Procédure de désinfection

[invite16d51cc8]

Bonjour !

Mon pc rame un peu trop depuis quelques temps, j'ai pu remarquer à plusieurs reprise des messages de la bare de tâche de windows "mémoire virtuelle inssufisante", alors qu'il n'y avait qu'avast, msn et pando qui tournaient.
J'ai remarqué aussi des énormes ralentissements au niveau de ma connection, les pages mettent un temps fou à se charger, alors que je possède l'ADSL, normalement c'est bien plus rapide.

J'ai aussi trifouillé un peu dans les processus et la programmes lancés au démarrage, et me suis documenté à l'aide de la pacman start list (je crois que c'est le nom). Des processus comme rasautou.exe, tcpsvc.exe, nvsvc.exe, csrss.exe, wdfmgr.exe m'ont parrus bizarres. Je n'ai pas su s'ils s'agissait de malware/trojan/vers/ étant donné que les emplacements me paraissaient bon. Ce qui me fait douter est que je ne l'ai ai pas forcement vu auparavant ...

J'ai essayé de désinfecter moi même au travers d'un scan Avast, Hijackthis et Ad-Aware, mais rien n'y à fait...

J'ai donc suivi votre procédure, et je poste mes rapports ici.
Si vous pouviez m'apporter un peu d'aide, merci à vous.

(PS: pour info, voici ma config :
AMD Athlon 64 3200+
Nvdia Geforce 6600
512 Mo RAM
Windows XP Service Pack 2 Home Edition
Avast Home Edition )
-----

[invitebf5cd8b2]

Bonjour gd*T,

Dans les processus que tu cites, certains peuvent être malicieux, mais pour la plupart ce sont des processus légitime, voir même indispensable.

Télécharge AVG Anti-Spyware

1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.

Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

1. Du mode Sans Échec, lance AVG Anti-Spyware,
2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

Poste moi le rapport en pièces jointes.

Bonne soirée
Cyrrus

[invite16d51cc8]

Ok !
Je finis mon jardinage et puis je teste tout cela.

Merci !

[invite16d51cc8]

Voilà, désolé de m'être absenté un petit temps .
J'ai sauvegardé le rapport, mais impossible de mettre la main dessus pour l'instant ...
Peut etre n'est-il accessible qu'en mode sans echec ?

Mon net rame toujours autant ... J'ai désinstallé pando, fais des dizaines de scan , cherché les rootkits, décortiqué les processus, rien n'y fait ...
J'ai trouvé quelques processus inconnu qui utilisaient tcpsvcs je crois.

Tout les scans hijackthis, et tout les logiciels anti malware ne m'ont servi à rien, que dois-je faire ? !

[A voir en vidéo sur Futura]

[invite9bff601c]

Hello !

Le rapport est accessible en mode normal.

C:\Documents and Settings\nom de session\Application Data\Grisoft\AVG Antispyware 7.5\Reports

Il doit normalment être la.
Poste le pour voir ce qu'il en est.

Bonne journée

[invite16d51cc8]

Merci =) !

Voici le rapport

[invite9bff601c]

Bonsoir,

fais ceci :

Télécharge Gmer sur ce lien

Déconnecte toi d'internet si possible et ferme tous les programmes.
Décompresse le fichier zip et double-clic sur gmer.exe
IMPORTANT Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
Clic sur l'onglet "rootkit"
A droite, coche "Files" et "Services"
Clic sur Scan
Lorsque le scan est terminé, clique sur "copy"

Ouvre le bloc-note et clique sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistre le fichier sur ton bureau et poste le rapport dans ta prochaine réponse.


Bonne soirée

[invite16d51cc8]

Voici

Merci

[invite9bff601c]

Bonsoir,

il y a un fichier qu'il faut faire analyser, procède ainsi :

Télécharge IceSword de pjf_ sur ce lien http://mail2.ustc.edu.cn/~jfpan/down...word120_en.zip

• Dézippe le sur ton bureau.
• Ouvre le dossier qui vient d'être créé
• Double-clique sur IceSword
• Dans la colonne de gauche, clique sur File
• Clique sur la croix de Local Disk ( C: )
• Clique sur la croix de Windows
• Clique sur la crois de system32
• Clique sur le dossier Driver
• Recherche le fichier suivant SPTD8573.SYS
• Une fois trouvé, clique-droit dessus, choisis Copie to...
• Nomme le "gdt.sys" et enregistre le sur ton Bureau.
• Ferme IceSword

============================== =============================

Rend toi sur ce site http://www.virustotal.com/en/indexf.html

• Clique enhaut à droite sur Parcourir
• Navigue dans les dossier pour trouvé ce fichier : gdt.sys (il est sur ton Bureau)
• Clique sur Send
• Le scan peut etre long à se lancer, donc soit patient
• A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte
• Poste ce fichier dans ta prochaine réponse

Attention : Assure toi de prendre le résultat du scan de ton fichier ( le nom du fichier apparaît en haut )

Bonne soirée

[invite16d51cc8]

Bon, ... je viens de faire le scan, et aucun "virus found".

