Pre_scan g3n-h@ckm@n / Security Protection
Résolu/Fermé
arnoarno35
Messages postés
26
Date d'inscription
mardi 16 août 2011
Statut
Membre
Dernière intervention
1 septembre 2011
-
21 août 2011 à 11:20
Utilisateur anonyme - 1 sept. 2011 à 13:08
Utilisateur anonyme - 1 sept. 2011 à 13:08
A voir également:
- Pre_scan g3n-h@ckm@n / Security Protection
- Ai security avis - Forum Mobile
- Microsoft security essentials - Télécharger - Antivirus & Antimalwares
- Security health systray ✓ - Forum Windows 10
- Rav endpoint protection - Forum Antivirus
- Usb disk security - Télécharger - Sécurité
50 réponses
arnoarno35
Messages postés
26
Date d'inscription
mardi 16 août 2011
Statut
Membre
Dernière intervention
1 septembre 2011
28 août 2011 à 11:45
28 août 2011 à 11:45
c'est-à-dire ?
Utilisateur anonyme
28 août 2011 à 11:49
28 août 2011 à 11:49
▶ Surtout , pense à l'enregistrement à renommer Combofix en "ton prenom.exe" avant qu'il soit enregistré sur ton disque dur
c:\documents and settings\lara.huriaux\Bureau\virus\ComboFix.exe
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
AV: Antivirus Trend Micro OfficeScan *Enabled/Updated*
c:\documents and settings\lara.huriaux\Bureau\virus\ComboFix.exe
>> Désactive provisoirement et seulement le temps de l'utilisation de ComboFix,
>>la protection en temps réel de ton Antivirus et de tes Antispywares,
>>qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
AV: Antivirus Trend Micro OfficeScan *Enabled/Updated*
arnoarno35
Messages postés
26
Date d'inscription
mardi 16 août 2011
Statut
Membre
Dernière intervention
1 septembre 2011
28 août 2011 à 12:03
28 août 2011 à 12:03
j'ai utilisé une version renommé à l'enregistrement de combofix en "explorer.exe", certes pas prenom.nom.exe"
celle que tu soulignes n'a pas été utilisée, était là depuis quelques jours.
pour l'AV, il est protegé par un mot de passe (admin) qui fait que je ne peux pas le desactiver simplement.
quand combofix a demandé de l'arreter, j'ai tenté via le gestionnaire de taches de killer ses process, à priori ça avait l'air bon.
faut-il que je réitère l'opération ?
celle que tu soulignes n'a pas été utilisée, était là depuis quelques jours.
pour l'AV, il est protegé par un mot de passe (admin) qui fait que je ne peux pas le desactiver simplement.
quand combofix a demandé de l'arreter, j'ai tenté via le gestionnaire de taches de killer ses process, à priori ça avait l'air bon.
faut-il que je réitère l'opération ?
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
arnoarno35
Messages postés
26
Date d'inscription
mardi 16 août 2011
Statut
Membre
Dernière intervention
1 septembre 2011
28 août 2011 à 12:33
28 août 2011 à 12:33
je n'avais qu'un rapport combofix.
et je certifie que je l'ai lancé depuis un "explorer.exe" et pas un combofix.exe, même si c'est ce qui est indiqué dans log.
et c'est vrai qu'il y avait un fichier combofix.exe dans le repertoire.
j'ai refais la manip, en supprimant au préalable le combofix.exe, et voici le nouveau rapport:
rq1: il ne m'a pas parlé de rootkit comme la fois précédente
rq2: il dit toujours dans le log être lancé depuis combofix.exe
http://www.cijoint.fr/cjlink.php?file=cj201108/cijmNJ2jwb.txt
et je certifie que je l'ai lancé depuis un "explorer.exe" et pas un combofix.exe, même si c'est ce qui est indiqué dans log.
et c'est vrai qu'il y avait un fichier combofix.exe dans le repertoire.
j'ai refais la manip, en supprimant au préalable le combofix.exe, et voici le nouveau rapport:
rq1: il ne m'a pas parlé de rootkit comme la fois précédente
rq2: il dit toujours dans le log être lancé depuis combofix.exe
http://www.cijoint.fr/cjlink.php?file=cj201108/cijmNJ2jwb.txt
Utilisateur anonyme
28 août 2011 à 12:44
28 août 2011 à 12:44
tu as bien utisé defogger selon les instructions avant combofix ?
arnoarno35
Messages postés
26
Date d'inscription
mardi 16 août 2011
Statut
Membre
Dernière intervention
1 septembre 2011
28 août 2011 à 13:04
28 août 2011 à 13:04
oui, et je suis encore en disable.
bon ça y est, ça me dépasse (...) : une nouvelle itération de combofix via un "arno.exe", me sort un log avec lancement depuis arno.exe... ce qui vient contredire mon post précédent...
a noter à la différence des autres tentatives, que j'ai désactivé le lancement au démarrage de l'AV, via un msconfig. d'où un AV "disabled"outdated"
log:
http://www.cijoint.fr/cjlink.php?file=cj201108/cijMlLBdiz.txt
...
bon ça y est, ça me dépasse (...) : une nouvelle itération de combofix via un "arno.exe", me sort un log avec lancement depuis arno.exe... ce qui vient contredire mon post précédent...
a noter à la différence des autres tentatives, que j'ai désactivé le lancement au démarrage de l'AV, via un msconfig. d'où un AV "disabled"outdated"
log:
http://www.cijoint.fr/cjlink.php?file=cj201108/cijMlLBdiz.txt
...
