Attaques incessantes

Sécurité et insécurité. Virus, Trojans, Spywares, Failles etc. …

Modérateur: Modérateurs et Modératrices

Règles du forum
Assiste.com a suspendu l'assistance à la décontamination après presque 15 ans sur l'ancien forum puis celui-ci. Voir :

Procédure de décontamination 1 - Anti-malware
Décontamination anti-malwares

Procédure de décontamination 2 - Anti-malware et antivirus (La Manip)
La Manip - Procédure standard de décontamination

Entretien périodique d'un PC sous Windows
Entretien périodique d'un PC sous Windows

Protection des navigateurs, de la navigation et de la vie privée
Protéger le navigateur, la navigation et la vie privée

Attaques incessantes

Messagede waloo » 11 Mai 2011, 10:17

Bonjour à tous,

Suite au post de nickW et Pierre, pouvez-vous me donner un coup de main pour l'analyse de log.
J'ai depuis quelques temps, des attaques incessantes qui sont bloquées, un ordinateur qui a du mal à se fermer, des blocage de page web....
Matériel : Win XP PRO SP3, AMD Athlon 64 X2 Dual, Core Processor 6000+, 3.01 GHz, 3.00 Go de RAM
Antivirus NOD32, Ad-Aware, ....

Ci-joint les rapports demandés, merci par avance de votre aide.
Cordialement,
Waloo

Rapport Malwarebytes' :

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Version de la base de données: 6552

Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

11/05/2011 09:37:28
mbam-log-2011-05-11 (09-37-28).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 175266
Temps écoulé: 2 minute(s), 33 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
waloo
 
Messages: 160
Inscription: 10 Sep 2004, 12:10

Re: Attaques incessantes

Messagede waloo » 11 Mai 2011, 10:27

Bonjour, Souci pour mettre la suite des rapports, lors de l'envoi, c'est refusé....
Impossible d'envoyer les rapports, même découpés, ils ne partent pas.....

Que faut-il faire SVP ?

Merci
waloo
 
Messages: 160
Inscription: 10 Sep 2004, 12:10

Re: Attaques incessantes

Messagede nickW » 12 Mai 2011, 00:52

Bonsoir,

Peux-tu mettre les deux rapports d'analyse de OTL dans un fichier archive que tu déposeras sur un serveur externe.

Par exemple:

*- Aller sur http://senduit.com/ (Javascript doit être activé)
*- Cliquer sur le bouton Parcourir, naviguer jusqu'au fichier "archive.zip" et le sélectionner
*- de retour dans le navigateur, Derrière Expire in: via la liste déroulante, choisir 5 Days
*- cliquer sur le bouton Upload
*- Attendre la fin du transfert du fichier
*- Envoyer en réponse sur le forum le lien qui est affiché en dessous de "This is your download URL. It expires in 5 Days.".

Salut,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Re: Attaques incessantes

Messagede waloo » 12 Mai 2011, 14:26

Bonjour nickW,

Merci pour l'info et les conseils, je le fais tout de suite....

Cordialement,

Waloo
waloo
 
Messages: 160
Inscription: 10 Sep 2004, 12:10

Re: Attaques incessantes

Messagede waloo » 12 Mai 2011, 16:08

Bonjour nickW,

Toujours dispo, merci.... :D

Voici les liens (senduit.com n'a pas fonctionné, je les aient mis sur dl.free.fr)

Fichier OTL : http://dl.free.fr/leNdTgtS1 Mot de passe : 1234

Fichier Extra : http://dl.free.fr/njfxiYPC1 Mot de passe : 1234

Par avance merci nickW

Cordialement,

Waloo
waloo
 
Messages: 160
Inscription: 10 Sep 2004, 12:10

Re: Attaques incessantes

Messagede nickW » 13 Mai 2011, 01:17

Bonsoir,

Qui t'a conseillé d'utiliser ComboFix?
Quel a été son résultat?


Quelques remarques/questions:

Pas d'infection visible de façon évidente.

L'Observateur d'événements signale plusieurs messages d'erreur à propos de WindowsUpdate (ce qui pourrait expliquer certains problèmes à l'arrêt).

La partition K ne contient plus que 8% d'espace libre.

Pourquoi le fichier hosts est-il absent?

Il y a plusieurs fichiers temporaires: il faudrait les supprimer régulièrement.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Re: Attaques incessantes

Messagede waloo » 13 Mai 2011, 08:35

Bonjour nickW,

Combofix a été passé suite à infection trouvé par NOD32.

Windows update n'arrive pas à se mettre à jour, je ne sais pas pourquoi.....

Partition K est un disque dur externe pour les sauvegardes.

Pourquoi le fichier host est-il absent ? Ben, heu, à vrai dire,.... ???? :Mouaaarrrrffffffff:

Les fichiers temporaires.... J'ai essayé de les effacer, mais ils ne s'effacent pas...

