Injection "Script VB" dans mes sources
Fermé
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
-
29 juil. 2010 à 12:19
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 30 juil. 2010 à 17:43
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 30 juil. 2010 à 17:43
A voir également:
- Injection "Script VB" dans mes sources
- Script vidéo youtube - Guide
- Vb cable - Télécharger - Audio & Musique
- Vb - Télécharger - Langages
- Script bat - Guide
- Executeur de script - Télécharger - Édition & Programmation
24 réponses
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 juil. 2010 à 12:23
29 juil. 2010 à 12:23
Salut,
C'est donc dans les sources des sites qui sont sur ton poste ?
Si tu supprimes ces scripts ça revient ?
Tu as des fichiers executables malicieux dans ton site ?
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
C'est donc dans les sources des sites qui sont sur ton poste ?
Si tu supprimes ces scripts ça revient ?
Tu as des fichiers executables malicieux dans ton site ?
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sous Peronnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
* Clique sur le bouton Quick Scan.
* Quand le scan est fini, utilise le site http://www.cijoint.fr/ pour me donner les deux rapports : OTL.Txt et Extras.Txt.
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
22
29 juil. 2010 à 12:27
29 juil. 2010 à 12:27
Mon site (intranet) est pro, pas d'exécutable "malicieux"...
Ils sont pour le moment testé en local sous wamp.
Je te fais ça tout de suite
(lors que tout s'est produit, c'est quand j'ai voulu ouvrir un fichier HTML pour tester une mise en page, par défaut, il a voulu s'ouvrir avec Chrome... mais rien ne s'est passé... (et dans notepad++, le script VB est apparut... piste !?)
Ils sont pour le moment testé en local sous wamp.
Je te fais ça tout de suite
(lors que tout s'est produit, c'est quand j'ai voulu ouvrir un fichier HTML pour tester une mise en page, par défaut, il a voulu s'ouvrir avec Chrome... mais rien ne s'est passé... (et dans notepad++, le script VB est apparut... piste !?)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 29/07/2010 à 12:30
Modifié par Malekal_morte- le 29/07/2010 à 12:30
Mais le code du site est partagé ou il est juste en local sur ta machine ?
Faudrait juste voir si tu vires le script, s'il revient pour voir s'il y a un processus actif sur ta machine qui le remet.
S'il est partagé, ça peux être un autre poste qui remet ça.
Enfin pour l'executable malicieux, bizarre car apparemment le but de script est de faire executer un fichier svchost.exe
Faudrait juste voir si tu vires le script, s'il revient pour voir s'il y a un processus actif sur ta machine qui le remet.
S'il est partagé, ça peux être un autre poste qui remet ça.
Enfin pour l'executable malicieux, bizarre car apparemment le but de script est de faire executer un fichier svchost.exe
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
22
29 juil. 2010 à 12:41
29 juil. 2010 à 12:41
J'attends que ton outils d'analyse termine, moi de ce que je comprends de ce script VB, c'est qu'il écrit un exécutable a un "emplacement" avec pour nom "svchost.exe"
le WriteData doit bien faire 5000 lignes et il écrit... (donc je ne sais pas trop, je n'ai jamais poussé le VB dans cette direction ;) )
Je te tiens au courant,
En tout cas... merci de ton aide!
(Pour l'exécutable malicieux.... c'est possible, mais je ne sais pas! ^^ )
http://www.cijoint.fr/cjlink.php?file=cj201007/cijzctD0rH.txt
et
http://www.cijoint.fr/cjlink.php?file=cj201007/cijqPzapP2.txt
le WriteData doit bien faire 5000 lignes et il écrit... (donc je ne sais pas trop, je n'ai jamais poussé le VB dans cette direction ;) )
Je te tiens au courant,
En tout cas... merci de ton aide!
(Pour l'exécutable malicieux.... c'est possible, mais je ne sais pas! ^^ )
http://www.cijoint.fr/cjlink.php?file=cj201007/cijzctD0rH.txt
et
http://www.cijoint.fr/cjlink.php?file=cj201007/cijqPzapP2.txt
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 29/07/2010 à 12:52
Modifié par Malekal_morte- le 29/07/2010 à 12:52
Tu peux envoyer c:\Program Files\Microsoft\DesktopLayer.exe sur http://upload.malekal.com stp
il faut peut-être afficher les fichiers cachés/systèmes pour voir le fichier.