Utilisateur anonyme
28 août 2011 à 13:09
28 août 2011 à 13:09
__________________________________________________
=>/!\Le script qui suit a été écrit spécialement cet ordinateur/!\ <=
=>il est fort déconseillé de le transposer sur un autre ordinateur !<=
----------------------------------------------------------------------------
Toujours avec toutes les protections désactivées, fais ceci :
▶ Ouvre le bloc-notes (Menu démarrer --> programmes --> accessoires --> bloc-notes)
▶ Copie/colle dans le bloc-notes ce qui entre les lignes ci dessous (sans les lignes) :
----------------------------------------------------------
KillAll::
TDL::
C:\windows\system32\Drivers\atapi.sys
file::
c:\windows\is-1ONLK.exe
c:\program files\g2m_install.exe
c:\program files\g2m_download.exe
c:\program files\wlsetup-custom.exe
Registry::
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\TrendAntiVirus]
"DisableMonitoring"=dword:00000000
------------------------------------------------------------------
▶ Enregistre ce fichier sur ton Bureau (et pas ailleurs !) sous le nom CFScript.txt
▶ Quitte le Bloc Notes
▶ Fais un glisser/déposer de ce fichier CFScript sur le fichier arno.exe
▶ Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé.
▶ Une fois le scan achevé, un rapport va s'afficher: poste son contenu.
▶ Si le fichier ne s'ouvre pas, il se trouve ici => C:\ComboFix.txt
arnoarno35
Messages postés
26
Date d'inscription
mardi 16 août 2011
Statut
Membre
Dernière intervention
1 septembre 2011
28 août 2011 à 18:41
28 août 2011 à 18:41
rapport après script:
http://www.cijoint.fr/cjlink.php?file=cj201108/cij2tX5E5k.txt
http://www.cijoint.fr/cjlink.php?file=cj201108/cij2tX5E5k.txt
arnoarno35
Messages postés
26
Date d'inscription
mardi 16 août 2011
Statut
Membre
Dernière intervention
1 septembre 2011
29 août 2011 à 09:43
29 août 2011 à 09:43
oups....
(re) : http://www.cijoint.fr/cjlink.php?file=cj201108/cijpCkgoFn.txt
(re) : http://www.cijoint.fr/cjlink.php?file=cj201108/cijpCkgoFn.txt
arnoarno35
Messages postés
26
Date d'inscription
mardi 16 août 2011
Statut
Membre
Dernière intervention
1 septembre 2011
29 août 2011 à 16:20
29 août 2011 à 16:20
oui, pas de souci sur toute la série "tell me more".
Utilisateur anonyme
29 août 2011 à 16:32
29 août 2011 à 16:32
refais un scan OTL stp (poste les deux rapports) via cijoint
arnoarno35
Messages postés
26
Date d'inscription
mardi 16 août 2011
Statut
Membre
Dernière intervention
1 septembre 2011
30 août 2011 à 09:36
30 août 2011 à 09:36
salut,
OTL.txt: http://www.cijoint.fr/cjlink.php?file=cj201108/cij16jsk93.txt
extras.txt: http://www.cijoint.fr/cjlink.php?file=cj201108/cijFffZrmi.txt
OTL.txt: http://www.cijoint.fr/cjlink.php?file=cj201108/cij16jsk93.txt
extras.txt: http://www.cijoint.fr/cjlink.php?file=cj201108/cijFffZrmi.txt
Utilisateur anonyme
Modifié par g3n-h@ckm@n le 30/08/2011 à 10:43
Modifié par g3n-h@ckm@n le 30/08/2011 à 10:43
salut
sur un autre sujet , il s'est avéré que "Tell me more" était un trojan downloader
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
sur un autre sujet , il s'est avéré que "Tell me more" était un trojan downloader
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
arnoarno35
Messages postés
26
Date d'inscription
mardi 16 août 2011
Statut
Membre
Dernière intervention
1 septembre 2011
30 août 2011 à 12:19
30 août 2011 à 12:19
ok, noté.
à priori ici pas de souci, TELL ME MORE EDUCATION et online sont bien les versions spécifiques utilisées.
à priori ici pas de souci, TELL ME MORE EDUCATION et online sont bien les versions spécifiques utilisées.
arnoarno35
Messages postés
26
Date d'inscription
mardi 16 août 2011
Statut
Membre
Dernière intervention
1 septembre 2011
30 août 2011 à 14:41
30 août 2011 à 14:41
c'est là que je stocke tous les utilitaires, scripts, etc.... qui me servent pour traiter mon pb.
