Aller au contenu

  • Pas encore inscrit ?

    Pourquoi ne pas vous inscrire ? C'est simple, rapide et gratuit.
    Pour en savoir plus, lisez Les avantages de l'inscription... et la Charte de Zébulon.
    De plus, les messages que vous postez en tant qu'invité restent invisibles tant qu'un modérateur ne les a pas validés. Inscrivez-vous, ce sera un gain de temps pour tout le monde, vous, les helpeurs et les modérateurs ! :wink:

PLZ help! plus de restauration+info systeme+rechercher

doudou28

Par doudou28
dans Analyses et éradication malwares

 Partager

Messages recommandés

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut doudou28 :-(

 

Comme je te disait il n'est pas évident de faire du nettoyage à distance!! Lorsqu'on installe un programme, il a la facheuse tendance à vouloir se lancer au démarrage de Windows!Ce qui allonge ,à force , le temps de boot,

et ralentit le système inutilement car certains programmes peuvent être démarrés manuellement quand on en a besoin!

De plus on ne sait pas vraiment quel programme l'internaute utilise, ses préférences etc...(MSN qui se lance au démarrage ou pas par ex...)

 

Donc pour le processus " SysTray.Exe" ,il s'agit bien de l'icône que tu vois dans ta barre des tâches et qui t'affiche des infos sur le contrôle du volume; le niveau de la batterie ...etc?

 

Pour info j'ai eu un message d'erreur aprés avoir executer le fixe !!! je ne peux pas te dire quel erreur car j'ai fais un clique par erreur (DSL), je te post qd meme un new rapport hjt

Apres avoir fixé les lignes dans hijackthis tu veuxx dire??bizarre!

 

_Y a t il un moyen de savoir quel sont les infos qui on été récupérer par ce fameux "Perlogger" ?

Tu veux parler de ceci?=>

C:\System Volume Information\_restore{D7056A9E-C16F-4A2D-8DCB-52BC845A2C6F}\RP4\A0002379.exe/rinst.exe Infecté: Trojan-Spy.Win32.Perfloger.f ignoré

Voilà ce qu'on peut en lire chez CounterSpy=>

http://research.sunbelt-software.com/threa...&threatid=43723

 

je traduit:

Les menaces à haut risque sont habituellement installées sans que l'internaute ne le sache,en exploitant une faille de sécurité et peut compromettre l'intégrité de votre pc sérieusement..Ces menaces utilisent des connexions de manière illicite,désactivent les programmes de sécurité,modifient des fichiers système,et installent d'autres malwares...Ils peuvent aussi collecter des informations personnelles sans votre consentement....

 

Ca ne veut pas dire que le malware a forcément envoyé des infos vers l'extérieur!Et pour te dire quelles infos...c'est carrément impossible!

 

_je commence à me piqué au jeu du clean et de l'éradication de malware... as tu un ouvrage, un site, une methode à me recommandé ?

Un de plus dans l'équipe? :P Ok pour les infos sur hijackthis lui même et la facon de l'utiliser=>

 

http://www.zebulon.fr/articles/analyse-rap...jack-this-1.php

 

Le centre de Contrôle AntiMalware par ipl_001 :P =>

http://gerard.melone.free.fr/IT/IT-antiMW.html

 

Voilà, tu as déjà de quoi faire!!Pour ce qui est de repérer les processus et services liés aux malwares, tuas plusieurs base de données sérieuses, mais aussi...Google!

Tu as tous les liens vers ces super sites dans les pages de ipl_001(Bleeping Computer,CastleCops....)

 

Pour continuer dans les bonnes mesures, le scan de Kaspersky a trouvé des fichiers infectés dans la restauration système:pour ne pas restaurer un système vérolé en cas de problème, il faut la désactiver comme ceci(à faire uniquement si ton pc fonctionne correctement)>

 

Supprime la restauration système : ( aide visuelle http://service1.symantec.com/SUPPORT/INTER...46?OpenDocument

Cliquez sur Démarrer.

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés.

Cliquez sur l'onglet «Restauration du système».

Sélectionnez «Désactiver la Restauration du système» ou «Désactiver la Restauration du système sur tous les lecteurs»

Cliquez sur Appliquer.

Comme le dit le message, ceci supprimera tous les points de restauration existants. Pour faire cela, cliquez sur Oui.

