[OK] PC infecté? Demande d'aide et d'analyse de logs

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Messagede nickW » 18 Juin 2009, 15:36

Bonjour,


nickW, le 17/06/2009, a écrit:Comment se comporte le PC?

renaudoo, le 18/06/2009, a écrit:Je ne comprends pas trop la question.



Je ne suis pas devant ton PC, et je ne peux pas deviner si ceci est toujours d'actualité:
renaudoo, le 10/06/2009, a écrit:Symptômes : PC qui s'éteint sans crier gare ou qui mouline à 100% du processeur sans que je ne fasse quoi que ce soit ou qui "bloque" quelques secondes sans que je ne puisse rien faire (sauf bouger la souris)



Même si l'étude de rapports d'analyse détaillés peut me donner beaucoup d'indications, cela ne me permet pas de savoir si le PC redémarre de façon intempestive toutes les 37 secondes 23 centièmes, s'il est d'une lenteur désespérante, ou s'il écrit en caractères javanais rose bonbon sur un fond d'écran vert pomme. :shock:


Quant à RootRepeal, il fonctionne parfaitement sur de très nombreux PCs (voir le sujet de ms3deb, mais il est impossible à lancer sur certaines configurations (format du disque -NTFS ou FAT32-, méthode de lecture des disques, etc...).
Remarque: la version précédente provoquait des plantages sytématiques de mon PC.

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede renaudoo » 18 Juin 2009, 16:13

Comme je te le disais, il a "l'air" de se comporter normalement, mais rien n'indique qu'il soit exempt de trucs bizarres puisque nous n'avons pas fini la désinfection, il me semble...
Pour RootRepeal, je suis désolé mais chez moi il plante donc je ne peux pas faire de scan avec... cqfd!
Je rentre chez moi et je fais ce que tu m'as demandé illico puis je poste la réponse!
Merci encore à toi "grand manitou qui voit à travers les écrans des PC même à distance" :Mouaaarrrrffffffff:
renaudoo
 
Messages: 29
Inscription: 10 Juin 2009, 15:36

Messagede renaudoo » 18 Juin 2009, 16:20

Je viens de lire dans ton lien :

Il me semble t'avoir déjà écrit qu'avast! (en version gratuite) n'était pas un bon antivirus.

Il faut le remplacer par Avira AntiVir Personal, gratuit, en français, et bien plus performant.

Argh! Moi qui ait installé Avast! sur 4 ordis à la maison, pensant que c'était le meilleur...
Dois-je le désinstaller sur le PC infecté et installer Avira ou bien attendre la fin du nettoyage?
Merci!
renaudoo
 
Messages: 29
Inscription: 10 Juin 2009, 15:36

Messagede renaudoo » 18 Juin 2009, 17:18

Je viens de rentrer chez moi et j'allais lancer la procédure demandée lorsque le PC a totalement bloqué (souris et clavier) et qu'il m'a été impossible de l'éteindre sans enlever la prise ET la batterie (c'est un portable) :cry: Je tenais à te le faire savoir...
Je fais ce que tu m'as demandé en priant pour qu'il n'y ait pas d'autres blocage! :evil:
renaudoo
 
Messages: 29
Inscription: 10 Juin 2009, 15:36

Messagede renaudoo » 18 Juin 2009, 17:22

Voici le rapport de Rooter :

