Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Resolu] Infection Daonol provoquant une redirection internet

Nusso

Par Nusso
dans Analyses et éradication malwares

 Partager

Messages recommandés

Nusso Junior Member

Nusso

Posté(e)
  • Auteur
Posté(e)
Bonjour,

 

Désinstallez Combofix:

 

Démarrer > Exécuter ->combofix.exe /u

Valider par OK

La désinstallation ne marche pas. Une barre de progression apparait puis plus rien.

 

J'ai essayé

- en utilisant Démarrer > Exécuter ->combofix.exe /u (avec le chemin complet, sinon il me dit fichier non trouvé)

- en passant le paramètres /u via un raccourci

- en lançant la commande combofix.exe /u via une fenêtre DOS. (au passage la fenetre DOS fonctionne avec clavier QWERTY ???????)

 

Rien y fait. En fait le paramètre /u n'a pas l'air d'être passé au programme. Si j'efface au préalable le répertoire dans lequel s'est mis Combofix (c:\32788R22FWJFW), lorsque je lance combofix.exe /u , ça le réinstalle

pear Devil Member !

pear

Posté(e)
Posté(e)

Eh bien ce n'est pas banal , votre histoire!

 

Utilisez ceci:

 

Il ne vous servirait à rien de garder les logiciels utilisés pour la désinfection.

Constamment remis à jour , ils seraient obsolètes sous 10 jours.

Pour enlever les programmes utilisés pendant la procédure.

Télécharger ToolsCleaner2 de A.Rothstein

* Enregistrer ToolsCleaner2.exe sur le Bureau.

Sous Vista,Clic-droit > Exécuter en tant que Administrateur

* Double-cliquer dessus, puis cliquer sur Recherche --> Le programme va chercher les utilitaires installés

------> Il se peut que la fenêtre devienne blanche pendant le scan, c'est normal !

L'outil supprimera sans que vous ayez à intervenir.

 

* Copier-coller le contenu du rapport qui apparait dans la fenêtre blanche.

Nusso Junior Member

Nusso

Posté(e)
  • Auteur
Posté(e) (modifié)

TCleaner n'a pas trouvé ComboFix ou ses différentes variantes renommées

 

ci-joint le rapport :

[ Rapport ToolsCleaner version 2.3.2 (par A.Rothstein & dj QUIOU) ]

 

-->- Recherche:

 

C:\Rsit: trouvé !

C:\Documents and Settings\Arnaud\Bureau\désinfection\HijackThis: trouvé !

C:\Documents and Settings\Arnaud\Bureau\désinfection\Rsit: trouvé !

C:\Documents and Settings\Arnaud\Bureau\désinfection\HiJackThis\HijackThis.exe: trouvé !

C:\Documents and Settings\Arnaud\Bureau\désinfection\HiJackThis\hijackthis.log: trouvé !

C:\Documents and Settings\Arnaud\Bureau\désinfection\RSIT\Rsit.exe: trouvé !

C:\Documents and Settings\Arnaud\Recent\HijackThis.lnk: trouvé !

 

---------------------------------

-->- Suppression:

 

C:\Documents and Settings\Arnaud\Bureau\désinfection\HiJackThis\HijackThis.exe: supprimé !

C:\Documents and Settings\Arnaud\Recent\HijackThis.lnk: supprimé !

C:\Documents and Settings\Arnaud\Bureau\désinfection\HiJackThis\hijackthis.log: supprimé !

C:\Documents and Settings\Arnaud\Bureau\désinfection\RSIT\Rsit.exe: supprimé !

C:\Rsit: supprimé !

C:\Documents and Settings\Arnaud\Bureau\désinfection\HijackThis: supprimé !

C:\Documents and Settings\Arnaud\Bureau\désinfection\Rsit: supprimé !

 

Fichiers temporaires nettoyés !

Corbeille vidée!

 

Autre chose : si je lance regedit, ça marche, mais seulement une vingtaine de seconde, puis l'éditeur de registre se ferme.

Si je renomme regedit.exe en autre chose, ça marche sans limitation de temps ....

Modifié par Nusso
Nusso Junior Member

Nusso

Posté(e)
  • Auteur
Posté(e)

Bonjour,

 

J'ai renommé regedit.exe en edit-reg.exe et ça fonctionne très bien.

Merci pour le lien Vilma. Cet éditeur a l'air intéressant :P

 

Pour revenir au problème de lancement de ComboFix, y'a t'il une possibilité de le lancer après avoir redémarré en mode invite de commande ?

Si j'ai bien compris, ComboFix est constitué de plein de petits programmes appelés via des batch et c'est cela qui n'a pas l'air de fonctionner sur mon PC. Seul le premier exe est lancé (ComboFix.exe), mais ensuite l'appel d'un programme par un autre n'a pas l'air de fonctionner.

pear Devil Member !

pear

Posté(e)
Posté(e)

Bonjour,

 

Copiez /collez dans le bloc notes.

Enregistrez , sur le bureau, sous reg.bat

Double clic pour lancer.

