besoin d'aides. rapport inside

[pear]

Otm n'a pas vu ceci qu'on lui faisait supprimer.

On va le faire à la main

Supprimez ceci:

c:\program files\search settings\searchsettings.exe

 

Clic droit sur un espace vide du bureau->Nouveau->Document texte

faire un copier-coller du script suivant dans le bloc note.

... Enregistrer ce fichier avec un nom comme "repare.vbs" (n'oubliez pas les guillemets dans notepad, sinon il vous rajoutera une extension .txt !!!),

et le lancer en double-cliquant dessus.

:

Option Explicit

Dim WshShell

Set WshShell = WScript.CreateObject("WScript.Shell")

On Error Resume Next

WshShell.RegWrite "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\HideFileExt\UncheckedValue",0,"REG_DWORD"

WshShell.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools"

WshShell.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr"

WshShell.RegDelete "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableCmd"

On Error Goto 0

 

Dites moi, si après cela le gestionnaire de tâches et regedit fonctionnent.

Modifié le 4 mai 2010 par pear

[bob2N]

c:\program files\search settings\searchsettings.exe <= le dossier/fichier n'existe pas.

 

le document "repare.vbs" ne s'ouvre pas il charge 1 sec et plus rien.

[pear]

le document "repare.vbs" ne s'ouvre pas il charge 1 sec et plus rien.

 

Ce n'est pas anormal.

Mais avez vous reouvé regedit et le gestionnaire ou pas ?

[bob2N]

non :/

[pear]

Bonsoir,

 

Cela fait plusieurs fois que les outils ne fonctionnent pas convenablement.

 

On va essayer de voir si quelque rootkit n'en serait pas responsable.

 

On commence avec Gmer:

 

 

Télécharger gmer

 

- Cliquer sur le bouton "Download EXE"

- Sauvegardez sur le Bureau.

- Collez et sauvegardez ces instructions dans un fichier texte ou imprimez-les, car il faudra fermer le navigateur.

Avant toute utilisation de GMER, veuillez désactiver votre antivirus, antispyware sous peine de crash.

 

- Fermez les fenêtres de navigateur ouvertes.

- Lancez le fichier téléchargé par double clic(le nom comporte 8 chiffres/lettres aléatoires) ;

- Si l'outil lance un warning d'activité de rootkit et demande de faire un scan ; cliquez "NO"

- Dans la section de droite de la fenêtre de l'outil, Vérifiez que soient décochées les options suivantes :

Show All

Coche juste " Sections" et "Files

- Cliquez sur le bouton "Scan" et patientez (cela peut prendre 10 minutes ou +)

Il peut arriver que GMER plante sans raison apparente.

Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;

si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.

Lorsque les informations sur le scan s'affichent , les éléments détectés comme rootkit apparaissent en rouge dans chaque section.

 

Le bouton Copy permet de récupérer le résultat pour effectuer un copier/coller.

Le bouton Save permet l'enregistrement du rapport sur votre disque au format texte.

Modifié le 5 mai 2010 par pear

[bob2N]

GMER plante des l'ouverture

l'ordi est rincer

[pear]

Ce n'est pas cool cette machine:

 

Pour le régistre:

Vilma registry est un excellent remplacant de Regedit.

On apprécie particulièrement plusieurs options, mais c'est surtout le fait que comme le gestionnaire de fichiers, comme msconfig, regedit peut être désactivé par un malware, d'où l'intérêt d'avoir un remplaçant à portée de clic

 

- la recherche : elle est globale et indique toutes les entrées présentes dans une fenêtre, un clic sur la ligne concernée et Vilma va directement sur la valeur en question

- les signets : vous pouvez conserver des favoris sur des clés où vous allez régulièrement

- le mode de permission des droits sur les clés

 

Un excellent produit pour les afficionados du registre.

- le site officiel : Vilma Software

- Pack français

Pour passer en Francais : décompressez le fichier et allez le placer dans le sous dossier lang. Voici le chemin, C:\Program Files\Vilma\RegExp\lang. La traduction sera instantanée.

 

http://speedweb1.free.fr/frames2.php?page=outils5

Lancez Vima

Cliquez Trouver(Search)

Tapez DisableRegistry

Clic droit sur DisableRegistryTool en haut à gauche et supprimer.

