Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PC qui rame!!!!

emma06

Par emma06
dans Analyses et éradication malwares

 Partager

Messages recommandés

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour/soir,

 

As-tu toujours des dysfonctionnements?

 

Si oui, poste un log Hijackthis pour une dernière vérification.

 

@++

emma06 Member

emma06

Posté(e)
  • Auteur
Posté(e)

Bonsoir,

mon pc rame toujours mais ça il le fait depuis un moment ( bien que j'ai l'impression que ça se soit amplifié) ce qui m'avait alerté c'était surtout ce processus wuauclt.exe qui s'active juste au démarrage! Peut-être est-ce normal je ne sais pas, mais comme j'avais lu qu'il pouvait s'agir d'un trojan je préférais poster ici pour avoir des avis! Si ce n'est rien je suis rassurée!

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonsoir Emma06.

 

Après quelques recherches, et malgré quelques contradictions (habituelles) il semble bien s'agir d'un malware bien que ressemblant très fort au processus de mises à jour automatiques de Windows.

 

Télécharge puis exécute cet outil: http://www.f-secure.com/tools/f-bot.exe

 

Cet outil doit être éliminé de suite après utilisation.

Juste avant le scan, désactiver la restauration du système et la réactiver après le passage de l'utilitaire.

 

Désactivation de la Restauration du système

Pour désactiver la Restauration du système, procédez comme suit : 1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.

2. Cliquez sur l'onglet Restauration du système.

3. Activez la case à cocher Désactiver la Restauration du système (ou la case à cocher Désactiver la Restauration du système sur tous les lecteurs), puis cliquez sur OK.

4. Cliquez sur Oui lorsque vous êtes invité à désactiver la Restauration du système.

 

Activation de la Restauration du système

Pour activer la Restauration du système, procédez comme suit : 1. Cliquez sur Démarrer, cliquez avec le bouton droit sur Poste de travail, puis cliquez sur Propriétés.

2. Cliquez sur l'onglet Restauration du système.

3. Désactivez la case à cocher Désactiver la Restauration du système (ou la case à cocher Désactiver la Restauration du système sur tous les lecteurs), puis cliquez sur OK.

 

Poster un nouveau log Hijackthis par la suite stp.

@+

emma06 Member

emma06

Posté(e)
  • Auteur
Posté(e) (modifié)

Re,

petit souci ac cet outil j'ai un message d'erreur systématiquement quand je le lance me disant qu'il y'a une erreur et qu'il doit fermer

Modifié par emma06
Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Tu es bien avec un compte d'administrateur?

 

On va faire autre-chose.

 

Si celui-là ne détecte rien, je n'y comprendrai plus rien...

 

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.

Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

  • Redémarre ton ordinateur
  • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
  • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
  • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
  • Choisis ton compte.

Déroule la liste des instructions ci-dessous :

  • Ouvre le dossier SDFix qui vient d'être créé dans le répertoire C:\ et double clique sur RunThis.bat pour lancer le script.
  • Appuie sur Y pour commencer le processus de nettoyage.
  • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
  • Appuie sur une touche pour redémarrer le PC.
  • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
  • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
  • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
  • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
  • Enfin, copie/colle le contenu du fichier Report.txt dans ta prochaine réponse sur le forum, avec un nouveau log Hijackthis !

N.B.:

- Le fichier SDFIX_README.htm (dans le dossier SDFix) contient la liste des malwares pris en compte par l'outil.

@ plus tard :P

emma06 Member

emma06

Posté(e)
  • Auteur
Posté(e) (modifié)

Bonjour!

J'ai fait toute la procédure et toujours rien!!! :P

 

 

 

SDFix: Version 1.115

 

Run by Utilisateur on 26/11/2007 at 13:03

 

Microsoft Windows XP [version 5.1.2600]

 

Running From: C:\DOCUME~1\UTILIS~1\Bureau\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

No Trojan Files Found

 

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

C:\WINDOWS

No streams found.

 

C:\WINDOWS\system32

No streams found.

 

C:\WINDOWS\system32\svchost.exe

No streams found.

 

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-11-26 13:11:43

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNIFFIM]

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\SNIFFIM]

 

scanning hidden registry entries ...