Aditional information
File size: 96256 bytes
MD5: d7fd0ff761e28ac0ea35ad71e0cd67 e9
SHA1: 40f88d937ceba8cf73ffa1110e8419 1ef20dad6f

Voilà. Rien de plus : /
Merci de votre temps !

[invite9bff601c]

Bonsoir,

je ne suis pas sur que cela soit du à un malware....Essaie ceci, peut petreplus efficace :

Optimisation diverse

=> Zeb-Utility 1.2 de sebdraluorg

• Téléchargement >>http://telechargement.zebulon.fr/204-zeb-utility.html
• Tuto >> http://www.zebulon.fr/articles/zebutility.php

=> Safe Xp

• Téléchargement >> http://www.theorica.net/safexp.htm

Nettoyage des fichiers temporaires

=> CCleaner [list][*]Téléchargement >> http://www.ccleaner.com/[*]Tuto >> http://perso.orange.fr/jesses/Docs/L...s/CCleaner.htm


Dis moi si ça va mieux, pense aussi à défragmenter ton système régulièrement.

On pourra d'autre chose, mais fais déjà ceci, ce sera peut être efficace.

Bonne soirée

[invite16d51cc8]

J'ai tout nettoyé à peu près, mais la mémoire reste toujours autant utilisée ...
Je suis pratiquement sur que cela vient de Pando. Tout à l'heure, j'ai ouvert le gestionnaire de périphérique, et dans la liste des processus était pando.exe alors que je ne l'avais pas lancé, il n'était même pas réduit en barre de tâche. Je pense qu'étant donné que c'est un bittorent non sécurisé, il doit utiliser mon net et ma mémoire.
Je l'ai enlevé, mais il est possible qu'il reste des fichiers, des trojans ou qqs chose comme ça. Avez vous une dernière suggestion qui me permettrait de les enlever, sachant que toute la procédure avant ne les a pas forcement reconnu, et qu'un scan antivirus non plus ?
Je pensais par exemple faire un netstat et regarder ce qui utilises le protocoleTCP/IP, virer ce qui semble bizarre ...
?
Merci !

[invite16d51cc8]

[EDIT] : en gros, quand je rentre une url dans mon browser (firefox), pendant 6 à 8 secondes environ le petit cercle de chargement tourne, il ne se passe rien, puis d'un coup la petite barre verte en bas à droite se charge et la page s'affiche. Alors qu'avant, tout cela se fesait bien plus rapidement, le texte d'abord et les images ensuite, en l'espace de 3 - 4 secondes maximum ( j'ai un abonnement ADSL 512 ) )

[invite16d51cc8]

[Re-Edit]: j'ai aussi pas mal de svschost lancé (plus que d'habitude il me semble) et ils prennent pas mal de mémoire ( 27 000 pour le plus gros )

[invite9bff601c]

Bonjour,

Ok, on va essayer de regarder cela.

• Ouvre le Dossier nommé Diaghelp
• Double-clique sur go.cmd (le .cmd peut ne pas apparaître)
• Une fenêtre va s'ouvrir, choisis l'option 2
• L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
  [
• Poste le rapport qui s'affiche dans ton prochain post.

Poste moi le rapport généré ainsi qu'un nouveau log Hijackthis.

Cette opération me permettra de voir s'il y a un processus tentant d'accèder à internet non légitime.

Bonne journée

[invite16d51cc8]

Bien bien !

Voici donc le rapport DiagHelp, et le nouveau Hijackthis

Merci !

[invite9bff601c]

Re,

De quand date ta désinstallation de Norton ?

• Démarrer > Exécuter et taper Services.msc puis OK
• Choisir le mode "Etendu" (onglets inférieurs)
• Grâce à la barre de défilement (à droite) rechercher le service suivant : Symantec Network Drivers Service
• Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).
• Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,
• Dérouler le Type de Démarrage pour le modifier en Désactivé
• Cliquer sur Appliquer puis OK

• Lancer Hijackthis, choisir Open the Misc.Tools section, la fenêtre « Configuration » va s'ouvrir
• Cliquer sur Delete a NT service... : la fenêtre "Delete a Windows NT service" va s'ouvrir
• Entrer dans la zone de dialogue : SNDSrvc
  Note : assurez-vous de ne mettre d'espace, ni avant, ni après !
• Cliquer OK
• Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.
• Cliquer NO

============================== ============================

Peux-tu me dire qu'est-ce que ce pando ? Un logiciel que tu utilises ?

Lance HiJackThis, choisis Open the Misc Tools Sections, coche les deux cases suivantes :

• List also minor sections (full)
• List empty sections (complete)

Clique sur Generate StartupList log, sauvegarde le rapport et poste le dans ta prochaine réponse.

Bonne journée

[invite16d51cc8]

: /

Je ne peux pas supprimer SNDSrvc par le biais de Hijackthis, il me dit que c'est un processus critique de windows et par conséquant qu'il ne peut pas le supprimer.
Pando est un logiciel fonctionnant sur le principe bittorent je crois.
C'est très utile car ça permet d'outrepasser la limite d'upload sur les serveurs classiques, donc pratique et rapide si je veux envoyer un gros fichier à une personne.
Accessible à cette adresse [ http://www.pando.com ]
J'ai lu avant-hier que ce n'était pas du tout sécurisé par contre ...
Et comme je n'ai pas de pare-feu , : / j'ai peur d'avoir été infecté par ce biais.
Tiens, voilà pour la startuplist !
Merci encore, on avance ^^ !

