[Résolu] mivolo et plus peut-être

par **MoJac** » 05 Oct 2011, 16:39

- Nous devons débloquer mrt qui été verrouillé par le rootkit ... Il va falloir à nouveau dézipper un fichier.

-Qui c'est qui va être trop contente ? :bond:

Pour les systèmes x86, télécharger GrantPerms.zip et enregistrer le fichier sur le Bureau.
Décompresser l'archive ainsi téléchargée, puis lancer GrantPerms.exe par clic droit et exécuter en tant qu'administrateur
Faire un Copier/Coller de ce qui suit dans la zone de saisie du programme:

c:\Windows\System32\mrt.exe

Cliquer sur Unlock. Lorsque l'outil a terminé, cliquer sur OK.

Cliquer sur List Permissions et envoyer en réponse le contenu du fichier Perms.txt qui s'est ouvert. Le fichier Perms.txt est enregistré dans le dossier à partir duquel l'outil a été lancé.

- "Normalement" la mise à jour devrait pouvoir se faire maintenant sauf si mrt a été bouzillé complètement

A plus

par **veromqt** » 05 Oct 2011, 16:46

Pas envie de le faire.......... :mort:

bon, je tente mais :gr2:

par **veromqt** » 05 Oct 2011, 16:56

J'ai fait "quelque chose", mais clique, clic droit, exécuter, installer :seek:

Enfin, voilà le résultat :

-------------------

GrantPerms by Farbar
Ran by veronique at 2011-10-05 17:54:17

===============================================
\\?\c:\Windows\System32\mrt.exe

Owner: BUILTIN\Administrateurs

DACL(P)(AI):
BUILTIN\Administrateurs FULL ALLOW (NI)
AUTORITE NT\SYSTEM FULL ALLOW (NI)
BUILTIN\Utilisateurs READ/EXECUTE ALLOW (NI)

--------------------------------

Ai-je fait ce qu'il fallait?

A +

Véro

par **MoJac** » 05 Oct 2011, 17:38

Voui. Et alors ça donne quoi ?
[édit]

- je pense que tu n'as pas fait la première partie, c'est à dire d'abord faire "unlock" puis OK.
- Ensuite lorsque l'opération est terminée fais la visualisation comme indiqué.

- Si pas d'amélioration refais calmement l'ensemble de la manip. le plus dur est fait le fichier est dézippé :victoire:

par **veromqt** » 05 Oct 2011, 23:02

Bonsoir, j'ai refait la manip avec mon mari.. on obtient exactement le même rapport.. en ayant bien fait unlock..

En ce qui concerne les mises à jours windows, le problème "semble " réglé...

On verra demain...

Bonne nuit
Véro

par **MoJac** » 06 Oct 2011, 10:14

Bonjour Mr et Mme Véro , :respect:

J'espère que le pb de mise à jour est effectivement résolu.

Il y a un truc qui me semblait bizarre dans le rapport et je craignais que GrantPerms ne soit pas efficace suite à je ne sais quelle nouvelle tracasserie des nouveaux malwares.
Je vais te demander un service pour avoir une autre référence: il existe d'autres exécutables qui ont été verrouillés par le rootkit et je te propose de vérifier leur état actuel; On va faire ça pour RogueKiller par exemple

Peux tu faire ceci stp:

:arrow:

Relance GrantPerms.exe par clic droit et exécuter en tant qu'administrateur

Fais un Copier/Coller de ce qui suit dans la zone de saisie du programme:

c:\Users\veronique\Downloads\RogueKiller.exe

Ne clique pas sur unlock cette fois ci

Clique sur List Permissions et envoie en réponse le contenu du fichier Perms.txt qui s'est ouvert.

Encore un petit effort et ce sera terminé; Il reste encore une étape :cafe:

par **veromqt** » 06 Oct 2011, 10:54

Bonjour MoJac

Il fait beau en Auvergne..?
Ici, temps variable, la Normandie quoi!

Voici le rapport :

----------------

GrantPerms by Farbar
Ran by veronique at 2011-10-06 11:51:41

===============================================
\\?\c:\Users\veronique\Downloads\RogueKiller.exe

Owner: BUILTIN\Administrateurs

DACL(protected):
Tout le monde FULL ALLOW no_propagate_inherit
---------------------------------------------------------

je ne sais pas si c'était important ou pas, mais les mises à jour à refaire tout le temps ça m'énervait et là... il n'y en a plus.. cool... merci beaucoup !!

Bon jeudi

:ciao:

Véro

par **MoJac** » 06 Oct 2011, 16:03

Re:

Il fait beau en Auvergne..?