Cliquez sur OK, redémarrer votre PC.Fais l'opération inverse, et réactive la restauration:un nouveau point sera automatiquement créé.

 

@+ tard :-P

doudou28 Member

doudou28

Posté(e)
  • Auteur
Posté(e)

ok MAESTRO CHARLES

 

Je pense que c'est bon pour La restauration du systeme. :P

Par contre je viens de découvrir un new pb.............. Je ne sais pas si cela est lier aux pb precedents mais je ne peux plus Executer les commandes Ipconfig et ping

Thanos Devil Member !

Thanos

Posté(e)
Posté(e) (modifié)

salut doudou28 :P

 

Essaie un truc pour voir: Va dans les options de Zone Alarm(onglet "Contrôle des Programmes") et assure toi que "Command TCP\IP" soit bien autorisée! => pas de croix rouge devant!

Si il y a un point d'interrogation,ZA te demandera ton autorisation à chaque commande lançée

Si il y a une croix la commande sera bloquée.

Si il y a une virgule verte, ce sera fait sans te demander ton avis à nouveau!

Modifié par charles ingals
doudou28 Member

doudou28

Posté(e)
  • Auteur
Posté(e)

Bonsoir Charles :-(

 

_je viens de voir ton post et j'ai suivi tes conseils =>=> tcp ip était en effet desactivé dans ZA j'ai réactivé

mais ca coince encore

En fait qd je tape mes commande ipconfig ou ping j'ai une fenetre type DOS mais trés furtive, ca dure à

peine une demie seconde

 

_Ca me travail ce perfloger :P:-P j'ai beaucoup pensé à ce truc today et j'ai encore une question d'aprés toi

y a t il un moyen de savoir si il à été installé de l'intérieur (accés direct au pc :P ) ou de L'exterieur (le net) ???

 

_merci pour les liens hjt mais je me dis qu'un vieux routard comme ça doit bien avoir des prog perso ou des check list enfin bref des outils avec une methode de travail et une organisation....... lol je t'imagine derriere ton pc en train de te dire ça fait des années que j'y travail et lui le petit jeunot il veut tt apprendre comme ça ====>wizzzz =====>non je te rassure j'essaye de bouffer du log hjt à profusion pour m'habitué à faire du repérage

doudou28 Member

doudou28

Posté(e)
  • Auteur
Posté(e)

Bonsoir Charles :-(

 

_je viens de voir ton post et j'ai suivi tes conseils =>=> tcp ip était en effet desactivé dans ZA j'ai réactivé

mais ca coince encore

En fait qd je tape mes commande ipconfig ou ping j'ai une fenetre type DOS mais trés furtive, ca dure à

peine une demie seconde

 

_Ca me travail ce perfloger :P:-P j'ai beaucoup pensé à ce truc today et j'ai encore une question d'aprés toi

y a t il un moyen de savoir si il à été installé de l'intérieur (accés direct au pc :P ) ou de L'exterieur (le net) ???

 

_merci pour les liens hjt mais je me dis qu'un vieux routard comme ça doit bien avoir des prog perso ou des check list enfin bref des outils avec une methode de travail et une organisation....... lol je t'imagine derriere ton pc en train de te dire ça fait des années que j'y travail et lui le petit jeunot il veut tt apprendre comme ça ====>wizzzz =====>non je te rassure j'essaye de bouffer du log hjt à profusion pour m'habitué à faire du repérage

 

Excuse Charles je reviens à la charge parceque je viens de trouver ça http://www.presence-pc.com/forum/ppc/Telec...ujet-3833-1.htm

Je ne comprends pas ça => " quand je tape ipconfig ou quand je fais un ping dans c:\windows\systeme32 ca marche nikel "

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut doudou26

 

Bonne recherche!!, il est possible que la variable d'environnement PATH ait été écrasée lors de l'installation d'un programme.Va voir ici : clique droit sur le Poste de Travail => Propriétés=>onglet Avancé=> clique sur le bouton variables d'environnement, puis dans le champs "variable system" repère la variable Path.

Tu double clique dessus, et une fenêtre s'ouvre : assure toi que les chemins indiqués soient bons =>

tu dois voir ceci => %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem

Dis moi si c'est le cas! tu as peut être trouvé la soluce puisque ping fonctionne dans c:\windows\systeme32 :P

 

lol je t'imagine derriere ton pc en train de te dire ça fait des années que j'y travail et lui le petit jeunot il veut tt apprendre comme ça ====>wizzzz =====>non je te rassure j'essaye de bouffer du log hjt à profusion pour m'habitué à faire du repérage

je n'analyse des rapport que depuis aout de l'année dernière,je suis un bleu!! Sinon pas de programme spécial :P juste des recherches et toujours des recherches + les bases de données des sites dont je te parlais plus haut!

