11,5 ko)

 

le .exe ma donné un peu plus de mal. Quand j'ai voulu le renommer en .old :"Vous devez spécifier un nom de fichier" ok, j'essaie old et là : "le fichier est utilisé par une application (alors que j'était en mode sans échec). Donc j'ai démarrer sous un autre system d'exploitation et là j'ai pu le renommer en old !

 

dossierpartageux2.th.jpg

 

il y a apparemment du mieux, mais par contre quand je démarre j'ai toujours le problème de bitdefender qui se ferme automatiquement apres une alerte sur laquelle j'ai pas le temps de cliquer (quand j'y arrive et que je dit non pour la modification du registre bitdefender ne se ferme pas). Ca y est, j'ai trouvé ce qui fait fermer bitdefender : c'est servicesmsi.exe !

Modifié par maxr397
Lien vers le commentaire
Partager sur d’autres sites

re,

 

les manips ont l'air de s'etre bien passé et de plus ton nouveau screen est bon. Il nous faut maintenant nettoyer ce qu'il reste. Je te prepare une procedure retour dans 15 minutes.... En attendant poste un nouveau rapport hijackthis s'il te plait.

Lien vers le commentaire
Partager sur d’autres sites

  • Tonton a modifié le titre en [Résolu] Désinfection PC récalcitrante

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...