Postez le résultat.

C:\Windows\system32\reg.exe query "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\Currentversion\Drivers32" /s >>look.txt

start notepad look.txt

Nusso Junior Member

Nusso

Posté(e)
  • Auteur
Posté(e)

C'est bien ce que je craignais : le batch appelle un .exe puis le bloc note et ça ne fonctionne pas :P

J'ai fait une capture d'écran de la clé de registre mentionnée. J'espère que c'est bien cela qui vous intéresse.

En tout cas on retrouve le nom du fichier qui apparait dans la racine (encadré en jaune)

 

capture-reg.jpg

pear Devil Member !

pear

Posté(e)
Posté(e) (modifié)

OUI, c'est bien cela.

 

 

 

Télécharger sur le bureauOTMoveIt3 by OldTimer .

Double-clic sur OTMoveIt3.exe pour le lancer.

Sous Vista,Clic droit sur le fichier ->Choisir Exécuter en tant qu' Administrateur

Vérifier que Unregister Dll's and Ocx's soit coché.

* Copiez /Collez les lignes ci dessous):

 

:Processes

explorer.exe

 

:Services

 

:Files

c:\Temp\..\mkgwima.pqo

 

 

:Reg

 

[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32]

"aux"=-

"aux1"=-

"aux2"=-

 

 

:Commands

[purity]

[emptytemp]

[start explorer]

[Reboot]

Revenez dans OTMoveIt3,

Clic droit sur la fenêtre "Paste Instructions for Items to be Moved" sous la barre jaune et choisir Coller(Paste).

* Click le bouton rouge Moveit!

* Fermez OTMoveIt3

Votre Pc va redémarrer.

Rendez vous dans le dossier C:\_OTMoveIt\MovedFiles ,

ouvrez le dernier fichier .log

Copiez/collez en le contenu dans votre prochaine réponse

 

 

Nettoyezles fichiers temporaires:

Télécharger AtfCleaner

et lancez le en tant qu'Administrateur

Pour activer la commande "Exécuter en tant que "sur les raccourcis , si vous n'avez pas les droits Administrateur:

1. Cliquez avec le bouton droit sur l'icône du raccourci, puis cliquez sur Propriétés.

2. Sur l'onglet Raccourci, cliquez sur Paramètres avancés.

3. Activez la case à cocher suivante :

"Cette option peut vous autoriser à exécuter ce raccourci en tant qu'autre utilisateur ou à continuer en tant que vous-même tout en protégeant votre ordinateur et vos données de programmes non autorisés"

 

Pour activer la commande" Exécuter en tant que" sur des objets qui ne sont pas des raccourcis :

1. Appuyez sur la touche Maj et maintenez-la enfoncée.

2. Cliquez avec le bouton droit sur l'objet que vous souhaitez ouvrir.

3. Cliquez sur Exécuter en tant que.

4. Dans la boîte de dialogue Exécuter en tant que, cliquez sur l'option" L'utilisateur suivant et tapez les références du nom d'utilisateur et mot de passe."

Si vous n'avez pas de mot de passe , validez

 

Si cela ne s'exécutait pas:

Démarrer ->Exécuter->Services.msc->Connexion secondaire->Démarrage Manuel

Réessayer

 

 

 

.

Modifié par pear
Nusso Junior Member

Nusso

Posté(e)
  • Auteur
Posté(e) (modifié)

voici le log de OTMoveIt :

 

========== PROCESSES ==========

Process explorer.exe killed successfully.

========== SERVICES/DRIVERS ==========

========== FILES ==========

c:\Temp\..\mkgwima.pqo moved successfully.

========== REGISTRY ==========

Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\\aux deleted successfully.

Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\\aux1 deleted successfully.

Registry value HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Drivers32\\aux2 deleted successfully.

========== COMMANDS ==========

User's Temp folder emptied.

User's Temporary Internet Files folder emptied.

User's Internet Explorer cache folder emptied.

Local Service Temp folder emptied.

Local Service Temporary Internet Files folder emptied.

Windows Temp folder emptied.

Java cache emptied.

FireFox cache emptied.

Temp folders emptied.

Explorer started successfully

 

OTMoveIt3 by OldTimer - Version 1.0.9.0 log created on 03292009_183719

 

ATFCleaner passé

 

Pour l'instant le fichier mkgwima.pqo qui apparaissait dans la racine de C: n'apparait plus après effacement.

La désinfection est elle terminée ?

Il serait peut être utile que je passe XP en SP3 maintenant ou y'a t'il une autre opération à faire auparavant ?

Modifié par Nusso
pear Devil Member !

pear

Posté(e)
Posté(e)

C'est bien.

L'infection daonol semble partie.

 

Je voudrais que vous puissiez vérifier si les anomalies d'utilisation de Combofix lui étaient imputables.

 

pour cela,vérifiez si vous le voyez sur votre machine.

 

Si non, installez le comme indiqué précédemment.

Vous le lancerez et en posterez le rapport.

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...