PERSONAL SHIELD PRO • page 4

[jeanmimigab]

Bonjour,

OK, c'est cool, avant de tout désinstaller et faire les mises à jours relative à la sécurité de tes applications (tu as de belles failles de sécurités), j'ai besoin d'un petit service.
J'ai besoin de récupérer les fichiers infectieux qui sont en quarantaine afin de les transmettre aux acteurs de la lutte Anti-malware (éditeur d'antivirus, helper, développeurs d'outils de désinfection etc...)

C'est très rapide et très simple à faire...

Tu ouvre le dossier "C:\_OTL" et tu compresse le dossier "MovedFiles", pour cela...
Tu fais un clic-droit sur le dossier "MovedFiles" >> tu choisis "envoyer vers" >> "dossier compressé".
Un dossier "MovedFiles" (icône dossier avec un petit cadenas) va apparaitre dans le dossier "C:\_OTL".

Par contre ne va pas faire mumuse avec ce qui se trouve dans le dossier "MovedFiles", ça serait une très mauvaise idée


C'est ce dossier compressé dont j'ai besoin, tu le UP sur cijoint et tu m’envoie le lien en message Privé stp...

ensuite on finalise tout ça...

[sof42]

je t'ai envyé un MP

[jeanmimigab]

Bonsoir Sof,

L'infection que tu as eu est connu pour exploiter les failles de sécurité de tes programmes afin de t'infecter...

Nous allons faire deux choses:
Désinstaller les outils utilisés et mettre à jours Windows et tes applications/programmes
Par contre tu gardera Malwarebyte et le CD d'OTLPE qui pourra te servir a récupérer tes documents au cas où ton pc serait planté ( tu démarres sous OTLPE et copie tes documents sur un DD externe )

Avant de faire la suite, pense a m'envoyer le dossier "Movedfiles" car il sera supprimé par la désinstallation d'OTL

Pour tout désinstaller >> relance OTL, cliques sur "Purge outils" et laisse redémarrer ton pc.

Pour faire tes mises à jours suis cette procédure:

Pense à mettre à jours Windows:

• La méthode la plus simple et l'utilisation de "Windows Update" qui se trouve dans ton menu démarrer

Pense à mettre à jours Java:

• La méthode la plus simple et l'utilisation de >> JavaRa <<

Pense à mettre à jour Acrobat reader si il est installé sur ton PC de cette manière:

• Ouvre Acrobat reader, clique sur "aide" et choisis "rechercher des mises à jours..."

=====================================================================================================

un peu de lecture sur la manière de protéger ton surf et ton ordinateur:

• un Compte Utilisateur limité accroît la sécurité de l'ordinateur.
  
• Quelques mesures préventives pour surfer couvert.
  
• Comment éviter les imprudences d'installation.
  
• Reconnaitre et éviter les infections Msn.
  
• Si tu utilises "Face Book", lis >> cet article << afin de ne pas te faire piéger

En tout cas bravo pour ta persévérance, beaucoup auraient laisser tombé devant la difficulté de faire toutes ces manipulations.Tu peux être fier de toi

Bon Weekend

[sof42]

OOoohhhhh lalalalala!!!! Mon pauvre Jean,

Le virus est revenu exactement le même .

je ne suis pas rassurée.

[jeanmimigab]

Bonjour Flo,

Fais un scanne avec Malwarebyte si possible et postes le rapport stp..

Ensuite re-fais un scanne sous OTLPE comme indiqué ici et postes le rapport stp..
viewtopic-58533-0-asc-15.html#p455247

[sof42]

Bonjour Jean...,

Bonjour Flo,

Moi c'est sof

Pour ce qui est de Malwarebyte, impossible de l'ouvrir.

Et pour ce qui est de OTLPE je te fais passer le rapport ce soir.

Bon Dimanche

[jeanmimigab]

Moi c'est sof

oups

Essais de télécharger sur ton bureau ce fichier..RogueKiller (de tigzy) renommé en "winlogon.exe"
http://jeanmimigab.perso.neuf.fr/winlogon.exe

lance-le et fais le choix "2" (suppression)...

ensuite essais de refaire la manip avec Malwarebytes, ça devrait passé...

ensuite fais OTLPE, mais surtout ne redémarre pas ton PC après le scanne (laisse le pc tourné sur le CD)

[sof42]

Re,

Voici déja pour commencer le rapport de winlogon (je ne savais pas si tu le voulais mais je te le fais passer)

Code: Tout sélectionner

RogueKiller V5.2.8 [23/07/2011] par Tigzy
contact sur http://www.sur-la-toile.com
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version
Demarrage : Mode normal
Utilisateur: EF [Droits d'admin]
Mode: Suppression -- Date : 31/07/2011 23:23:28