Je pense que tu sais comment on fait :)
Fais une recherche de fichiers sur QxNFBWBb.exe
et regarde si ça existe aussi.
Rise Against rules :D
il faut peut-être afficher les fichiers cachés/systèmes pour voir le fichier.
Je pense que tu sais comment on fait :)
Fais une recherche de fichiers sur QxNFBWBb.exe
et regarde si ça existe aussi.
Rise Against rules :D
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
22
29 juil. 2010 à 13:10
29 juil. 2010 à 13:10
Hmmm ton petit appli pour récupérer les fichiers "potentiellement" dangereux me dit que le fichier n'est pas valide... ptètre parce qu'il s'agit d'un executable (et pas une dll... si!?)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 juil. 2010 à 13:13
29 juil. 2010 à 13:13
Peut-être est-ce l'antivirus qui bloque l'envoie ? et le fichier fait 0 au final ?
Zip le avec un mot de passe : infected
Zip le avec un mot de passe : infected
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
22
29 juil. 2010 à 13:18
29 juil. 2010 à 13:18
C'est curieux... il est impossible... ne serait-ce que copier cet exécutable (cette ressource est actuellement utilisée par une autre personne... blablabla)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
22
29 juil. 2010 à 13:12
29 juil. 2010 à 13:12
Ou bien parce qu'il est en cours d'utilisation.... et du coup il ne peut pas le "copier"... possible aussi, je vais redémarrer en mode sans échec
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
22
29 juil. 2010 à 13:12
29 juil. 2010 à 13:12
QxNFBWBb.exe ==> aucun résultat
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 juil. 2010 à 13:33
29 juil. 2010 à 13:33
Laisse tomber, il va se charger en mode sans échec.
Fais ça :
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:OTL
O20 - HKLM Winlogon: UserInit - (c:\program files\microsoft\desktoplayer.exe) - c:\Program Files\Microsoft\DesktopLayer.exe ()
O33 - MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\Shell\explore\command - "" = F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe -- [2010/07/28 09:56:10 | 000,116,224 | ---- | M] ()
O33 - MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\Shell\Open\command - "" = F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe -- [2010/07/28 09:56:10 | 000,116,224 | ---- | M] ()
* redemarre le pc sous windows et poste le rapport ici
Regrade dans C:\_OTL\MovedFiles si y a pas le fichier dans un sous répertoire avec la date du jour et tu l'upload sur http://upload.malekal.com
Fais ça :
Relance OTL.
o sous Personnalisation, copie_colle le contenu du cadre ci dessous et clic Correction, un rapport apparraitra suite à l'operation que tu conserveras sur clé usb par exemple afin d'en coller le resultat:
:OTL
O20 - HKLM Winlogon: UserInit - (c:\program files\microsoft\desktoplayer.exe) - c:\Program Files\Microsoft\DesktopLayer.exe ()
O33 - MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\Shell\explore\command - "" = F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe -- [2010/07/28 09:56:10 | 000,116,224 | ---- | M] ()
O33 - MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\Shell\Open\command - "" = F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe -- [2010/07/28 09:56:10 | 000,116,224 | ---- | M] ()
* redemarre le pc sous windows et poste le rapport ici
Regrade dans C:\_OTL\MovedFiles si y a pas le fichier dans un sous répertoire avec la date du jour et tu l'upload sur http://upload.malekal.com
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
22
29 juil. 2010 à 13:47
29 juil. 2010 à 13:47
Hop, c'est fait!
==============================================>
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:c:\program files\microsoft\desktoplayer.exe deleted successfully.
File move failed. c:\Program Files\Microsoft\DesktopLayer.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
File F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe not found.
OTL by OldTimer - Version 3.2.9.1 log created on 07292010_133914
Files\Folders moved on Reboot...
c:\Program Files\Microsoft\DesktopLayer.exe moved successfully.
Registry entries deleted on Reboot...