 

Refaites la manoueuvre Sur DisableTaskMgr

 

 

 

 

 

les services;

 

Accès à la console impossible

Afficher les dossiers et fichiers cachés

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

Poste de Travail->Partition Système ->Windows->Système 32->Services.msc->Propriétés->Sécurité

Donner le contôle total à System ,Administrateur et votre compte

 

en savoir plus sur les services;

http://www.hotline-pc.org/services.htm

 

 

 

Recherche de Rootkit

Télécharger SysProtsur le bureau

Installez le et double cliquez sur "SysProt.exe"

Cliquez sur l'onglet "log" ;

Cochez toutes les cases présentes dans la fenêtre "Write to log" ;

Cochez Hidden Objects Only (au bas, à gauche)

Les "Objets cachés (Hidden)" sont en Rouge dans tous les modules

Cliquez sur Create log (au bas, à droite)

Une nouvelle fenêtre apparaîtra : cochez Scan root drive et cliquez sur Start ;

Un rapport sera sauvegardé dans le dossier SysProt.

Signalez les lignes rouges, car votre rapport ne montre pas la couleur

Copiez/collez en le contenu dans votre réponse.

[bob2N]

re, desolé je ne pouvais pas repondre avant,

 

"Cliquez Trouver(Search)

Tapez DisableRegistry"

 

je ne peut pas faire ca, aucune action possible dans "trouver"

 

ensuite;

 

une fois ceci fait;

 

Poste de travail->Outils ->Options des dossiers ->Affichage

Cocher "Afficher les dossiers cachés"

Décocher" Masquer les extension des fichiers dont le type est connus "ainsi que "Masquer les fichiers protégés du système d exploitation"

--> un message dit que cela peut endommager le système, ne pas en tenir compte, valider par oui.

 

j'ai a.exe sur le bureau, l'ordi a déjà été infecté par ce truc, je pensai avoir reussi à le viré à l'epoque :s

 

voilà je ne suis pas allé plus loin on ne sais jamais^^

[pear]

Bonjour,

On repart:

 

Téléchargez les logiciels suivants pour les lancer l'un après l'autre.

Vous en posterez les rapports ensuite, en fin de procédures

 

Télécharger load_tdsskiller de Loup Blanc sur le Bureau

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

• Lancer load_tdsskiller en double-cliquant dessus :
  l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
  
• Un message dans la fenêtre noire d'invite de commande vous demandera d'appuyer sur une touche pour continuer
  
• Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse
  (le fichier est également présent ici : C:\tdsskiller\report.txt)
  
• Redémarrer le PC
  

 

rkill.comTélécharger Rkill de Grinler sur le bureau,

double clic pour le lancer.

Sous Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur"

Une fenêtre (très rapide) indiquera que tout s'est bien déroulé.

Pour Vista, faire un clic droit sur le fichier rkill téléchargé puis choisir "Exécuter en tant qu'Administrateur" pour lancer l'outil.

il y aura 'un rapport là: %SystemDrive%\rkill.log

donnant la liste de tous les processus arrêtés.

 

Désinstallez Mbam, s'il est installé

Téléchargez MBAM

 

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)

Vous devez désactiver vos protections et ne savez pas comment faire ->Sur PCA,En Français

* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.

Enregistrez le sur le bureau .

Fermer toutes les fenêtres et programmes

Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)

N'apportez aucune modification aux réglages par défaut et, en fin d'installation,

Vérifiez que les options Update et Launch soient cochées

MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.

cliquer sur OK pour fermer la boîte de dialogue..

* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.

* Une fois la mise à jour terminée, allez dans l'onglet Recherche.

* Sélectionnez "Exécuter un examen complet"

* Cliquez sur "Rechercher"

* .L' analyse prendra un certain temps, soyez patient !

* A la fin , un message affichera :

L'examen s'est terminé normalement.

 

*Si MBAM n'a rien trouvé, il le dira aussi.

Cliquez sur "Ok" pour poursuivre.

*Fermez les navigateurs.

Cliquez sur Afficher les résultats .

 

*Sélectionnez tout et cliquez sur Supprimer la sélection ,

MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.

puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.

* Copiez-collez ce rapport dans la prochaine réponse.

[bob2N]

bonsoir, pas pu trop m'occuper de l'ordi à cause de problème perso...

 

toujour le même problème avec tdsskiller

 

j'ai pas eu de demande de mise à jour mais sa :s

 

 

le rapport est vide :/

 

le rapport mbam

 

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Version de la base de données: 4040

 

Windows 5.1.2600 Service Pack 1

Internet Explorer 6.0.2800.1106

 

16/05/2010 03:46:41

mbam-log-2010-05-16 (03-46-41).txt

 

Type d'examen: Examen rapide

Elément(s) analysé(s): 100716

Temps écoulé: 3 heure(s), 56 minute(s), 45 seconde(s)

 

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 5

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

 

Processus mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Module(s) mémoire infecté(s):

(Aucun élément nuisible détecté)

 

Clé(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre infectée(s):

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre infecté(s):

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Dossier(s) infecté(s):

(Aucun élément nuisible détecté)

 

Fichier(s) infecté(s):

(Aucun élément nuisible détecté)