[invite16d51cc8]

Et là dedant, tout est normal ... ?
Ca me semble très très louche ...

Merci de votre aide

[invite16d51cc8]

J'peux faire un netstat -abnov > fichier.txt pour que vous puissiez voir mais j'suis pas sur que ça soit très malin de poster ceci sur un forum publique non ? ...
Par mp peut-être ?

[invite9bff601c]

Bonjour,

tu peux le faire, on doit valider les pièces jointes, je la supprimai une fois que je l'aurai lu.

J'ai pas encore eu le temps de regarder ton précédent log, je le ferai surement demain.

Poste moi le fichier si tu peux le faire.

Bonne soirée

[invite16d51cc8]

Ok, merci beaucoup !
J'ai trouvé un vers sur mon pc "DCOM Exploit", j'ai donc fermé pas mal de ports (dont le 135 si je me rapelle bien, spécifique aux attaques du vers), il à l'air de ne plus retenter ses attaques .

Voilà le netstat d'hier, avant fermeture, et celui actuel .

Je pensais sinon pourquoi pas à partitionner mon disque dur et formater, si c'est possible de se servir d'une partition comme sauvegarde ...

Bonne soirée de même

[invite9bff601c]

Bonjour,

Tu peux te servir d'une partition comme sauvegare, mais il faut qu'elle soit déjà existante.

Un truc a du m'échapper, il faut trouver quoi...

Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :

• Redémarre ton ordinateur
• Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
• A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
• Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
• Choisis ton compte.

Déroule la liste des instructions ci-dessous :

• Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
• Appuie sur Y pour commencer le processus de nettoyage.
• Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
• Appuie sur une touche pour redémarrer le PC.
• Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
• Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
• Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
• Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
• Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum

Normalement, il devrait trouver si tu as une backdoor sur ton pc.

Bonne journée

[invite16d51cc8]

Voilà pour le rapport, merci !

[invite16d51cc8]

Une petite question au passage ... : est ce que je peux aller dans la base de registre par le biais de "regedit", puis supprimer toutes les entrée qui me servent plus ?
Parce que dans le rapport, quand je vois Kazaa ( que je n'ai jamais installé ), ou encore Symantec (saloperie de Norton que j'ai désintallé depuis plus d'un ans...), ca me fait dresser les cheveux sur la tête
Ca ne risque rien ? Toutes les supprimer, qu'elles soient dans HL_Key_Local_Machine , ..Current User ou ..Local_Root ?

[yoda1234]

Une petite question au passage ... : est ce que je peux aller dans la base de registre par le biais de "regedit", puis supprimer toutes les entrée qui me servent plus ?

Bonsoir,

a mon avis tu devrais d'abord suivre les instructions d'igor51 et ensuite t'occuper de ce je pourrais appeler l'optimisation du système.

[invite16d51cc8]

D'accord, mais j'pourrais le faire sans risque après ?
Pour mon problème vis-à-vis d'internet, j'ai l'impression que y'a qqch qui bloque l'accès aux machines DNS ou quelquechose comme ça... j'y connais pas grand chose, mais j'ai observé que souvent le nom de domaine n'est pas trouvé alors qu'il existe (il marche après 4 ou 5 essaie), et de plus les pages ne se chargent pas, c'est seulement au bout de 8 - 10 secondes, et tout s'affiche d'un coup ...
Alors j'ai pensé que c'était peut-être un problème avec ceci.
Merci

[JPL]

Bonne remarque. Et quand tu en seras à l'optimisation du système, si tu ne veux pas te casser la tête pour bidouiller la base de registre à la main, utilises Ccleaner pour enlever automatiquement les clés inutiles. JV16 PowerTools est encore plus efficace, mais après 1 mois il faut l'acheter si tu veux garder toutes ses fonctions.

[invite9bff601c]

Bonsoir à tous,

Bon, déjà SDFix a trouvé quelque chose, et c'est pas mal...

On va faire quelque petit truc :

Télécharge ComboFix de sUBs
Sauvegarde le sur ton Bureau et pas ailleurs!
Double clique sur Combofix.exe et suis les instructions.
Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

============================== =============================

-Télécharger jv16:
http://telechargement.zebulon.fr/201...owertools.html

-pour plus de détails=>son tutorial:
http://www.zebulon.fr/articles/base-de-registre-3.php

- Mettre le logiciel en français Preferences > Language > Français > OK.

- Ensuite, Outils registre > menu Outils > nettoyeur de registre.

- Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

- Cliquer sur "Continuer" puis sur "Démarrer".

- Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"
puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

============================== =============================

Poste moi les deux rapports générés.

bonne soirée

[invite16d51cc8]

Voilà pour les rapports ...
Si c'était possible d'enlever tout les fichiers que je poste au fur et à mesure, ça m'arrangerait...
Une fois le sujet clos cela sera possible ?
Merci