<==============================================
Je t'upload le fichier que tu veux ;)
PS: Au redémarrage de mon PC: Mon antivirus me dit avoir détecté et supprimé un "virus":
ExplorerSrv.exe (dossier WINDOWS)=> Cheval de Troie (c:/WINDOWS/Explorer.exe)
==============================================>
========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\\UserInit:c:\program files\microsoft\desktoplayer.exe deleted successfully.
File move failed. c:\Program Files\Microsoft\DesktopLayer.exe scheduled to be moved on reboot.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe moved successfully.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8c971931-4c76-11df-8e6d-0019213f233f}\ not found.
File F:\.\RECYCLER\S-7-1-48-3553146472-4282356138-744414220-0817\QxNFBWBb.exe not found.
OTL by OldTimer - Version 3.2.9.1 log created on 07292010_133914
Files\Folders moved on Reboot...
c:\Program Files\Microsoft\DesktopLayer.exe moved successfully.
Registry entries deleted on Reboot...
<==============================================
Je t'upload le fichier que tu veux ;)
PS: Au redémarrage de mon PC: Mon antivirus me dit avoir détecté et supprimé un "virus":
ExplorerSrv.exe (dossier WINDOWS)=> Cheval de Troie (c:/WINDOWS/Explorer.exe)
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
22
29 juil. 2010 à 13:48
29 juil. 2010 à 13:48
L'envoie du fichier a été effectué avec succès ;)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 juil. 2010 à 13:52
29 juil. 2010 à 13:52
http://www.virustotal.com/fr/analisis/1d00b7ed73689207252437d4aa30611ea0089d13fd31c9706d33019689edacc9-1280404213
Bizarre que ton McAfee n'est pas warn dessus.
Ca fout TDSS/Alueron ....
Sauvegarde tes documents importants.
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
Bizarre que ton McAfee n'est pas warn dessus.
Ca fout TDSS/Alueron ....
Sauvegarde tes documents importants.
Désactive les logiciels de protection (Antivirus, Antispywares) puis :
Télécharge Combofix sUBs : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!
Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Eventuellement, installe la console de récupération comme cela est conseillé
Attends que combofix ait terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, envoie le sur ce site : http://www.cijoint.fr/
et donne le lien ici :)
Tu as le tutorial sur ce lien pour t'aider : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix
PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.
Si pas mieux, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
22
29 juil. 2010 à 14:06
29 juil. 2010 à 14:06
Le rapport de virustotal ne me parle pas beaucoup (La liste que l'on voit, c'est comment est appelée l'infection selon les "antivirus" !?)
Donc ce fichier est bien infecté... c'est ça !?
Alala, j'attends que la copie de mon travail se termine pour lancer "combofix"
je te tiens au courant!
Au fait, je ne sais pas si je l'ai déjà fait... mais merci pour ton aide ;)
Donc ce fichier est bien infecté... c'est ça !?
Alala, j'attends que la copie de mon travail se termine pour lancer "combofix"
je te tiens au courant!
Au fait, je ne sais pas si je l'ai déjà fait... mais merci pour ton aide ;)
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
22
29 juil. 2010 à 14:24
29 juil. 2010 à 14:24
Bon.... je recommence la manip !? Le pc a redémarrer en plein milieu...
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
Modifié par Malekal_morte- le 29/07/2010 à 14:29
Modifié par Malekal_morte- le 29/07/2010 à 14:29
bha ouaip.
Sinon ouaip DesktopLayer.exe est un malware.
Ca lance un dropper qui installe TDSS/Alueron (un autre malware)
DesktopLayer.exe lance des instances d'Internet Explorer (embedding, tu vois pas la fenetre) qui lance des requetes sur Google.
Surement pour se faire des brousoufs via Alueron.
Parent process:
Path: C:\Program Files\Internet Explorer\iexplore.exe
PID: 4068
Information: Internet Explorer (Microsoft Corporation)
Child process:
Path: C:\Program Files\riva\1280356269.exe
Information: Win32 Cabinet Self-Extractor (Microsoft Corporation)
Command line:"C:\Program Files\riva\1280356269.exe"
On voit d'ailleurs ton répertoire riva dans ton rapport OTL.
Il doit conteinr le dropper avec la suite de chiffre.