Rooter.exe (v1.0.1) by Eric_71
¨
Microsoft Windows XP Home Edition (5.1.2600) Service Pack 3
32_bits - x86 Family 6 Model 13 Stepping 8, GenuineIntel
¨
C:\ [Fixed-NTFS] .. ( Total:0 Go - Free:0 Go )
D:\ [Fixed-NTFS] .. ( Total:0 Go - Free:0 Go )
E:\ [CD_Rom]
¨
Scan : 18:17.42
Path : C:\Documents and Settings\Hanna\Bureau\Rooter.exe
User : Hanna ( Administrator -> YES )
¨
----------------------\\ Processes
¨
Locked [System Process] (0)
______ System (4)
______ \SystemRoot\System32\smss.exe (532)
______ \??\C:\WINDOWS\system32\csrss.exe (596)
______ \??\C:\WINDOWS\system32\winlogon.exe (620)
______ C:\WINDOWS\system32\services.exe (664)
______ C:\WINDOWS\system32\lsass.exe (676)
______ C:\WINDOWS\system32\svchost.exe (820)
______ C:\WINDOWS\system32\svchost.exe (888)
______ C:\WINDOWS\System32\svchost.exe (948)
______ C:\Program Files\Intel\Wireless\Bin\EvtEng.exe (1040)
______ C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe (1076)
______ C:\WINDOWS\system32\svchost.exe (1128)
______ C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe (1236)
______ C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe (1252)
______ C:\Program Files\Alwil Software\Avast4\ashServ.exe (1328)
______ C:\Acer\Empowering Technology\admServ.exe (1596)
______ C:\WINDOWS\system32\cisvc.exe (1632)
______ C:\WINDOWS\System32\svchost.exe (1688)
______ C:\Program Files\Java\jre6\bin\jqs.exe (1720)
______ C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe (1760)
______ C:\WINDOWS\system32\svchost.exe (1788)
______ C:\WINDOWS\system32\wbem\unsecapp.exe (480)
______ C:\WINDOWS\Explorer.EXE (568)
______ C:\WINDOWS\system32\wbem\wmiprvse.exe (1368)
______ C:\WINDOWS\System32\alg.exe (244)
______ C:\WINDOWS\vVX1000.exe (2192)
______ C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe (2220)
______ C:\Program Files\iTunes\iTunesHelper.exe (2268)
______ C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe (2280)
______ C:\Program Files\iPod\bin\iPodService.exe (2452)
______ C:\WINDOWS\system32\wuauclt.exe (2552)
______ C:\WINDOWS\system32\cidaemon.exe (3556)
______ C:\WINDOWS\system32\wscntfy.exe (3716)
______ C:\Documents and Settings\Hanna\Bureau\Rooter.exe (3752)
¨
----------------------\\ Device\Harddisk0\
¨
\Device\Harddisk0 [Sectors : 63 x 512 Bytes]
¨
\Device\Harddisk0\Partition1 (Start_Offset:32256 | Length:4186635264)
\Device\Harddisk0\Partition2 --[ MBR ]-- (Start_Offset:4186667520 | Length:27653391360)
\Device\Harddisk0\Partition3 (Start_Offset:31840058880 | Length:28171584000)
¨
----------------------\\ Scheduled Tasks
¨
C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job
C:\WINDOWS\Tasks\AppleSoftwareUpdate.job
C:\WINDOWS\Tasks\desktop.ini
C:\WINDOWS\Tasks\Microsoft_Hardware_Launch_LifeExp_exe.job
C:\WINDOWS\Tasks\Microsoft_Hardware_Launch_rundll32_exe.job
C:\WINDOWS\Tasks\Microsoft_Hardware_Launch_vVX1000_exe.job
C:\WINDOWS\Tasks\SA.DAT
C:\WINDOWS\Tasks\SCHEDLGU.TXT
¨
----------------------\\ Registry
¨
¨
----------------------\\ Files & Folders
¨
----------------------\\ Scan completed at 18:17.49
¨
C:\Rooter$\Rooter_1.txt - (18/06/2009 | 18:17.49)
renaudoo
 
Messages: 29
Inscription: 10 Juin 2009, 15:36

Messagede nickW » 20 Juin 2009, 00:47

Bonsoir,

Les différents rapports ne montrent plus de signe d'infection.


Lors du blocage précédent, un vidage mémoire (alias dump) a-t-il été créé?

Voir dans le dossier C:\Windows\Minidump s'il existe des fichiers récents.