Un peu frisquet les matins, mais beau soleil - pas de pluie à l'horizon.

- Parfait. Merci pour le rapport qui m'est bien utile.

Donc on continue:

:arrow:

Désinstallation des outils utilisés:

- Nous devons débloquer des outils qui l'ont été par le rootkit pour pouvoir les supprimer ... maintenant c'est de la routine pour toi ^^

:arrow:

Relance GrantPerms.exe par clic droit et exécuter en tant qu'administrateur

Faire un Copier/Coller de ce qui suit dans la zone de saisie du programme:

c:\Users\veronique\Downloads\RogueKiller(1).exe
c:\Users\veronique\Downloads\RogueKiller(2).exe
c:\Users\veronique\Downloads\RogueKiller(3).exe
c:\Users\veronique\Downloads\RogueKiller.exe
c:\Users\veronique\Downloads\winlogon.exe (2).exe
c:\Users\veronique\Downloads\winlogon.exe.exe

Cliquer sur Unlock. Lorsque l'outil a terminé, cliquer sur OK.

Je ne vais pas te demander de vérifier cette fois ci avec l'envoi du fichier perms.txt pas la peine

- Il ne faut pas garder d'anciennes version d'outils car ceux ci sont mis à jour pratiquement journellement. En cas de besoin il est préférable de retélécharger les dernières versions.

:arrow:

Fais Démarrer/Exécuter copie-colle la commande suivante puis OK:

"%userprofile%\Bureau\BimboBox.exe" /uninstall

Ca désinstallera ComboFix, Supprimera les points de restauration système (qui sont infectés) et remettra les options de sécurité de Windows par défaut.

- Supprime RogueKilleret les éventuels dossiers/fichiers en rapport si toujours présents sur ton bureau, ainsi que tous ceux que tu as dévérouillé en phase précédente.
C:\Users\veronique\Downloads\RogueKiller(1).exe
c:\Users\veronique\Downloads\RogueKiller(2).exe
c:\Users\veronique\Downloads\RogueKiller(3).exe
c:\Users\veronique\Downloads\RogueKiller.exe
c:\Users\veronique\Downloads\winlogon.exe (2).exe
c:\Users\veronique\Downloads\winlogon.exe.exe

- Va sous C:\Programmes\ZHPDiag\uninss000.exe, double clic sur ce fichier qui va désinstaller les programmes et supprimer la quarantaine

- Relance OTL.exe (clic droit et exécuter en tant qu'administrateur, puis clic sur bouton "Purge outils" et suit les indications (celui ci va s'auto désinstaller et désinstaller les principaux ligiciels utilisés).
- Supprime SecurityCheck.exe si toujours présent sur ton bureau.
- Supprime TDSSKiller.exe si toujours présent sur ton bureau.
- Supprime junctions.zip et junctions.exe là où ils se trouvent.
- Supprime GrantPerms.zip et GrantPerms.exe là où ils se trouvent.

Par contre nous avons utilisés MalwareByte's, je te conseille de conserver cet outil et d'effectuer régulièrement, aprés mise à jour, un scan de contrôle.

----------------------------

:arrow:

- Protection de la navigation:

Je te propose 2 "add on" pour sécuriser la navigation:

- WOT (Web On Trust) qui donne une appréciation sur le degré de confiance qu'on peut avoir vis à vis d'un site. Ce genre d'outil s'appuie sur une base de donnée qui est, entre autre alimentée, par les internautes; Tu as quand même le choix de passer outre ... A noter que ce programme existe aussi pour Internet Explorer.

https://addons.mozilla.org/fr/firefox/a ... sing-tool/

Aprés avoir téléchargé le programme il suffit de l'installer et suivre les consignes.

- Adblockplus lui filtre le contenu des pages affichées en supprimant certaines publicités envahissantes. Un tuto ici:

http://www.6ma.fr/tuto/adblock+plus+blo ... irefox-303

----------------------------

:arrow:

conseils généraux relatifs à la sécurité:

En préalable je reviens sur ton propre cas: il faut être attentif à tes relevés de banque, mais il ne faut pas te mettre la rate au court bouillon pour ça quand même. Il semble que seule la mise en place de l'infrastructure de communication et de protection du rootkit lui même existait; Il n'a sans doute pas eu le temps, et a aussi été géné par tes refus d'installation, de mettre en place des charges plus dangereuses. A vérifier également si tu as des gens de ta connaissance qui reçoivent des messages venant de toi alors que tu ne leur a rien envoyé ...

