Répondre à la discussion
Page 1 sur 2 1 DernièreDernière
Affichage des résultats 1 à 30 sur 39

Procédure de désinfection



  1. #1
    gd*T

    Procédure de désinfection

    Bonjour !

    Mon pc rame un peu trop depuis quelques temps, j'ai pu remarquer à plusieurs reprise des messages de la bare de tâche de windows "mémoire virtuelle inssufisante", alors qu'il n'y avait qu'avast, msn et pando qui tournaient.
    J'ai remarqué aussi des énormes ralentissements au niveau de ma connection, les pages mettent un temps fou à se charger, alors que je possède l'ADSL, normalement c'est bien plus rapide.

    J'ai aussi trifouillé un peu dans les processus et la programmes lancés au démarrage, et me suis documenté à l'aide de la pacman start list (je crois que c'est le nom). Des processus comme rasautou.exe, tcpsvc.exe, nvsvc.exe, csrss.exe, wdfmgr.exe m'ont parrus bizarres. Je n'ai pas su s'ils s'agissait de malware/trojan/vers/ étant donné que les emplacements me paraissaient bon. Ce qui me fait douter est que je ne l'ai ai pas forcement vu auparavant ...

    J'ai essayé de désinfecter moi même au travers d'un scan Avast, Hijackthis et Ad-Aware, mais rien n'y à fait...

    J'ai donc suivi votre procédure, et je poste mes rapports ici.
    Si vous pouviez m'apporter un peu d'aide, merci à vous.

    (PS: pour info, voici ma config :
    AMD Athlon 64 3200+
    Nvdia Geforce 6600
    512 Mo RAM
    Windows XP Service Pack 2 Home Edition
    Avast Home Edition )

    -----

    Fichiers attachés Fichiers attachés

  2. Publicité
  3. #2
    Cyrrus

    Re : Procédure de désinfection

    Bonjour gd*T,

    Dans les processus que tu cites, certains peuvent être malicieux, mais pour la plupart ce sont des processus légitime, voir même indispensable.

    Télécharge AVG Anti-Spyware
    1. Lance AVG Anti-Spyware et clique sur le bouton Mise à jour (barre d'outils - au haut). Sous Mise à jour manuelle clique Commencer la mise à jour.
    2. Tu verras ceci juste au bas, lorsque la mise à jour sera complétée : "Mise à jour réussie"
    3. Ferme AVG Anti-Spyware. Ne pas le lancer tout de suite.
    Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    1. Du mode Sans Échec, lance AVG Anti-Spyware,
    2. Choisis l'onglet Analyse puis sur Paramètre, clique sur Actions recommandées : La, choisis Quarantaine.
    3. Clique sur le bouton Analyse (de la barre d'outils) et ensuite clique sur Analyse complète du sytème. Le scan prendra un certain temps, donc sois patient.
    4. AVG Anti-Spyware affichera une liste des fichiers détectés, sur la gauche. En fin de scan, l'outil appliquera les "Actions" à appliquer automatiquement". Clique sur le bouton Appliquer toutes les actions. AVG Anti-Spyware affichera "Toutes les actions ont été effectuées" du côté droit.
    5. Clique sur "Enregistrer le rapport", puis "Enregistrer sous". Ceci génère un rapport en fichier texte. Assure-toi de le sauvegarder dans un endroit sûr (sur ton Bureau, par exemple).

    Poste moi le rapport en pièces jointes.

    Bonne soirée
    Cyrrus

  4. #3
    gd*T

    Re : Procédure de désinfection

    Ok !
    Je finis mon jardinage et puis je teste tout cela.

    Merci !

  5. #4
    gd*T

    Re : Procédure de désinfection

    Voilà, désolé de m'être absenté un petit temps .
    J'ai sauvegardé le rapport, mais impossible de mettre la main dessus pour l'instant ...
    Peut etre n'est-il accessible qu'en mode sans echec ?

    Mon net rame toujours autant ... J'ai désinstallé pando, fais des dizaines de scan , cherché les rootkits, décortiqué les processus, rien n'y fait ...
    J'ai trouvé quelques processus inconnu qui utilisaient tcpsvcs je crois.

    Tout les scans hijackthis, et tout les logiciels anti malware ne m'ont servi à rien, que dois-je faire ? !

  6. #5
    igor51

    Re : Procédure de désinfection

    Hello !

    Le rapport est accessible en mode normal.

    C:\Documents and Settings\nom de session\Application Data\Grisoft\AVG Antispyware 7.5\Reports

    Il doit normalment être la.
    Poste le pour voir ce qu'il en est.

    Bonne journée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  7. A voir en vidéo sur Futura
  8. #6
    gd*T

    Re : Procédure de désinfection

    Merci =) !