S'il en existe, il faudrait les déposer sur un serveur externe pour que je puisse les récupérer:

*- mettre dans un archive nommée renaudoo.zip les cinq fichiers les plus récents
*- Aller sur: http://senduit.com/
*- Dans la zone File:, cliquer sur le bouton Parcourir... et aller jusqu'au fichier renaudoo.zip - faire un double clic sur ce fichier
*- Dans la zone Expire in:, dans la liste déroulante, choisir 5 days
*- Cliquer sur le bouton Upload
*- Après le transfert du fichier, il y aura affichage d'une nouvelle page dans laquelle tu trouveras un lien (sous "This is your download URL. It expires in 5 Days.")
Envoyer ce lien en réponse.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede renaudoo » 20 Juin 2009, 13:05

Je viens de chercher ce dossier minidump et je ne l'ai pas ni dans Windows ni ailleurs!
Je voudrais quand même être sûr de ne plus avoir d'infection:
Que me conseilles-tu de faire (scan antivirus en ligne? lequel? scan antirootkit en ligne? lequel? etc:)?
De plus, me conseilles tu de virer avast! et d'installer antivir à la place?
merci
renaudoo
 
Messages: 29
Inscription: 10 Juin 2009, 15:36

Messagede nickW » 20 Juin 2009, 23:08

Bonsoir,

Tu peux effectuer une analyse en ligne chez Kaspersky:

Kaspersky Lab OnLine Scanner

Ceci doit être réalisé exclusivement avec Internet Explorer.

Aller sur la page http://www.kaspersky.com/fr/virusscanner
Cliquer sur Online Scanner
Suivre les indications, en acceptant l'installation et l'exécution des contrôles ActiveX.
Normalement, IE bloque cette action (bloqueur de fenêtres publicitaires intempestives). Il faut faire un clic droit sur la barre jaune située en haut de la fenêtre et "Accepter temporairement...".
Cliquer sur le bouton "J'accepte"
Kaspersky On-line Scanner s'installe et télécharge les définitions de virus.
Sur l'écran de sélection des éléments à analyser, choisir "Poste de travail"
La recherche est lancée. La fenêtre permet de suivre la progression de l'analyse.
Lorsque la fenêtre affiche "L'analyse est terminée", cliquer sur le bouton "Enregistrer rapport" et enregistrer le fichier rapport en format texte ( .txt) en lui donnant un nom explicite.

Envoyer en réponse le contenu de ce fichier.

NOTE:
S'il y a affichage du message "La licence de Kaspersky On-line Scanner est périmée", aller dans Panneau de configuration---->Ajout/Suppression de programmes puis désinstaller On-Line Scanner. Ensuite, se reconnecter sur le site de Kaspersky pour réessayer.


A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Messagede renaudoo » 21 Juin 2009, 17:41

L'ordinateur a l'air sain :D
Me conseilles-tu de remplacer Avast! par Antivir?
Dois-je réactiver Tea Timer de Spybot?
Dois-je désinstaller tous les outils que tu m'as fait installer pour le nettoyage? (J'aurai bien aimé conserver Mamwarebytes AntiMalware et Findykill, qui me semblent très performants!).
Merci encore cher Nickw ;)

Voici le rapport de Kasperski :

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0 REPORT
Sunday, June 21, 2009
Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Program database last update: Sunday, June 21, 2009 16:18:11
Records in database: 2374281
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
C:\
D:\
E:\

Scan statistics:
Files scanned: 56118
Threat name: 0
Infected objects: 0
Suspicious objects: 0
Duration of the scan: 01:15:31

No malware has been detected. The scan area is clean.

The selected area was scanned.
renaudoo
 
Messages: 29
Inscription: 10 Juin 2009, 15:36

Messagede nickW » 21 Juin 2009, 23:51

Bonsoir,

Si le PC ne présente plus de symptômes d'infection, voici quelques conseils supplémentaires (sécurisation & optimisation) à appliquer:


ImageUn conseil important:
Il faut créer un nouveau point de restauration système.
Après nettoyage du PC, il faut vider les fichiers stockés dans les dossiers de la Restauration système, puis créer un nouveau point de restauration qui sera utilisable en cas de problème.
Méthode:
Désactiver la restauration système, réactiver la restauration système, puis créer un nouveau point de restauration.
Explications détaillées:
http://assiste.com.free.fr/p/comment/co ... ation.html