Les logiciels de sécurité (antivirus, anti-troyens ...), même les meilleurs, ne sont pas efficaces à 100% contre les menaces actuelles. Pour protéger efficacement ton PC il faut que tu connaisses les pièges tendus sur le net et que tu apprennes à les éviter. Pour cela, je t'invite à lire ce document de la Lutte Antimalwares. (Au format PDF)
Il est très complet alors prends ton temps pour le lire et fais le circuler autour de toi.
Les risques liés au P2P:Idées reçues
Judiciarisation des espaces d’entraide informatique.

- La nouvelle tendance des sociétés sans scrupule qui téléchargent un tas de cochonnerie sur les machines des internautes, est d'attaquer en justice les forums de sécurité qui suppriment toutes ces pestes et qui par conséquent nuisent à leur buziness.

A lire attentivement le papier de notre ami Gof sur ce sujet. Notre activité est donc menacée ...

Sauf si tu as des questions ou encore des pb, je te propose d'en rester là.

Toute l'équipe de Vista-XP te souhaite bon surf en toute sécurité :yesss:

par **veromqt** » 06 Oct 2011, 18:47

Bonsoir,

Je suis confuse, vraiment mais je ne sais pas faire ça :

:arrow:

Fais Démarrer/Exécuter copie-colle la commande suivante puis OK:

Je ne sais pas à quoi ça se rapporte démarrer/Exécuter

A bientôt

Véro

par **MoJac** » 06 Oct 2011, 19:24

Re:
Bon, faisons les choses dans l'ordre alors:
- Clic sur le globe Windows Vista en bas à gauche, cela va ouvrir une fenêtre.
- Dans la fenêtre de recherche en bas à gauche tape: Exécuter, puis clic en haut sur

dans certaines version de Vista il faut écrire Run au lieu de Exécuter. :gr2:

Mais le reste est identique à ce détail de libellé prés. :pleure:

Cela va ouvrir cette fenêtre dans laquelle tu va copier/coller "%userprofile%\Bureau\BimboBox.exe" /uninstall puis OK

L'image correspond à la suppression de ComboFix "normal" càd non renommé.

Normalement cela devrait le faire ...

par **veromqt** » 06 Oct 2011, 19:33

J'ai trouvé "exécuter" (en fait comme je suis sous Vista, il fallait faire "Démarrer - Tous les programmes - Accessoires"
Lorsque je lance la commande, j'ai un message d'erreur :

"Emplacement non disponible
C:\Users\veronique\Bureau fait référence à un emplacement non disponible. Il peut s"agir d'un emplacement situé sur un disque dur ...."

J'ai vérifié, le fichier "BimboBox.exe est pourtant bien à l'emplacement désigné.

par **MoJac** » 06 Oct 2011, 19:55

Et si tu mets BimboBox.exe /uninstall simplement il se passe quoi ?

par **veromqt** » 06 Oct 2011, 21:38

Bonsoir,

décidément, rien ne se passe comme il faudrait.. cela me met " windows ne trouve pas bimboBox.exe..."

Véro

par **MoJac** » 07 Oct 2011, 07:47

Salut Véro,

Bon, je pense que BimoFix a été verrouillé lors de sa toute première utilisation ...

J'espère que tu n'as pas encore supprimé GrantPerms.exe, si non re télécharge le, dézippe le (désolé) et poursuis:

:arrow:

Relance GrantPerms.exe par clic droit et exécuter en tant qu'administrateur

Fais un Copier/Coller de ce qui suit dans la zone de saisie du programme:

C:\Users\veronique\Bureau\BimboBox.exe

Cliquer sur Unlock. Lorsque l'outil a terminé, cliquer sur OK.

- Reprend ensuite la désinstallation de BimboBox comme indiqué ainsi que la suite de la démarche ...

Allez on se concentre et on y croit ^^ :bric:

par **veromqt** » 07 Oct 2011, 08:36

Bonjour Mojac

Tu n'es pas encore débarrasser de moi , on dirait ..

Il n'y a rien à faire pour désinstaller BimboBox... j'ai essayé les 2 commandes

BimboBox.exe /uninstall apres avoir tenté :

"%userprofile%\Bureau\BimboBox.exe" /uninstall

Rien à faire, impossible, j'ai toujours les réponses précédentes... j'ai bien fait
GrantPerms.exe auparavant...

Je crois que je vais lâcher l'affaire..il faut vraiment le désinstaller ce bimbo.. ?

Véro

[Résolu] mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Re: mivolo et plus peut-être

Qui est en ligne