Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Pc contaminé par services.exe + smss.exe

kamelkos

Par kamelkos
dans Analyses et éradication malwares

 Partager

Messages recommandés

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Bonjour à vous deux ;)

 

Vu le petit problème avec le forum, ce sujet a été recréé sans la page #2 qui était bloquée.

Nous devrions pouvoir réparer l'autre sujet mais il faudra attendre quelques jours, probablement.

 

Je remets donc ici le contenu (partiel) du dernier message de kamelkos :

 

 

Export de clé de registre :

 

====

 

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center]

"cval"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc]

"AntiVirusOverride"=dword:00000000

"AntiSpywareOverride"=dword:00000000

"FirewallOverride"=dword:00000000

"VistaSp1"=hex(b):82,5c,4e,dc,f4,3e,ca,01

"VistaSp2"=hex(b):98,9b,ed,45,46,40,ca,01

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\S-1-5-21-289133231-3036828548-2532764815-1000]

"EnableNotificationsRef"=dword:00000005

"EnableNotifications"=dword:00000000

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Svc\Vol]

 

????????Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

"CriticalSectionTimeout"=dword:00278d00

"GlobalFlag"=dword:00000000

"HeapDeCommitFreeBlockThreshold"=dword:00000000

"HeapDeCommitTotalFreeThreshold"=dword:00000000

"HeapSegmentCommit"=dword:00000000

"HeapSegmentReserve"=dword:00000000

"ProcessorControl"=dword:00000002

"ResourceTimeoutCount"=dword:0009e340

"BootExecute"=hex(7):61,00,75,00,74,00,6f,00,63,00,68,00,65,00,63,00,6b,00,20,\

00,61,00,75,00,74,00,6f,00,63,00,68,00,6b,00,20,00,2a,00,00,00,6c,00,73,00,\

64,00,65,00,6c,00,65,00,74,00,65,00,00,00,43,00,3a,00,5c,00,57,00,69,00,6e,\

00,64,00,6f,00,77,00,73,00,5c,00,33,00,30,00,38,00,36,00,34,00,38,00,31,00,\

33,00,2e,00,65,00,78,00,65,00,20,00,5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,\

00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,5c,00,33,00,30,00,38,00,36,00,\

34,00,38,00,31,00,33,00,2e,00,64,00,61,00,74,00,00,00,00,00

"ExcludeFromKnownDlls"=hex(7):00,00

"ObjectDirectories"=hex(7):5c,00,57,00,69,00,6e,00,64,00,6f,00,77,00,73,00,00,\

00,5c,00,52,00,50,00,43,00,20,00,43,00,6f,00,6e,00,74,00,72,00,6f,00,6c,00,\

00,00,00,00

"ProtectionMode"=dword:00000001

"NumberOfInitialSessions"=dword:00000002

"SetupExecute"=hex(7):00,00

"PendingFileRenameOperations"=hex(7):5c,00,3f,00,3f,00,5c,00,43,00,3a,00,5c,00,\

74,00,65,00,73,00,74,00,30,00,31,00,32,00,33,00,00,00,5c,00,3f,00,3f,00,5c,\

00,43,00,3a,00,5c,00,51,00,6f,00,6f,00,62,00,6f,00,78,00,5c,00,51,00,75,00,\

61,00,72,00,61,00,6e,00,74,00,69,00,6e,00,65,00,5c,00,43,00,5c,00,4d,00,6f,\

00,76,00,65,00,45,00,78,00,5f,00,74,00,65,00,73,00,74,00,30,00,31,00,32,00,\

33,00,2e,00,76,00,69,00,72,00,00,00,00,00

 

 

[tronqué]

====

 

Bonne continuation à vous deux :)

 

 

Mark

Falkra Devil Member !

Falkra

Posté(e)
Posté(e)

Merci Mark. ;)

 

Ce qui suit n'est que pour cette machine, et cette machine seulement.

Ne surtout pas utiliser sur une autre machine : dangereux.

 

 

  • Télécharge le fichier CFscript.txt depuis ce site :
    Download
     
  • Place-le sur le bureau, près de l'icône de combofix.
  • Fais un glisser/déposer de ce fichier CFscript sur le fichier ComboFix.exe comme sur cet exemple

animation1md2.gif

  • Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
  • Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
  • Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt

Mark Godlike Member

Mark

Posté(e)
Posté(e)

Falkra s'étant absenté pendant un moment, je me permets de te répondre :

 

Oui-oui, son message était pour toi. Tu peux déjà effectuer ce qu'il demande, et laisser tomber la procédure que tu évoques, pour l'instant.

 

Mes excuses à nouveau pour la confusion, créée par le blocage de ton sujet initial.

 

@++

 

Mark

kamelkos Member

kamelkos

Posté(e)
  • Auteur
Posté(e)

ce n'est pas grave.

Et merci a toi pour l'aide que tu vas m'apporter.

 

le fichier que tu m'as demandé de telecharger se nomme SessionManager_Export.txt et non pas CFscript.txt !

Dois-je le renommer ou ce n'est pas un probleme ?

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...