Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] PC infecté

Thanos

Par Thanos
dans Analyses et éradication malwares

 Partager

Messages recommandés

Thanos Devil Member !

Thanos

Posté(e)
  • Auteur
Posté(e)

salut,

 

Un fichier à faire analyser stp, car je ne trouve pas d'infos dessus >

 

 

 

Clique sur cette adresse => http://www.virustotal.com/flash/index_en.html

 

Tu as une case nommée "Parcourir": tu cliques dessus et une fenêtre s'ouvre=> parcours ton disque dur , et recherche le fichier Jrp12.sys que tu trouveras en allant dans le dossier C:\WINNT\system32

 

Tu cliques une fois sur le fichier Jrp12.sys (il prend une couleur bleue!) puis tu cliques sur "ouvrir" en bas de la fenêtre puis sur "send" .Le scan de ce fichier va débuter.Tu n'as plus qu'à sélectionner puis copier /coller l'analyse .

Note: les fichiers uploadés sont mis en attente, car le virusscan est sollicité! patiente (un message t'indique le temps que ce prendra pour faire analyser)

 

Pour ce qui est de la réparation de Windows sans perte de données, ca marche plutôt bien :P

Thanos Devil Member !

Thanos

Posté(e)
  • Auteur
Posté(e) (modifié)

Salut Valkyrie :P

 

:P:P j'avais oublié que je te l'avais fait éliminer avec OtMoveIt...désolé!!

 

Le fichier est éliminé et du coup, même dans la quarantaine de OtMoveIt!

 

Ceci dit, il faut virer le service à présent : fais une recherche rapide avec ce programme si tu veux bien >

 

- Télécharge RegSearch.exe (Registry Search de Bobbi Flekman)

  • Clique sur "RegSearch Download Link" pour télécharger le programme.
  • dézippe dans un répertoire dédié tel que C:\Program Files
  • double clique sur RegSearch.exe
  • copie colle l'entrée en bleu dans la ligne de la zone de recherche:
    Jrp12

  • rien dans la ligne "Enter string to exclude from results" et clique sur "OK".
  • après recherche, le bloc-notes ouvre une fenêtre "RegSearch.txt" avec toutes les instances trouvées
  • le fichier est en outre sauvegardé dans le même répertoire que celui de RegSearch
  • copie-colle le contenu de la fenêtre dans un post, ici
  • ferme le bloc-notes et ferme RegSearch par Cancel

Après ca on élimine les restes :P

Modifié par charles ingals
Valkyrie Junior Member

Valkyrie

Posté(e)
Posté(e)

Windows Registry Editor Version 5.00

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.2.0

 

; Results at 22/03/2007 23:47:58 for strings:

; 'jrp12'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JRP12]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JRP1200]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JRP1200]

"Service"="Jrp12"

"DeviceDesc"="Jrp12"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JRP1200\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JRP1200\Control]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jrp12]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jrp12]

"DisplayName"="Jrp12"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jrp12\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jrp12\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jrp12\Enum]

"0"="Root\\LEGACY_JRP12\00"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_JRP12]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_JRP1200]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_JRP1200]

"Service"="Jrp12"

"DeviceDesc"="Jrp12"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_JRP1200\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Jrp12]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Jrp12]

"DisplayName"="Jrp12"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Jrp12\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JRP12]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JRP1200]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JRP1200]

"Service"="Jrp12"

"DeviceDesc"="Jrp12"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JRP1200\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JRP1200\Control]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jrp12]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jrp12]

"DisplayName"="Jrp12"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jrp12\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jrp12\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jrp12\Enum]

"0"="Root\\LEGACY_JRP12\00"

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]

"001"="Jrp12.sys"

 

; End Of The Log...

Thanos Devil Member !

Thanos

Posté(e)
  • Auteur
Posté(e)

Très bien, on va se débarraser de ce service comme ceci >

 

1. Copier tout le texte de la boîte ci-dessous(sans le mot "code") : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Drivers to unload:
Jrp12

registry keys to delete:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JRP12
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jrp12
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_JRP12
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Jrp12
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JRP12
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jrp12
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

Note: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.

si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

 

3. Maintenant, lancer The Avenger en cliquant sur son icône du bureau.

  • Sous "Script file to execute" choisir "Input Script Manually".
  • Puis cliquer sur l'icône en forme de loupe qui va ouvrir une nouvelle fenêtre "View/edit script"
  • Dans cette fenêtre, coller le texte précedemment copié sur le bureau par les touches (Ctrl+V).
  • Cliquer Done
  • ensuite cliquer sur l'icône en forme de Feu Vert pour démarrer l'exécution du script
  • Répondre "Yes" deux fois quand demandé.

4. The Avenger va automatiquement faire ce qui suit:

  • Il va Re-démarrer le système. ( Dans les cas où le script contient un/des "Drivers to Unload", The Avenger re-démarrera votre système 2 fois.)
  • Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur votre bureau, ceci est NORMAL.
  • Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
  • The Avenger aura également sauvegardé tous les fichiers, etc., que vous lui avez demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

Après redémarrage, poste le rapport d'Avenger et refais la recherche avec Regsearch et poste son rapport pour voir si c'est bon :P

Valkyrie Junior Member

Valkyrie

Posté(e)
Posté(e) (modifié)

Avenger

 

//////////////////////////////////////////

Avenger Pre-Processor log

//////////////////////////////////////////

 

Syntax error in line --- does not appear to be a valid registry path. Line will be ignored.

Error code: 0

Line: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU

 

 

Error: could not create zip file.

Error code: 0

 

 

//////////////////////////////////////////

 

 

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\jaelcyer

 

*******************

 

 

Fatal error: integrity of Services key failed verification check! Security may be fatally compromised. Exiting immediately.

 

Could not open script file! Status: 0xc0000034 Abort!

 

 

Reg

 

Windows Registry Editor Version 5.00

 

; Registry Search 2.0 by Bobbi Flekman © 2005

; Version: 2.0.2.0

 

; Results at 23/03/2007 06:55:34 for strings:

; 'jrp12'

; Strings excluded from search:

; (None)

; Search in:

; Registry Keys Registry Values Registry Data

; HKEY_LOCAL_MACHINE HKEY_USERS

 

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JRP12]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JRP1200]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JRP1200]

"Service"="Jrp12"

"DeviceDesc"="Jrp12"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\LEGACY_JRP1200\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jrp12]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jrp12\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jrp12\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Jrp12\Enum]

"0"="Root\\LEGACY_JRP12"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_JRP12]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_JRP1200]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_JRP1200]

"Service"="Jrp12"

"DeviceDesc"="Jrp12"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\LEGACY_JRP1200\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Jrp12]

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\Jrp12\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JRP12]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JRP1200]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JRP1200]

"Service"="Jrp12"

"DeviceDesc"="Jrp12"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_JRP1200\LogConf]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jrp12]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jrp12\Security]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jrp12\Enum]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Jrp12\Enum]

"0"="Root\\LEGACY_JRP12"

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1}\FilesNamedMRU]

"001"="Jrp12.sys"

 

; End Of The Log...

Modifié par Valkyrie
Thanos Devil Member !

Thanos

Posté(e)
  • Auteur
Posté(e) (modifié)

salut Valkyrie :P

 

Ok, j'aimerai stp que tu réessaies la même manip une seconde fois!( ca plante parfois la première fois!) > Avenger avec le même script (dans l'espace code) et reposter les deux rapports (celui d'Avenger et celui d'une nouvelle recherche avec Regsearch).

 

@+

Modifié par charles ingals

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...