trojan,rootkit

[Michael (alan1998)]

Bonjour,

J'ai a des questions pour Magna. J'ai demande aux Magna si je devrais obtenir g3n-h@ckm@n. Il parle plus de Francais que moi + Magna. Asseyez-vous serre jusqu'a ce que Magna arrive de regarder vos journaux.

[sépadubidon]

merci,

peter

[gen-hackman]

salut pourquoi ne pas avoir posté dans la partie française si tu es français ? lol

EN : why didn't you request help in the french forum if you're french ?

[magna86]

If my colleagues feel comfortable enough with examing the FRST and GMER logs, I do not mind. 


I'm kidding, please go ahead g3n-h@ckm@n.  Continue if you will. 



@ sépadubidon

Colleague of mine will continue to guide you through the case. Please follow his instructions & guides. Good luck. 


Kind Regards,

[sépadubidon]

les différents chemins empruntés par l'homme est une source continuelle d'interrogation pour le faire progresser.
Les erreurs sont aussi évolutives...

peut-être ne l'ai je pas vu...

bien à vous,

[gen-hackman]

ok ca : McAfee SiteAdvisor , tu peux le désinstaller il sert à rien et Avast fait le même travail sinon mieux

==

   

• Copie le script ci dessous :

Code: [Select]

HKCU\Software
    HKLM\Software
    HKCU\Software\Microsoft\Command Processor /s
    HKLM\Software\Microsoft\Command Processor /s
    %Homedrive%\*
    %Homedrive%\*.
    %Userprofile%\*
    %Userprofile%\*.
    %Allusersprofile%\*
    %Allusersprofile%\*.
    %LocalAppData%\*
    %LocalAppData%\*.
    %Userprofile%\Local Settings\Application Data\*
    %Userprofile%\Local Settings\Application Data\*.
    %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
    %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
    %programFiles%\*
    %programfiles%\Google\Desktop\Install /s
    %programFiles%\*.
    %Systemroot%\Installer\*.
    %Systemroot%\Temp\*.exe /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.in*
    %systemroot%\Tasks\*
    %systemroot%\Tasks\*.
    %systemroot%\system32\Tasks\*
    %systemroot%\system32\Tasks\*.
    %systemroot%\system32\drivers\*.sy* /lockedfiles
    %systemroot%\system32\config\*.exe /s
    %Systemroot%\ServiceProfiles\*.exe /s
    %systemroot%\system32\*.sys
    dir %Homedrive%\* /S /A:L /C
    msconfig
    activex
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    volsnap.sys
    atapi.sys
    ndis.sys
    cdrom.sys
    i8042prt.sys
    iastor.sys
    tdx.sys
    netbt.sys
    afd.sys
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    CREATERESTOREPOINT

• Télécharge OTL (by OldTimer) sur ton bureau.
     
• Lance OTL,  exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
  
     
• Coche/Sélectionne les cases comme l'image ci dessous

   

• Colle le Script copié plus haut  dans la partie inférieure d'OTL "Personnalisation"
  
     
• Clique sur Analyse
  
     
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
     
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
      Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
      En cas de problème avec SOSUpload, utiliser Cjoint

[sépadubidon]

hello,

Dans "OTL" dois-je cocher "avec analyse 64bits?
Cela était coché par défault.

peter

[Michael (alan1998)]

Oui,

coche Avec anaylse 64bit

[Michael (alan1998)]

g3n has asked for me to translate.

Okay: You can uninstall Mcafee SiteAdvisor, As Avast! does a better job.