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\\xd8\x2022\x20ac|\xff\xff\xff\xff\22\x2022\x20ac|\xf9\x20229~\2]

"C040110900063D11C8EF10054038389C"="C?\WINDOWS\system32\FM20ENU.DLL"

 

scanning hidden files ...

 

 

scan completed successfully

hidden processes: 0

hidden services: 1

hidden files: 253

 

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program Files\\LimeWire\\LimeWire.exe"="C:\\Program Files\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\SightSpeed\\SightSpeed.exe"="C:\\Program Files\\SightSpeed\\SightSpeed.exe:*:Enabled:SightSpeed"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\Google\\Google Talk\\googletalk.exe"="C:\\Program Files\\Google\\Google Talk\\googletalk.exe:*:Enabled:Google Talk"

"C:\\Program Files\\FrostWire\\FrostWire.exe"="C:\\Program Files\\FrostWire\\FrostWire.exe:*:Enabled:LimeWire"

"C:\\Program Files\\Gizmo Project\\mDNSResponder.exe"="C:\\Program Files\\Gizmo Project\\mDNSResponder.exe:*:Enabled:Bonjour"

"C:\\Program Files\\Gizmo Project\\Gizmo.exe"="C:\\Program Files\\Gizmo Project\\Gizmo.exe:*:Enabled:Gizmo Project"

"C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YahooMessenger.exe:*:Enabled:Yahoo! Messenger"

"C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe"="C:\\Program Files\\Yahoo!\\Messenger\\YServer.exe:*:Enabled:Yahoo! FT Server"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program Files\\Skype\\Phone\\Skype.exe"="C:\\Program Files\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program Files\\MSN Messenger\\msncall.exe"="C:\\Program Files\\MSN Messenger\\msncall.exe:*:Enabled:Windows Live Messenger 8.0 (Phone)"

"C:\\Program Files\\MSN Messenger\\msnmsgr.exe"="C:\\Program Files\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program Files\\MSN Messenger\\livecall.exe"="C:\\Program Files\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Remaining Files:

---------------

 

 

Files with Hidden Attributes:

 

Sun 19 Mar 2006 262,144 A.SH. --- "C:\Program Files\MessengerDiscovery\SpellCHK.exe"

Mon 25 Jun 2007 61,440 A..H. --- "C:\Program Files\MSN Messenger\winmm.dll"

Sun 28 Jan 2007 5,297,976 A..H. --- "C:\Program Files\Picasa2\setup.exe"

Fri 8 Dec 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Fri 3 Nov 2006 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Sat 3 Nov 2007 2,846,720 A.SH. --- "C:\Documents and Settings\Utilisateur\Mes documents\Mes images\photos\Tunisie\SIV2.tmp"

 

Finished!

 

 

J'ai enlevé les dossiers cachés car ils contenaient tous des adresses msn... Est-ce normal que des logiciels que j'ai désinstallé apparaissent dans le rapport?

Modifié par emma06
emma06 Member

emma06

Posté(e)
  • Auteur
Posté(e)

Re,

En fait après d'autres recherches je pense qu'il s'agit du processus de windows updates car lorsque je désactive les mises à jour et que je termine le processus celui_ci ne revient pas donc je pense que ce n'est rien de méchant!

Par contre j'ai encore une petite question j'ai mes processus inactifs qui passent souvent à 0 ce qui me fait évidement bcp ramer est-ce normal? Je suppose que non mais bon y'a t-il un moyen d'y remédier ou c'est reformatage obligatoire?

Apollo Devil Member !

Apollo

Posté(e)
Posté(e)

Bonjour,

 

Désolé du retard pour répondre, j'étais absent.

 

Ceci relève plutôt su software; tu peux décocher les mises à jour automatiques à condition de penser à aller voir de temps en temps chez Windows Update ou Microsoft Update.

 

De toute façon, la mise à jour auto ne concerne QUE les mises à jour prioritaires; les secondaires ou personnalisées doivent toujours se faire manuellement.

 

Tu peux très utilement te renseigner sur les processus: http://forum.zebulon.fr/index.php?showtopic=92628

 

http://speedweb1.free.fr/frames2.php?page=service10

 

@ bientôt.

emma06 Member

emma06

Posté(e)
  • Auteur
Posté(e)

D'accord merci Apollo.01, je vais laisser les mises à jour de windows désactivées et je le ferai manuellement, ça fera toujours ça de moins au démarrage.

Merci pour ton aide!!

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...