Tu peux le virer.
[2010/07/29 09:45:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\Macromedia
[2010/07/29 08:55:57 | 000,000,000 | ---D | C] -- C:\Program Files\riva
Rise Against rules :D
Sinon ouaip DesktopLayer.exe est un malware.
Ca lance un dropper qui installe TDSS/Alueron (un autre malware)
DesktopLayer.exe lance des instances d'Internet Explorer (embedding, tu vois pas la fenetre) qui lance des requetes sur Google.
Surement pour se faire des brousoufs via Alueron.
Parent process:
Path: C:\Program Files\Internet Explorer\iexplore.exe
PID: 4068
Information: Internet Explorer (Microsoft Corporation)
Child process:
Path: C:\Program Files\riva\1280356269.exe
Information: Win32 Cabinet Self-Extractor (Microsoft Corporation)
Command line:"C:\Program Files\riva\1280356269.exe"
On voit d'ailleurs ton répertoire riva dans ton rapport OTL.
Il doit conteinr le dropper avec la suite de chiffre.
Tu peux le virer.
[2010/07/29 09:45:43 | 000,000,000 | ---D | C] -- C:\Documents and Settings\NetworkService\Application Data\Macromedia
[2010/07/29 08:55:57 | 000,000,000 | ---D | C] -- C:\Program Files\riva
Rise Against rules :D
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
22
29 juil. 2010 à 14:34
29 juil. 2010 à 14:34
Ok, je vais voir pour ça...
en par contre, ComboFix... plantage systématique juste après "Recherche des fichiers infectés, ca va prendre 10mn...etc..."
en par contre, ComboFix... plantage systématique juste après "Recherche des fichiers infectés, ca va prendre 10mn...etc..."
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 juil. 2010 à 14:34
29 juil. 2010 à 14:34
Pas cool. T'as bien désactivé Mcafee ?
Tente en mode sans échec.
Si pas mieux :
Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/
Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:[/b] Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"
Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
Tente en mode sans échec.
Si pas mieux :
Télécharge GMER à partir de ce lien : http://www.gmer.net#files - clic sur "Download EXE" et télécharge le fichier sur ton bureau.
Voir le tutorial GMER, ça peut peut-être t'aider : https://www.malekal.com/tutorial-gmer/
Désactive tes logiciels de protection (antivirus, antispyware etc) et ferme tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
[b]IMPORTANT:[/b] Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
Laisse tout coché.
Clic sur Scan
Lorsque le scan est terminé, clic sur "Copy"
Ouvre le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et copie/colle le contenu ici.
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
22
29 juil. 2010 à 14:58
29 juil. 2010 à 14:58
En mode sans échec, réussit:
http://www.cijoint.fr/cjlink.php?file=cj201007/cij8jiT8Sb.txt
http://www.cijoint.fr/cjlink.php?file=cj201007/cij8jiT8Sb.txt
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 juil. 2010 à 15:01
29 juil. 2010 à 15:01
Fais GMER pour voir :)
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
22
29 juil. 2010 à 15:02
29 juil. 2010 à 15:02
Juste... pour quelle raison ?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 628
29 juil. 2010 à 15:04
29 juil. 2010 à 15:04
Pour voir si y a pas TDSS.
Coche les cases à droite sur GMER comme sur ce post : https://forum.malekal.com/viewtopic.php?t=22604&start=
sinon ça va prendre 3 plombes le scan, il va scanner les fichiers et le registre.
Coche les cases à droite sur GMER comme sur ce post : https://forum.malekal.com/viewtopic.php?t=22604&start=
sinon ça va prendre 3 plombes le scan, il va scanner les fichiers et le registre.
guillaume_74
Messages postés
111
Date d'inscription
samedi 18 octobre 2008
Statut
Membre
Dernière intervention
29 juillet 2010
22
29 juil. 2010 à 15:07
29 juil. 2010 à 15:07
Ok, ben je le ferai demain matin, j'arriverai de bonne heure au travail pour le faire, là, j'ai pas mal de choses à faire, et j'ai pas mal perdu de temps...
Je te tiens au courant,
encore merci!
Je te tiens au courant,
encore merci!