==

Coppy the following Script below:

Code: [Select]

HKCU\Software
    HKLM\Software
    HKCU\Software\Microsoft\Command Processor /s
    HKLM\Software\Microsoft\Command Processor /s
    %Homedrive%\*
    %Homedrive%\*.
    %Userprofile%\*
    %Userprofile%\*.
    %Allusersprofile%\*
    %Allusersprofile%\*.
    %LocalAppData%\*
    %LocalAppData%\*.
    %Userprofile%\Local Settings\Application Data\*
    %Userprofile%\Local Settings\Application Data\*.
    %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
    %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
    %programFiles%\*
    %programfiles%\Google\Desktop\Install /s
    %programFiles%\*.
    %Systemroot%\Installer\*.
    %Systemroot%\Temp\*.exe /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.in*
    %systemroot%\Tasks\*
    %systemroot%\Tasks\*.
    %systemroot%\system32\Tasks\*
    %systemroot%\system32\Tasks\*.
    %systemroot%\system32\drivers\*.sy* /lockedfiles
    %systemroot%\system32\config\*.exe /s
    %Systemroot%\ServiceProfiles\*.exe /s
    %systemroot%\system32\*.sys
    dir %Homedrive%\* /S /A:L /C
    msconfig
    activex
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    volsnap.sys
    atapi.sys
    ndis.sys
    cdrom.sys
    i8042prt.sys
    iastor.sys
    tdx.sys
    netbt.sys
    afd.sys
    /md5stop
    netsvcs
    safebootminimal
    safebootnetwork
    CREATERESTOREPOINT

- Download OTL to your desktop.

- Launch OTL (Run as Adminstrator for Windows 7/8.

- Check the following things in Red from the picture below.

- Paste the copied script earlier in the lower OTL "Personalization" section

- Click Analyse.

- When the Scan is finished. You will receive 1 or 2 files. OTL.txt and Extras.txt.

- Upload them too SOSvirus, then give a Download link in the forums.

Note: If SOSUpload doesn't work, upload them too CJoint

[sépadubidon]

 hello,
       
Mcafee SiteAdvisor is uninstall
then here are the two logs: 
   OTL.Txt        http://cjoint.com/?3ClvMKtETzM
        Extras.Txt    http://cjoint.com/?3ClvN2b8f40

peter

[Michael (alan1998)]

Tu peut parle le francias. je comprendre.

[gen-hackman]

je peux savoir ce qui t'a fait suspecter que tu aies un rootkit ? ( would you like to tell me that you suspect you have a rootkit ? )

[sépadubidon]

Bonjour,

Le ciel est tout bleu ce matin, encore une belle journée qui s’annonce.

Alors voici, lorsque je lance "aswmbr , il se termine par "appcrash" et il y a toujours un de mes deux disques qui a un code inconnu.
la première fois c'était le disque boot.

Ensuite j'ai eu une "distraction", il y a eu un lieu "mettre votre java a jour",
j'ai cliqué dessus...

après cela j'ai eu toutes sortes de désagréments. (ouverture fenêtres intempestives...)

j'ai eu plusieurs écrans bleux de fin anormales de windows...

Il me semble que mon Windows est près à rendre son dernier soupir...

bien à vous,

peter

[sépadubidon]

Hello,

The sky is blue this morning, another beautiful day ahead.

So here, when I run "aswmbr, it ends with" APPCRASH "and there is always one of my two disks that an unknown code.
the first time it was the boot disk.

Then I had a "distraction", there was a place "put your java a day,"
I clicked on ...

after that I had all kinds of trouble. (Opening pop ...)

I had several screens bleux abnormal end of windows ...

It seems to me that my Windows is ready to make his last breath ...

good to you,

[gen-hackman]

Ok on va tout contrôler en même temps , état des partitions , possibilité de ZeroAccess , état des services , etc ......
(Ok we're going to check all in the same time , partitions state , Zeroaccess possibility , services states , etc .....)

Fr : http://gen-hackman.purforum.com/t19-1-pre_scan-canned-speech
En : http://translate.google.com/translate?sl=fr&tl=en&js=n&prev=_t&hl=fr&ie=UTF-8&u=http%3A%2F%2Fgen-hackman.purforum.com%2Ft19-1-pre_scan-canned-speech