15 sujets de 1 à 15 (sur un total de 31)
  • Auteur
    Messages
  • wrap12
    Participant
    Nombre d'articles : 16

    Bonjour, j’ai été infecté par la Toolbar Astromenda Search en faisant confiance à l’installateur de pdf split and merge portable de SourceForge ! Je viens vous demander votre aide bien qu’il existe un tuto de désinfection sur votre site (aide recommandée…). Je précise que j’ai dézippé l’application sur ma clef usb (pdfsam-starter.exe) mais je ne l’ai jamais lancée. Merci !

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8253

    hello si tu l’as pas executée elle a pas pu t’installer astromenda , donc ca vient pas de là

    • Désactive ton antivirus le temps du téléchargement et de l’utilisation.
    • Télécharge AdsFix sur ton bureau.
      Note : Enregistrer votre travail avant de continuer !
    • Lance AdsFix
    • Pour un pc assez infecté , il peut mettre plusieurs secondes à se charger
    • Inscrit ton pays
    • Clique sur Nettoyer , après l’avoir débloqué dans les options

      Note : Patiente le temps du scan
    • Laisse travailler l’outil même s’il te parait bloqué
    • Si l’outil détecte un proxy que tu ne connais pas clic sur : “Supprimer le proxy
    • Héberge le rapport C:AdsFix_date_heure.txt sur SOSUpload puis donne le lien obtenu.

    Aide:

    wrap12
    Participant
    Nombre d'articles : 16

    Bonjour, voici le rapport de AdsFix : https://antimalware.top/www/?a=d&i=O59XCfasCv” onclick=”window.open(this.href);return false; – En fait, j’avais au départ : pdfsam-2.2.4-out.exe que j’ai exécuter et qui s’est transformé en pdfsam-2.2.4-out.zip – C’est ce dernier que j’ai dézippé sur ma clef Usb et m’a donné pdfsam.exe que je n’ai jamais lancé. Sans doute que les intrus se trouvaient dans le premier exécutable en .exe

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8253

    re

    • Télécharge MalwareBytes
    • Procède à l’installation de celui çi Décocher “Activer l’essai gratuit de Malwarebytes Anti-Malware Premium”

    • Clic sur Mettre à jour (à droite, au centre)

    • Clic sur Examen (en haut)
    • Sélectionne Examen “Menaces”
    • Clic sur Examiner maintenant

    • A la fin du scan clic sur Tout mettre en quarantaine !
    • Clic sur Copier dans le Presse-papiers
    • Un rapport va s’ouvrir. Copie/Colle son contenue dans ta prochaine réponse.
    wrap12
    Participant
    Nombre d'articles : 16

    Hello ! le scan MBAM s’est bien passé et j’ai tout mis en quarantaine. Voici le lien du rapport : https://antimalware.top/www/?a=d&i=q4b0mI0iFS” onclick=”window.open(this.href);return false;

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8253

    re

    ok on fait un diag pour verif’ ^^

    désactive ton antivirus le temps du scan

    Télécharge quickDiag ici : http://www.aht.li/2448447/QuickDiag.exe” onclick=”window.open(this.href);return false;

    lance-le , clique sur “Quick” puis une fois terminé , heberge le rapport sur https://antimalware.top” onclick=”window.open(this.href);return false; et donne le lien obtenu pour aller le consulter

    le rapport sera sur le bureau au nom de QuickDiag_date_heure.txt

    wrap12
    Participant
    Nombre d'articles : 16

    Bonjour, voici le rapport QD : https://antimalware.top/www/?a=d&i=wcgtUJrumi” onclick=”window.open(this.href);return false; – À bientôt !

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8253

    hello je pense que nous sommes en présence d’un rootkit, vérifions (cette ligne m’y fait penser : S0 – rdujkhhm () -> System32drivershwejbs.sys )

    Télécharge Gmer : http://www.gmer.net/#files” onclick=”window.open(this.href);return false; clique sur « Download EXE » et enregistre-le sur ton bureau

    Important : Désactive toutes tes protections : http://forum.pcastuces.com/desactiver_les_protections_residentes-f31s4.htm” onclick=”window.open(this.href);return false;

    Ne pas utiliser l’ordinateur pendant le scan de GMER

    Pour XP => double clique sur gmer.exe
    Pour Vista et 7 => clique droit « executer en tant que…. »

    GMER va lancer un scan automatique

    s’il detecte une activité de rootkit et demande un scan complet , répondre non.

    décoche IAT/EAT, ShowAll et les lecteurs (C: , D:….) , et coche tout le reste

    clique sur Scan

    si une fenêtre indiquant un rootkit apparait clique sur OK.
    Une fois le scan terminé sauvegarde le rapport sur ton bureau sous le nom gmer.log

    ensuite clique sur copy, puis colle-le dans ta réponse.

    Réactive tes protections.

