Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

Pré-Nettoyage d'un PC infecté

Invité tesgaz

Par Invité tesgaz
dans Analyses et éradication malwares

 Partager

Messages recommandés

alexou59 Member

alexou59

Posté(e)
Posté(e)

Bonsoir,

 

Suite au problème de msdirectx, j'ai suivi vos instructions et voici mon log hisjackthis pour analyse merci pour la réponse.

 

Logfile of HijackThis v1.99.1

Scan saved at 19:02:14, on 10/07/2005

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

 

... ce rapport HijackThis a été reporté dans la discussion "Rapport HJT d'alexou59" -> http://forum.zebulon.fr/index.php?showtopic=70379

 

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program Files\Fichiers communs\Symantec Shared\Security Center\SymWSC.exe

BipBip07 Extrem Member

BipBip07

Posté(e)
Posté(e)

Bonsoir,

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

 

 

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- redémarrer en mode normal

Je n'ai pas lu tout les commentaires, mais si ce sujet n'a pas était évoqué voila ma remarque:

Je trouve qu'il faut plutot réaliser le rapport Hijackthis (et fixer les lignes) en mode normale car le mode sans echec risque de masquer le programmes qui se lancent au démarrage normale.

BipBip07 Extrem Member

BipBip07

Posté(e)
Posté(e) (modifié)

Salut alexou59,

Je te conseil plutot d'ouvrir ton propre sujet afin de résoudre ton souci car dans celui ci ton rapport Hijackthis passera surement innaperçu

5092971.jpg

 

A+

Modifié par BipBip07
ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)

Bonjour BipBip,

Bonsoir,

Je n'ai pas lu tout les commentaires, mais si ce sujet n'a pas était évoqué voila ma remarque:

Je trouve qu'il faut plutot réaliser le rapport Hijackthis (et fixer les lignes) en mode normale car le mode sans echec risque de masquer le programmes qui se lancent au démarrage normale.

533034[/snapback]

Quel plaisir d'avoir ta visite ! :P

 

Non, il n'y a pas de programmes masqués !

Il y a tout avantage à un rapport en mode sans échec en ce sens qu'un malware ne viendra pas géner (tout au plus, tu seras désorienté si tu regardes les processus puisqu'ils n'y sont pas -les infectieux-)

Les lignes du rapport sont toutes là (sauf les processus) puisque Merijn se base sur la base de registres et, parfois, la présence des fichiers sur le disque !

En mode sans échec, la base de registres est inchangée et donc, le rapport HJT, pareil !

 

C'est tout bon en mode sans échec !

BipBip07 Extrem Member

BipBip07

Posté(e)
Posté(e)

Ok merci pour l'info ipl_001 j'était perssuadé du contraire ! Comme quoi j'ai des progres a faire...

Mais je voudrais soulever ceci:

(tout au plus, tu seras désorienté si tu regardes les processus puisqu'ils n'y sont pas -les infectieux-)

Certains malwares ne se vois que dans les processus il me semble comme zut j'ai pas d'exemple sous la main :/ enfin bref...

 

Allez hop je pars faire un tour sur le forum "jeu" de Zeb (j'espere qu'il y en a un ihih)

ipl_001 Devil Member !

ipl_001

Posté(e)
Posté(e)
Ok merci pour l'info ipl_001 j'était perssuadé du contraire ! Comme quoi j'ai des progres a faire...

Mais je voudrais soulever ceci:

 

Certains malwares ne se vois que dans les processus il me semble comme zut j'ai pas d'exemple sous la main :/ enfin bref...

 

Allez hop je pars faire un tour sur le forum "jeu" de Zeb (j'espere qu'il y en a un ihih)

533112[/snapback]

Un processus provient de :

- un programme lancé dans le dossier Démarrage (user ou allusers) ou la base de registres (clés RUNxxx)

- un service

- un lancement volontaire par l'utilisateur (double clic)

- un autre processus

 

Regarde mieux les services à l'avenir ! LOL

 

comment, un jeu ?!?!?! On t'attend sur le forum Sécurité !

kango Junior Member

kango

Posté(e)
Posté(e)
Bonjour à tous. Les virus, adware, malware et autres spywares étant devenus de plus en plus sophistiqués et particulièrement coriaces à éradiquer pour certains d'entre-eux, il est apparu que la méthode de nettoyage préliminaire et d'analyse qui était proposée ne donnait plus toutes les garanties nécessaires en terme de localisation des infections présentes sur un PC.

 

Fort de ce constat et suite aux réflexions et suggestions d'IPL et Tesgaz :P , il vous est donc proposé d'expérimenter une nouvelle méthode qui allie légèreté (utilisation de deux logiciels) et efficacité (procédure de nettoyage antivermines et analyse en mode sans échec ; le mode sans échec ayant l'avantage de ne lancer que les processus indispensables au système d'exploitation, aucun virus résident ne démarrant dans ce mode).

 

Celle-ci se décompose en 4 phases que l'on peut résumer comme suit :

 

Phase 1 : mode normal : téléchargement outils (antivirus et logiciel HijackThis)

 

Phase 2 : redémarrage en mode sans échec, affichage de tous les fichiers (fichiers cachés et fichiers système)

 

Phase 3 : nettoyage simple du système (fichiers/dossiers inutiles), examen antivirus, installation et utilisation d'HijackThis

 

Phase 4 : redémarrage en mode normal et envoi du rapport HijackThis pour analyse

----------

HIJACKTHIS

 

Procédure préliminaire à toute demande d'analyse de rapport HijackThis.

 

Phase 1

 

- faire un copier/coller de ces instructions dans un fichier texte car la seconde partie de cette procédure va être effectuée en mode sans échec et donc, hors connexion.