    Voici le rapport
    Fichiers attachés Fichiers attachés

  9. Publicité
  10. #7
    igor51

    Re : Procédure de désinfection

    Bonsoir,

    fais ceci :

    Télécharge Gmer sur ce lien

    Déconnecte toi d'internet si possible et ferme tous les programmes.
    Décompresse le fichier zip et double-clic sur gmer.exe
    IMPORTANT Si une alerte de ton antivirus apparaît pour le fichier gmer.sys ou gmer.exe, laisse le s'executer.
    Clic sur l'onglet "rootkit"
    A droite, coche "Files" et "Services"
    Clic sur Scan
    Lorsque le scan est terminé, clique sur "copy"

    Ouvre le bloc-note et clique sur le Menu Edition / Coller
    Le rapport doit alors apparaître.
    Enregistre le fichier sur ton bureau et poste le rapport dans ta prochaine réponse.


    Bonne soirée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  11. #8
    gd*T

    Re : Procédure de désinfection

    Voici

    Merci
    Fichiers attachés Fichiers attachés

  12. #9
    igor51

    Re : Procédure de désinfection

    Bonsoir,

    il y a un fichier qu'il faut faire analyser, procède ainsi :

    Télécharge IceSword de pjf_ sur ce lien http://mail2.ustc.edu.cn/~jfpan/down...word120_en.zip
    • Dézippe le sur ton bureau.
    • Ouvre le dossier qui vient d'être créé
    • Double-clique sur IceSword
    • Dans la colonne de gauche, clique sur File
    • Clique sur la croix de Local Disk ( C: )
    • Clique sur la croix de Windows
    • Clique sur la crois de system32
    • Clique sur le dossier Driver
    • Recherche le fichier suivant SPTD8573.SYS
    • Une fois trouvé, clique-droit dessus, choisis Copie to...
    • Nomme le "gdt.sys" et enregistre le sur ton Bureau.
    • Ferme IceSword

    ============================== =============================

    Rend toi sur ce site http://www.virustotal.com/en/indexf.html
    • Clique enhaut à droite sur Parcourir
    • Navigue dans les dossier pour trouvé ce fichier : gdt.sys (il est sur ton Bureau)
    • Clique sur Send
    • Le scan peut etre long à se lancer, donc soit patient
    • A la fin du scan, un rapport va apparaître : Copie/Colle le résultat complet du scan dans un fichier texte
    • Poste ce fichier dans ta prochaine réponse

    Attention : Assure toi de prendre le résultat du scan de ton fichier ( le nom du fichier apparaît en haut )

    Bonne soirée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  13. #10
    gd*T

    Re : Procédure de désinfection

    Bon, ... je viens de faire le scan, et aucun "virus found".

    Aditional information
    File size: 96256 bytes
    MD5: d7fd0ff761e28ac0ea35ad71e0cd67 e9
    SHA1: 40f88d937ceba8cf73ffa1110e8419 1ef20dad6f

    Voilà. Rien de plus : /
    Merci de votre temps !

  14. #11
    igor51

    Re : Procédure de désinfection

    Bonsoir,

    je ne suis pas sur que cela soit du à un malware....Essaie ceci, peut petreplus efficace :

    Optimisation diverse

    => Zeb-Utility 1.2 de sebdraluorg
    => Safe Xp
    Nettoyage des fichiers temporaires

    => CCleaner [list][*]Téléchargement >> http://www.ccleaner.com/[*]Tuto >> http://perso.orange.fr/jesses/Docs/L...s/CCleaner.htm


    Dis moi si ça va mieux, pense aussi à défragmenter ton système régulièrement.

    On pourra d'autre chose, mais fais déjà ceci, ce sera peut être efficace.

    Bonne soirée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  15. #12
    gd*T

    Re : Procédure de désinfection

    J'ai tout nettoyé à peu près, mais la mémoire reste toujours autant utilisée ...
    Je suis pratiquement sur que cela vient de Pando. Tout à l'heure, j'ai ouvert le gestionnaire de périphérique, et dans la liste des processus était pando.exe alors que je ne l'avais pas lancé, il n'était même pas réduit en barre de tâche. Je pense qu'étant donné que c'est un bittorent non sécurisé, il doit utiliser mon net et ma mémoire.
    Je l'ai enlevé, mais il est possible qu'il reste des fichiers, des trojans ou qqs chose comme ça. Avez vous une dernière suggestion qui me permettrait de les enlever, sachant que toute la procédure avant ne les a pas forcement reconnu, et qu'un scan antivirus non plus ?
    Je pensais par exemple faire un netstat et regarder ce qui utilises le protocoleTCP/IP, virer ce qui semble bizarre ...
    ?
    Merci !