ImageUn conseil:
Avast! n'est plus un bon antivirus (en tout cas dans sa version gratuite)!
Le logiciel antivirus Avira Antivir Personal est actuellement bien plus "réactif" vis à vis des nouveaux nuisibles que avast!
Une version française est disponible.
Voir:
http://assiste.com.free.fr/p/logitheque/antivir.html
http://www.free-av.com/fr/products/1/av ... virus.html
Téléchargement: http://www.free-av.com/en/download/download_servers.php
Présentation sur libellules.ch : http://www.libellules.ch/tuto_antivir.php


ImageUn conseil important:
Il faut installer un vrai pare-feu.
Voir ICI et ICI. (Note: ces pages ne sont plus à jour)
Penser à désactiver complètement celui de Windows XP (y compris dans les services).


ImageUn conseil important:
Proscrire l'utilisation de P2P illicite!
eMule est l'antithèse de la sécurité (© Jim Rakoto).


ImageUn conseil:
Lire Quel comportement devez-vous adopter en tout temps?
Lire les Recommandations du "kit de sécurité", et en appliquer les mesures préventives.


ImageUn conseil:
La version gratuite de MBAM (Malwarebytes' Anti-Malware) reste utilisable pour effectuer des analyses à la demande.
Tu peux donc choisir de la laisser installée, et de l'utiliser de temps en temps (pour faire du "nettoyage") en faisant une mise à jour manuelle avant de demander l'examen.


ImageUn conseil:
Image Il est préférable de supprimer FindyKill (relancer l'outil via le raccourci du Bureau et choisir l'option 3 (Désinstaller FindyKill)).
Image Il est préférable de supprimer RootRepeal (fichier téléchargé RootRepeal.zip et dossier de travail RootRepeal).
Image Il est préférable de supprimer Rooter (fichier téléchargé Rooter.exe, et fichiers rapports Rooter-*.txtet SystemDrive\Rooter.txt).
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
Image Vider les quarantaines de l'antivirus et de l'anti-spyware.


ImageUn conseil:
Réactiver TeaTimer de Spybot-S&D selon la méthode ci-dessous:
Note: [SystemDrive représente la partition sur laquelle est installé le système, généralement C:]
  • Supprimer tous les clichés du Registre créés par TeaTimer de Spybot-S&D
    Aller avec l'Explorateur Windows jusqu'au dossier:
    SystemDrive\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2
    Mettre dans une archive (fichier .zip) tous les fichiers qui s'y trouvent pour les sauvegarder, puis supprimer tous ces fichiers (ne conserver que l'archive de sauvegarde).
  • Re-lancer TeaTimer de Spybot-S&D.
    Aller avec l'Explorateur Windows jusqu'au dossier d'installation de Spybot-S&D, par défaut SystemDrive\Program Files\Spybot - Search & Destroy.
    Faire un double clic sur TeaTimer.exe pour le lancer.
  • Arrêter TeaTimer de Spybot-S&D de façon à enregistrer de nouveaux clichés du Registre.
    Dans la barre système (à coté de l'horloge), faire un clic droit sur l'icône de Résident de Spybot-SD puis choisir Quitter Résident de Spybot-S&D.
    Lors de cette procédure d'arrêt, il y a sauvegarde des clichés du Registre créés par TeaTimer de Spybot-S&D.
  • Re-lancer TeaTimer de Spybot-S&D.
    Aller avec l'Explorateur Windows jusqu'au dossier d'installation de Spybot-S&D, par défaut SystemDrive\Program Files\Spybot - Search & Destroy.
    Faire un double clic sur TeaTimer.exe pour le lancer.
  • Réactiver le lancement automatique de TeaTimer.
    Lancer Spybot-S&D, Mode avancé, Outils, Résident, cocher la case située devant TeaTimer. Fermer Spybot-S&D.




Voilì, voilò, voilà.

Salut,

PS:
Si tu considères que ce sujet est clos, peux-tu mettre [OK] devant le titre du premier message. Voir ICI.
Merci.

PS2:
En général, pour moi, on écrit chère nickW. Image
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

PrécédenteSuivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 34 invités

cron