A suivre

Merci nickW
waloo
 
Messages: 160
Inscription: 10 Sep 2004, 12:10

Re: Attaques incessantes

Messagede nickW » 14 Mai 2011, 00:51

Bonsoir,

1/ As-tu essayé de lancer manuellement WindowsUpdate?
Y a-t-il des messages d'erreur?


2/ Rétablissement d'un fichier hosts par défaut.

Télécharger le fichier hosts par défaut de Windows XP via un clic droit sur le lien ci-dessous, et placer le fichier hosts ainsi téléchargé dans le dossier C:\Windows\System32\Drivers\etc\
http://download.bleepingcomputer.com/mi ... s-xp/hosts


3/ Nettoyage des fichiers temporaires.

TFC - Temp File Cleaner (de OldTimer)
Télécharger TFC depuis l'un des deux liens ci-dessous:
http://oldtimer.geekstogo.com/TFC.exe
http://www.itxassociates.com/OT-Tools/TFC.exe
Enregistrer le fichier sur le Bureau.

L'outil va faire redémarrer le système: il est indispensable d'enregistrer tous les travaux en cours.

Faire un double clic sur TFC. exe pour lancer l'outil.

L'écran principal de TFC s'affiche:
Image

Cliquer sur le bouton Start.

L'outil va supprimer les fichiers temporaires de tous les utilisateurs, ce qui prend au maximum trois minutes.

En fin d'exécution, le programme affichera la liste des dossiers vidés, ainsi que la taille de l'espace disque ainsi libéré.

Noter le nombre affiché en rouge tout en bas: Total Files Cleaned = **,** mb pour l'envoyer en réponse.

Si nécessaire, le programme proposera le redémarrage du système ("The system requires a reboot to finish removing files"). Il faut cliquer sur Oui/Yes.

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Re: Attaques incessantes

Messagede waloo » 17 Mai 2011, 18:44

Bonjour nickW,

1/ Pour Windows Update, rien à faire pour afficher la page web.
Réponse : Internet Explorer ne peut pas afficher cette page Web
Grrrrrr..........

2/ Fichier host : fait

3/ Nettoyage des Temp faits. 83.00 MB nettoyés.

4/ Redémarré l'ordinateur, essayé windows update à nouveau, toujours même message et rien à faire.

A suivre,

Merci nickW
waloo
 
Messages: 160
Inscription: 10 Sep 2004, 12:10

Re: Attaques incessantes

Messagede nickW » 18 Mai 2011, 00:27

Bonsoir,

Pour WindowsUpdate, plusieurs pistes (tester après chaque étape):


Étape 1/ Toutes les conditions ci-dessous sont-elles remplies:

Image Se connecter avec les droits Administrateur

Image Service Mises à jour automatiques
Démarré
et en Démarrage automatique

Image Service Appel de procédure distante (RPC)
Démarré
et en Démarrage automatique

Image Service de Transfert intelligent
Démarré

Image Service Windows Installer
Démarré
et en Démarrage manuel/automatique

Image Services de cryptographie
Démarré
et en Démarrage automatique

Image Journal des événements
Démarré
et en Démarrage automatique

Image Arrêter tous les logiciels de blocage de popups

Image Arrêter tous les logiciels de surveillance du Registre
TeaTimer de Spybot-S&D par exemple.

Image IE
Ne pas passer par DropMyRights / StripMyRights

Image IE
Accepter le chargement des contrôles ActiveX et les exécutions de scripts qui en découlent

Image Dans le dossier C:\WINDOWS\system32 ou WINNT\system32
Renommer le fichier wuweb.dll en wuweb.dll.non


Étape 2/ Dans Internet Explorer, vider l'historique de navigation.

Outils ---- Options Internet ----> Onglet Général

Dans le paragraphe Historique de navigation, cliquer sur le bouton Supprimer... (cocher Fichiers Internet temporaires, cookies, historique)


Étape 3/ Mettre le site http://windowsupdate.microsoft.com/ dans les sites de confiance.


Étape 4/ Si tout ceci n'a pas donné de résultat positif, Affichage du rapport de WindowsUpdate:

Démarrer---->Exécuter, taper %windir%\windowsupdate.log puis cliquer sur OK

Une fenêtre du Bloc-notes va s'ouvrir.

Attention!
Ce fichier est cumulatif.
Il ne faut copier en réponse que les lignes de la fin du fichier, à partir de la veille des essais ci-dessus (si tu fais les essais le 18/05/2011, il faut envoyer les lignes concernant les 17 et 18/05/2011).

A suivre,
nickW - Image
30/07/2012: Plus de désinfection de PC jusqu'à nouvel ordre.
Pas de demande d'analyse de log en MP (Message Privé)
Mes configs
Avatar de l’utilisateur
nickW
Modérateur
 
Messages: 21698
Inscription: 20 Mai 2004, 17:41
Localisation: Dordogne/Île de France

Suivante

Retourner vers Sécurité (Contamination - Décontamination)

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 44 invités

cron