Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

[Résolu] Ordinateur éteint, puis rallumé quand je reviens...

fallen

Par fallen
dans Analyses et éradication malwares

 Partager

Messages recommandés

  • 4 semaines après...
fallen Junior Member

fallen

Posté(e)
  • Auteur
Posté(e) (modifié)

Coucou de retour avec toujours le même problème sur ma machine je suis donc aller à la pêche aux infos...

 

/> je me suis pencher sur l'Observateur d'événements

Et la des choses étrange apparaissent, comme des boot, de multiples ouvertures de session, ainsi que des appel vers des serveurs (IP inaccessible ou temporaire)

 

Je suis partit de chez moi le 12/11/2015 l'ordinateur éteint à 13.08H ----

 

http://puu.sh/lsNGO/8cbf87b10f.png

http://puu.sh/lsNNk/a58a85ac74.png

http://puu.sh/lsNTC/f4a27ddd30.png

 

Et pas mal d'événements de ce type durant les 72h d'absences ..

http://puu.sh/lsNWO/fcc0fa5483.png

 

Avec des résumè d'évent comme ça;

Nom du journal :Security
Source :       Microsoft-Windows-Security-Auditing
Date :         30/09/2015 13:58:53
ID de l’événement :4672
Catégorie de la tâche :Ouverture de session spéciale
Niveau :       Information
Mots clés :    Succès de l’audit
Utilisateur :  N/A
Ordinateur :   PC-GAM-AID
Description :
Privilèges spéciaux attribués à la nouvelle ouverture de session.

Sujet :
	ID de sécurité :		Système
	Nom du compte :		Système
	Domaine du compte :		AUTORITE NT
	ID d’ouverture de session :		0x3E7

Privilèges :		SeAssignPrimaryTokenPrivilege
			SeTcbPrivilege
			SeSecurityPrivilege
			SeTakeOwnershipPrivilege
			SeLoadDriverPrivilege
			SeBackupPrivilege
			SeRestorePrivilege
			SeDebugPrivilege
			SeAuditPrivilege
			SeSystemEnvironmentPrivilege
			SeImpersonatePrivilege



Nom du journal :Application
Source :       ISCTAgent
Date :         13/11/2015 13:09:11
ID de l’événement :1000
Catégorie de la tâche :ISCT Agent Service
Niveau :       Information
Mots clés :    Classique
Utilisateur :  N/A
Ordinateur :   PC-GAM-AID
Description :
ISCT - CAgentState::ComputeNextPowerState   	Wake up by BIOS timer.

Quand je vois Wake-Up par BIOS alors que ce n'est pas pour qui l'ai programmer.

Modifié par fallen
Lien vers le commentaire
Partager sur d’autres sites
Pierre13 Godlike Member

Pierre13

Posté(e)
Posté(e)

Bonjour,

 

Sur ce sujet, on ne va traiter que la partie désinfection.

Pour le souci d'origine, faudra poster dans le forum Software ou Hardware suivant si c'est un souci logiciel ou matériel.

 

Pour terminer la désinfection et vu la date de la dernière analyse ZHPDiag, faudra refaire un nouveau rapport:

 

A lire avant de commencer.

Comment lever la protection SmartScreen :

Depuis la sortie de sa version 8, Microsoft intègre un système de protection contre les sites malveillants nommé « SmartScreen ».
Mais il s’avère que ce filtre bloque le téléchargement de nombreux logiciels légitimes.

tuto_smartscreen-300x227.jpg

Téléchargement ZHPDiag :



ZHPDiag_1-300x221.jpg


Démarrer la recherche :

  • – Cliquer sur « Scanner » pour démarrer la recherche.
  • – En cours de recherche, un compteur indique le nombre de détections.



ZHPDiag_2-300x220.jpg

  • – Laisser s'effectuer la recherche jusqu’à ce que la barre de progression atteigne le 100%
  • – Pour annuler la recherche, cliquer sur la touche « Echap ».
  • -- Cliquer sur Rapport à la fin du scan.
  • -- Héberger le rapport sur Cjoint (le rapport est sur le bureau)
  • -- Poster le lien vers ce rapport.

 

Si pas d'infection, on terminera ce sujet.

 

Note: Comme je suis grippé en ce moment, il est possible que je réponde en retard...

 

@++

Lien vers le commentaire
Partager sur d’autres sites
Pierre13 Godlike Member

Pierre13

Posté(e)
Posté(e) (modifié)

Re,

 

Merci pour les soins...ça va se faire.icon_Super.gif

 

Pour terminer la désinfection, nettoyage de trucs inutiles:

 

Télécharger ZHPFix sur cette page.