 

- télécharger Antivir ( http://www.free-av.com ) et le paramétrer selon les indications de tesgaz ( http://speedweb1.free.fr/frames2.php?page=tuto5 )

 

- télécharger la dernière version d'HijackThis ( http://www.merijn.org/files/hijackthis.zip  ou http://telechargement.zebulon.fr/138-hijackthis-1991.html en cas d'indisponibilité !)

 

Phase 2

 

- redémarrer le PC, impérativement en mode sans échec, (n'ayant pas accès à Internet, vous avez préalablement copié ces instructions dans un fichier texte)

 

-- au redémarrage de l'ordinateur, une fois le chargement du BIOS terminé, il y a un écran noir qui apparaît rapidement, appuyer sur la touche [F8] ou [F5] jusqu'à l'affichage du menu des options avancées de Windows. Sélectionner "Mode sans échec" et appuyer sur [Entrée].

 

NB : en cas de problème pour sélectionner le mode sans échec, appliquer la procédure de Symantec "Comment démarrer l'ordinateur en mode sans échec" (http://service1.symantec.com/support/inter/tsgeninfointl.nsf/fr_docid/20020905112131924 )

 

-- à l'ouverture de session, choisir la session courante et non celle de l'administrateur

 

- Afficher tous les fichiers par cette modification des options de l'explorateur Windows :

 

Menu "Outils", "Option des dossiers", onglet "Affichage" :

 

Activer la case : "Afficher les fichiers et dossiers cachés"

Désactiver la case : "Masquer les extensions des fichiers dont le type est connu"

Désactiver la case : "Masquer les fichiers protégés du système d'exploitation"

Puis, cliquer sur "Appliquer".

Maintenant, vous avez accès à tous les fichiers et dossiers du système d'exploitation.

 

Phase 3

 

- nettoyage rapide du disque dur :

 

Démarrer / Exécuter / taper CleanMgr et valider

 

Cette fonction cleanmgr génére parfois un bug sous système Windows 2000, effectuer dans ce cas un nettoyage manuel : suppression de tous les fichiers contenus dans les dossiers

C:\TEMP

C:\WINDOWS\TEMP

C:\Documents And Settings\Session utilisateur\Local Settings\Temp

C:\Documents And Settings\Session utilisateur\Local Settings\Temporary internet files

 

Vider la corbeille

 

- recherche et élimination des parasites avec Antivir

lancer un scan complet du, ou des disques dur, et supprimer tous les fichiers infectés (s'ils existent)

 

- installation et utilisation d'HijackThis

-- créer un nouveau dossier à la racine de C:\Program Files\HijackThis (double clic sur  poste de travail/double clic sur l'icone de C/double clic sur le répertoire Program Files/clic droit dans la fenêtre, choisir nouveau dossier et le nommer HijackThis) ; dézipper le programme précédemment téléchargé lors de la phase 1 dans ce nouveau dossier HijackThis, créer un raccourci sur le bureau.

 

Important: surtout, ne pas créer ce dossier HijackThis dans un répertoire temporaire

 

-- arrêter tous les programmes en cours et fermer toutes les fenêtres   

 

-- lancer HijackThis à l'aide du raccourci et cliquer sur le bouton "Do a system scan and save a logfile"

-- le rapport HijackThis (fichier log) va être enregistré dans C:\Program Files\HijackThis (penser à ajouter un chiffre à la suite du nom du rapport si vous voulez conserver un historique de vos rapports ex : HijackThis 1, HijackThis 2...)

NB : en cas de problème, appliquer le Tutorial de BipBip (http://sitethemacs.free.fr/aide_enregistrement_de_hijackthi.htm avec copies d'écran).

 

Phase 4

 

- redémarrer en mode normal

 

- ouvrir le rapport HijackThis précédemment sauvegardé et faire : Ctrl-A, Ctrl-C puis, le coller dans un post ci-dessous (Ctrl-V) de manière à ce que nous vous disions ce qu'il faut faire.

 

- attendre l'analyse et la réponse.

----------

Manière d'utiliser cette procédure au sein d'une discussion :

- cliquer sur le bouton "Répondre" (à côté de "Citer" en bas à droite du message)

- Sélectionner la partie utile du texte (entre les lignes de tirets)

- Ctrl-C pour copier dans le Presse-papier

- annuler la réponse en cliquant sur la flèche "Retour arrière" (fonction du navigateur en haut à gauche de la fenêtre)

- Ctrl-V pour coller la procédure dans un post de la nouvelle discussion

- ajouter l'information "(Source : http://forum.zebulon.fr/index.php?act=ST&f=40&t=69176 )"

- (de cette manière, vous conserverez liens et mise en page)

- (vous pouvez aussi conserver la procédure dans un fichier texte -avec les balises- sur votre disque dur).

522499[/snapback]

BipBip07 Extrem Member

BipBip07

Posté(e)
Posté(e) (modifié)

---édition : post reporté -> http://forum.zebulon.fr/index.php?showtopic=70868 )

 

Salut kango,

Ton rapport est illisible et de plus creer ton propre message sur le forum afin de ne pas perturber celui ci et pour que notre aide soit plus efficace.

Tu peux déja commencer pas désinstaller Spyware Nuker qui est un faux utilitaire dangeureux:

http://assiste.free.fr/p/faux_utilitaires/...yware_nuker.php

 

Et désinstalles aussi antivir car tu as déja un antivirus AVG sur ton PC

 

avant de creer ton propre sujet et de reposser un rapport Hijackthis

edit: IPL_001 te la créé : http://forum.zebulon.fr/index.php?showtopic=70868[/b]

Modifié par BipBip07
Invité
Ce sujet ne peut plus recevoir de nouvelles réponses.
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...