Processus malicieux: 1
[SUSP PATH] oN02300HnBpC02300.exe -- c:\programdata\on02300hnbpc02300\on02300hnbpc02300.exe -> KILLED

Entrees de registre: 2
[SUSP PATH] HKCU\[...]\Run : cmdktvol (rundll32 "C:\Windows\MigAdt32.dll",CreateProcessNotify) -> DELETED
[SUSP PATH] HKCU\[...]\RunOnce : oN02300HnBpC02300 (C:\ProgramData\oN02300HnBpC02300\oN02300HnBpC02300.exe) -> DELETED

Fichier HOSTS:
127.0.0.1       localhost


Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt

La suite dans un moment...

[sof42]

Re,

Petite question, après avoir fait une recherche rapide avec malwarebytes doit on supprimer la sélection, car aucun rapport est apparu.
C'est question est peut être stupide, mais je te le repète je suis blonde , En faite j'ai surtout peur de faire des bétises!

[jeanmimigab]

hello sof,

oui, supprimes tout ce qu'il trouvera, ensuite tu redémarre le pc comme demander, puis tu arrête le pc pour redémarrer sur OTLPE

[sof42]

Salut Jean...,

Rapport de Malwarebytes:

Code: Tout sélectionner

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 7286

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

01/08/2011 11:12:13
mbam-log-2011-08-01 (11-12-13).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 173502
Temps écoulé: 3 minute(s), 27 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 3

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Windows\MigAdt32.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
c:\programdata\common.data (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\EF\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.


[sof42]

Re,

Voici le rapport de OTLPE:
http://www.cijoint.fr/cjlink.php?file=c ... yIx56E.txt

[jeanmimigab]

coucou,

Tu redémarres sous OTLPE et lance OTL de la même manière qu'hier soir.

Tu utilises une clé usb pour sauver le contenu du cadre ci dessous dans un fichier bloc notes , afin de le retrouver facilement et de le coller ensuite sous "Custom Scan box"

:OTL
O4 - HKLM..\Run: [AutoStart] D:\Users\EF\Desktop\0.12134413401959943.exe (Heaventools Software)
O4 - HKU\EF_ON_D..\Run: [autopsr] File not found
[1 D:\Windows\System32\*.tmp files -> D:\Windows\System32\*.tmp -> ]

:Files
D:\Users\EF\Desktop\0.12134413401959943.exe
D:\Windows\System32\MigAdt3264.dll
D:\ProgramData\oN02300HnBpC02300
D:\ProgramData\common.data

:Commands
[emptytemp]
[EMPTYFLASH]
[zipfiles]

Tu cliques cette fois-ci sur "Run Fix"


Tu sauvegardes le rapport du RunFix sur ta clef USB pour le poster dans ton prochain message.

Et enfin tu refais un scanne comme tu l'as fais hier soir pour me poster un nouveau rapport complet (sur cijoint.fr)

et très important, tu restes sous cet environnement d'OTLPE

courage

[sof42]

Bonsoir,

Voici le rapport "Run Fix":

Code: Tout sélectionner

========== OTL ==========
Registry value HKEY_LOCAL_MACHINE\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\\AutoStart deleted successfully.
D:\Users\EF\Desktop\0.12134413401959943.exe moved successfully.
Registry key HKEY_USERS\EF_ON_D\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Run not found.
D:\Windows\System32\PerfStringBackup.TMP deleted successfully.
========== FILES ==========
File\Folder D:\Users\EF\Desktop\0.12134413401959943.exe not found.
D:\Windows\System32\MigAdt3264.dll moved successfully.
D:\ProgramData\oN02300HnBpC02300 folder moved successfully.
D:\ProgramData\common.data moved successfully.
========== COMMANDS ==========
 
[EMPTYTEMP]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
 
User: EF
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 67 bytes
->Java cache emptied: 40082 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 4407 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50540 bytes
 
Total Files Cleaned = 0.00 mb
 
 
[EMPTYFLASH]
 
User: All Users
 
User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Default User
 
User: EF
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Java cache emptied: 0 bytes
->Google Chrome cache emptied: 0 bytes
->Flash cache emptied: 0 bytes
 
User: Public
->Temp folder emptied: 0 bytes
 
Total Flash Files Cleaned = 0.00 mb
 
 
OTLPE by OldTimer - Version 3.1.48.0 log created on 08012011_234352


A tout à l'heure pour le rapport du scanne.

[sof42]

Re,

Voici le rapport du scanne:
http://www.cijoint.fr/cjlink.php?file=c ... Stwtex.txt