    Note: Si problèmes utiliser GMER en mode sans echec.

    wrap12
    Participant
    Nombre d'articles : 16

    Re : Gmer utilisé en mode normal -> Ok Je joins le log que j’ai appelé vqrdu.log au lieu de gmer.log
    GMER 2.1.19357 – http://www.gmer.net” onclick=”window.open(this.href);return false;
    Rootkit scan 2014-10-03 16:15:12
    Windows 6.1.7601 Service Pack 1 x64 DeviceHarddisk1DR1 -> DeviceIdeIdeDeviceP4T0L0-6 WDC_WD5000AAKS-00WWPA0 rev.01.03B01 465,76GB
    Running: udrqv412.exe; Driver: C:UsersAlainAppDataLocalTemppwdorpod.sys

    —- User code sections – GMER 2.1 —-

    .text C:Program Files (x86)DatacolorSpyder4ProUtilitySpyderUtility.exe[3536] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 69 0000000076561465 2 bytes [56, 76]
    .text C:Program Files (x86)DatacolorSpyder4ProUtilitySpyderUtility.exe[3536] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 155 00000000765614bb 2 bytes [56, 76]
    .text … * 2
    .text C:Program Files (x86)EverythingEverything.exe[3908] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 69 0000000076561465 2 bytes [56, 76]
    .text C:Program Files (x86)EverythingEverything.exe[3908] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 155 00000000765614bb 2 bytes [56, 76]
    .text … * 2
    .text C:Program Files (x86)NVIDIA CorporationNVIDIA Update Coredaemonu.exe[428] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 69 0000000076561465 2 bytes [56, 76]
    .text C:Program Files (x86)NVIDIA CorporationNVIDIA Update Coredaemonu.exe[428] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 155 00000000765614bb 2 bytes [56, 76]
    .text … * 2

    —- EOF – GMER 2.1 —-
    À plus.

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8253

    refais comme ceci stp : décoche les lecteurs (C: , D:….) , et coche tout le reste

    wrap12
    Participant
    Nombre d'articles : 16

    Hello ! j’ai fait comme demandé, mais interruption de Gmer avec affichage de cette fenêtre : https://antimalware.top/www/?a=d&i=6r4KJE8mgD” onclick=”window.open(this.href);return false; – Voyant celà, je relance l’application en MSE avec les droits d’administrateur en cliquant sur “Quick”, mais je n’avais pas les options de recherche car c’était la mini-fenêtre de Gmer; ça repart, puis tout d’un coup le processus est killé ! Voyant celà, je repasse en mode normal, je renomme gmer.exe en iexplore.exe et je relance. Là, c’est bon et je te joins le rapport ici :
    GMER 2.1.19357 – http://www.gmer.net” onclick=”window.open(this.href);return false;
    Rootkit scan 2014-10-04 01:14:32
    Windows 6.1.7601 Service Pack 1 x64 DeviceHarddisk0DR0 -> DeviceIdeIdeDeviceP4T0L0-6 WDC_WD5000AAKS-00WWPA0 rev.01.03B01 465,76GB
    Running: iexplore.exe; Driver: C:UsersAlainAppDataLocalTemppwdorpod.sys

    —- User code sections – GMER 2.1 —-

    .text C:Program Files (x86)DatacolorSpyder4ProUtilitySpyderUtility.exe[3940] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 69 0000000075bf1465 2 bytes [BF, 75]
    .text C:Program Files (x86)DatacolorSpyder4ProUtilitySpyderUtility.exe[3940] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 155 0000000075bf14bb 2 bytes [BF, 75]
    .text … * 2
    .text C:Program Files (x86)EverythingEverything.exe[4044] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 69 0000000075bf1465 2 bytes [BF, 75]
    .text C:Program Files (x86)EverythingEverything.exe[4044] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 155 0000000075bf14bb 2 bytes [BF, 75]
    .text … * 2
    ? C:Windowssystem32mssprxy.dll [4044] entry point in “.rdata” section 00000000740771e6
    .text C:Program Files (x86)NVIDIA CorporationNVIDIA Update Coredaemonu.exe[1744] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 69 0000000075bf1465 2 bytes [BF, 75]
    .text C:Program Files (x86)NVIDIA CorporationNVIDIA Update Coredaemonu.exe[1744] C:Windowssyswow64PSAPI.DLL!GetModuleInformation + 155 0000000075bf14bb 2 bytes [BF, 75]
    .text … * 2

    —- EOF – GMER 2.1 —-
    Merci et à plus.

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8253

    bonjour y’a un souci le rapport devrait être beaucoup plus long :(

    3rd party est bien coché ? ( heberge plutot les rapports sur https://antimalware.top” onclick=”window.open(this.href);return false; stp )

    wrap12
    Participant
    Nombre d'articles : 16

    Oups ! j’ai oublié de cocher 3rd party donc c’est reparti -pour un tour !

    wrap12
    Participant
    Nombre d'articles : 16

    Ci-joint la bonne exploration avec tout de coché : https://antimalware.top/www/?a=d&i=VRJmWDm3fj” onclick=”window.open(this.href);return false;

    g3n-h@ckm@ng3n-h@ckm@n
    Moderator
    Nombre d'articles : 8253

    re ok mmmm… apparemment c’est pas le cas…

    regarde si tu as ce fichier present ou pas

    C:WindowsSystem32drivershwejbs.sys

15 sujets de 1 à 15 (sur un total de 31)
  • Vous devez être connecté pour répondre à ce sujet.