 

@+

doudou28 Member

doudou28

Posté(e)
  • Auteur
Posté(e)

salut doudou26

 

Bonne recherche!!, il est possible que la variable d'environnement PATH ait été écrasée lors de l'installation d'un programme.Va voir ici : clique droit sur le Poste de Travail => Propriétés=>onglet Avancé=> clique sur le bouton variables d'environnement, puis dans le champs "variable system" repère la variable Path.

Tu double clique dessus, et une fenêtre s'ouvre : assure toi que les chemins indiqués soient bons =>

tu dois voir ceci => %SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem

Dis moi si c'est le cas! tu as peut être trouvé la soluce puisque ping fonctionne dans c:\windows\systeme32 :P

je n'analyse des rapport que depuis aout de l'année dernière,je suis un bleu!! Sinon pas de programme spécial :-P juste des recherches et toujours des recherches + les bases de données des sites dont je te parlais plus haut!

 

@+

 

Bonjour Charles :-(

je viens de regarder la variable indiquée ci dessus et voila ce que je trouve chez moi

 

Nom de variable: Path

 

Valeur de la variable: %SYSTEMROOT%\system32;%SYSTEMROOT%\system32\wbem;C:\PROGRA~1\ATITEC~1

\ATICON~1;%SYSTEMROOT%;%SYSTEMROOT%\system32\WBEM;C:\Progam Files\ATI Technologies\ATI Control Panel

 

J'espere ne pas avoir fait de faute en copiant la variable (j'ai verifié 2 fois), impossible de faire un copier coller ..............Il semblerai donc que celle-ci est bien été écrasée !!!

 

Dois-je la remplacer par celle que tu m'as indiqué ??? Maintenant que mon Pc est clean je prefere attendre ta réponse..... en tt cas permet moi de te dire que c'est un vrai plaisir d'etre driver par un pro... Merci Maestro

 

Ps: au fait j'étais serieux pour l'apéro :P

Thanos Devil Member !

Thanos

Posté(e)
Posté(e)

salut doudou28

 

Je serais tenté de te fairre remplacer les chemins comme ceci:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\PROGRA~1\ATITEC~1

\ATICON~1;C:\Progam Files\ATI Technologies\ATI Control Panel

 

Je vais quand même m'assurer que c'est bon :P je ne comprends pas le fait que les variables soient doublées dans ton cas??

@+ tard :P

doudou28 Member

doudou28

Posté(e)
  • Auteur
Posté(e)

salut doudou28

 

Je serais tenté de te fairre remplacer les chemins comme ceci:

 

%SystemRoot%\system32;%SystemRoot%;%SystemRoot%\System32\Wbem;C:\PROGRA~1\ATITEC~1

\ATICON~1;C:\Progam Files\ATI Technologies\ATI Control Panel

 

Je vais quand même m'assurer que c'est bon :P je ne comprends pas le fait que les variables soient doublées dans ton cas??

@+ tard :-P

 

 

Ok Charles je reste donc en attente de confirmation avant une eventuelle modif......... pour ma part je te dis

:P a ce soir

Rejoindre la conversation

Vous pouvez publier maintenant et vous inscrire plus tard. Si vous avez un compte, connectez-vous maintenant pour publier avec votre compte.
Remarque : votre message nécessitera l’approbation d’un modérateur avant de pouvoir être visible.

Invité
Répondre à ce sujet…

×   Collé en tant que texte enrichi.   Coller en tant que texte brut à la place

  Seulement 75 émoticônes maximum sont autorisées.

×   Votre lien a été automatiquement intégré.   Afficher plutôt comme un lien

×   Votre contenu précédent a été rétabli.   Vider l’éditeur

×   Vous ne pouvez pas directement coller des images. Envoyez-les depuis votre ordinateur ou insérez-les depuis une URL.

×
 Partager
Aller sur la liste des sujets

  • En ligne récemment   0 membre est en ligne

    • Aucun utilisateur enregistré regarde cette page.
×
×
  • Créer...