  • Sélectionner/copier ce code ci dessous :


----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
Script ZhpFix
FirewallRaz
EmptyPrefetch
EmptyTemp
EmptyFlash
[MD5.00000000000000000000000000000000] [APT] [8D-GmPlusTaskPlan] (...) -- C:\Program Files (x86)\8DGamingMouse\8DGamingMouse.exe (.not file.) [0] => Fichier absent
[MD5.25F9D1B948781A063E5FC73B9335306D] - (.Opera Software - Opera crash-reporter.) -- C:\Program Files (x86)\Opera\33.0.1990.115\opera_crashreporter.exe [504440] [PID.1692] © => Opera Software
O4 - HKUS\.DEFAULT\..\Run: [spybotPostWindows10UpgradeReInstall] . (.Safer-Networking Ltd. - Makes sure Spybot 2 is there on Windows 10..) -- C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe © => Spybot-S&D Cleaning
O4 - HKUS\.DEFAULT\..\Run: [sOS_Agent] C:\Program Files (x86)\Steganos Online Shield\OnlineShieldClient.exe (.not file.) => Fichier absent
O4 - HKUS\.DEFAULT\..\Run: [sOS Browser Monitor] C:\Program Files (x86)\Steganos Online Shield\SteganosBrowserMonitor.exe (.not file.) => Fichier absent
O4 - HKUS\S-1-5-18\..\Run: [spybotPostWindows10UpgradeReInstall] . (.Safer-Networking Ltd. - Makes sure Spybot 2 is there on Windows 10..) -- C:\Program Files\Common Files\AV\Spybot - Search and Destroy\Test.exe © => Spybot-S&D Cleaning
O4 - HKUS\S-1-5-18\..\Run: [sOS_Agent] C:\Program Files (x86)\Steganos Online Shield\OnlineShieldClient.exe (.not file.) => Fichier absent
O4 - HKUS\S-1-5-18\..\Run: [sOS Browser Monitor] C:\Program Files (x86)\Steganos Online Shield\SteganosBrowserMonitor.exe (.not file.) => Fichier absent
HKLM\SOFTWARE\Wow6432Node\Safer Networking Limited => Safer Networking Limited
HKCU\SOFTWARE\Mail.Ru
HKCU\SOFTWARE\Safer Networking Limited => Safer Networking Limited
HKCU\SOFTWARE\AppDataLow\Software\Mail.Ru
O43 - CFD: 21/11/2015 - [] D -- C:\ProgramData\boost_interprocess => boost.org
O43 - CFD: 01/09/2015 - [] D -- C:\ProgramData\Spybot - Search & Destroy => Safer Networking Ltd - Spybot S&D
O87 - FAEL: "{2D6A3493-C674-4E71-8FF3-26A3B55389DC}" [in-None-P17-TRUE] .(...) -- C:\Users\UTILISATEUR\AppData\Local\Maelstrom\Application\chrome.native.torrent.exe (.not file.) => Fichier absent
O87 - FAEL: "{B762516A-C17A-47EC-825A-A5A4AFBAABA2}" [in-None-P6-TRUE] .(...) -- C:\Users\UTILISATEUR\AppData\Local\Maelstrom\Application\chrome.native.torrent.exe (.not file.) => Fichier absent
O87 - FAEL: "{0632671F-F9F7-419E-B09F-0602BB089B7A}" [in-None-P17-TRUE] .(...) -- F:\Battle.net\Battle.net.exe (.not file.) => Fichier absent
O87 - FAEL: "{C93B4925-622E-4039-8DE4-4C0354617A37}" [in-None-P6-TRUE] .(...) -- F:\Battle.net\Battle.net.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{FCEA2423-5786-4BFE-9320-AD369D45C3E4}C:\games\world_of_warships\wowslauncher.exe" [in-None-P6-TRUE] .(...) -- C:\games\world_of_warships\wowslauncher.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{AC26A797-3998-438B-9AD9-A5C3520F5593}C:\games\world_of_warships\wowslauncher.exe" [in-None-P17-TRUE] .(...) -- C:\games\world_of_warships\wowslauncher.exe (.not file.) => Fichier absent
Sysrestore

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Lancer ZHPFix avec un clic droit et choisir Exécuter en tant qu'administrateur.

  • Cliquer sur « IMPORTER » ,
  • Le code doit apparaître
  • Dans ZHPFix, cliquer sur GO.
  • Laisser travailler l'outil.
  • S'il demande à redémarrer le PC, accepter.
  • Un rapport sera sur le bureau..Poster le contenu.

 

 

Une fois ceci fait, on désinstalle les outils:

 

 

  • Télécharger DelFix sur le bureau.
  • Cliquer uniquement sur ce bouton pour lancer le téléchargement.

    delfix10.jpg
  • Lancer l'outil avec un clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.
  • Cocher les cases comme dans cette capture

    delfix11.jpg
  • Cliquer sur Exécuter.
  • Laisser l'outil travailler.
  • Il va supprimer les outils de désinfection et disparaître lui même.
  • Ensuite, un rapport va s'ouvrir.(ne pas le fermer, sinon, il disparaît !)
  • Copier/coller son contenu dans ta réponse.


Faire un clic droit sur le bureau et choisir Actualiser pour faire disparaître les icônes des outils.
Vider la corbeille si besoin.

 

 

A lire absolument pour éviter ces d'infections courantes:

Lisez d'abord...Cliquez après.

Logiciels et sponsors.
Et sur cette page aussi, une belle liste...

Les dangers des cracks.

Les dangers du P2P

Poster les rapports !

Bon courage pour la suite...

 

@++

Modifié par Pierre13
Lien vers le commentaire
Partager sur d’autres sites

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...