  16. Publicité
  17. #13
    gd*T

    Re : Procédure de désinfection

    [EDIT] : en gros, quand je rentre une url dans mon browser (firefox), pendant 6 à 8 secondes environ le petit cercle de chargement tourne, il ne se passe rien, puis d'un coup la petite barre verte en bas à droite se charge et la page s'affiche. Alors qu'avant, tout cela se fesait bien plus rapidement, le texte d'abord et les images ensuite, en l'espace de 3 - 4 secondes maximum ( j'ai un abonnement ADSL 512 ) )

  18. #14
    gd*T

    Re : Procédure de désinfection

    [Re-Edit]: j'ai aussi pas mal de svschost lancé (plus que d'habitude il me semble) et ils prennent pas mal de mémoire ( 27 000 pour le plus gros )

  19. #15
    igor51

    Re : Procédure de désinfection

    Bonjour,

    Ok, on va essayer de regarder cela.
    • Ouvre le Dossier nommé Diaghelp
    • Double-clique sur go.cmd (le .cmd peut ne pas apparaître)
    • Une fenêtre va s'ouvrir, choisis l'option 2
    • L'analyse va commencer, ceci peut durer quelques minutes, laisse faire et appuie sur une touche quand on te le demande
      [
    • Poste le rapport qui s'affiche dans ton prochain post.


    Poste moi le rapport généré ainsi qu'un nouveau log Hijackthis.

    Cette opération me permettra de voir s'il y a un processus tentant d'accèder à internet non légitime.

    Bonne journée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  20. #16
    gd*T

    Re : Procédure de désinfection

    Bien bien !

    Voici donc le rapport DiagHelp, et le nouveau Hijackthis

    Merci !
    Fichiers attachés Fichiers attachés

  21. #17
    igor51

    Re : Procédure de désinfection

    Re,

    De quand date ta désinstallation de Norton ?
    • Démarrer > Exécuter et taper Services.msc puis OK
    • Choisir le mode "Etendu" (onglets inférieurs)
    • Grâce à la barre de défilement (à droite) rechercher le service suivant : Symantec Network Drivers Service
    • Quand le service est trouvé, pointer dessus, double-cliquer (bouton gauche).
    • Dans la fenêtre suivante qui apparait, sous l'onglet Général cliquer sur le bouton Arrêter,
    • Dérouler le Type de Démarrage pour le modifier en Désactivé
    • Cliquer sur Appliquer puis OK
    • Lancer Hijackthis, choisir Open the Misc.Tools section, la fenêtre « Configuration » va s'ouvrir
    • Cliquer sur Delete a NT service... : la fenêtre "Delete a Windows NT service" va s'ouvrir
    • Entrer dans la zone de dialogue : SNDSrvc
      Note : assurez-vous de ne mettre d'espace, ni avant, ni après !
    • Cliquer OK
    • Une autre fenêtre devrait s'ouvrir, donnant des informations sur le service et demandant si vous voulez re-démarrer.
    • Cliquer NO

    ============================== ============================

    Peux-tu me dire qu'est-ce que ce pando ? Un logiciel que tu utilises ?

    Lance HiJackThis, choisis Open the Misc Tools Sections, coche les deux cases suivantes :
    • List also minor sections (full)
    • List empty sections (complete)
    Clique sur Generate StartupList log, sauvegarde le rapport et poste le dans ta prochaine réponse.

    Bonne journée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  22. #18
    gd*T

    Re : Procédure de désinfection

    : /

    Je ne peux pas supprimer SNDSrvc par le biais de Hijackthis, il me dit que c'est un processus critique de windows et par conséquant qu'il ne peut pas le supprimer.
    Pando est un logiciel fonctionnant sur le principe bittorent je crois.
    C'est très utile car ça permet d'outrepasser la limite d'upload sur les serveurs classiques, donc pratique et rapide si je veux envoyer un gros fichier à une personne.
    Accessible à cette adresse [ http://www.pando.com ]
    J'ai lu avant-hier que ce n'était pas du tout sécurisé par contre ...
    Et comme je n'ai pas de pare-feu , : / j'ai peur d'avoir été infecté par ce biais.
    Tiens, voilà pour la startuplist !
    Merci encore, on avance ^^ !
    Fichiers attachés Fichiers attachés

  23. Publicité
  24. #19
    gd*T

    Re : Procédure de désinfection

    Et là dedant, tout est normal ... ?
    Ca me semble très très louche ...

    Merci de votre aide
    Images attachées Images attachées
    Dernière modification par gd*T ; 21/07/2007 à 23h14.

  25. #20
    gd*T

    Re : Procédure de désinfection

    J'peux faire un netstat -abnov > fichier.txt pour que vous puissiez voir mais j'suis pas sur que ça soit très malin de poster ceci sur un forum publique non ? ...
    Par mp peut-être ?

  26. #21
    igor51

    Re : Procédure de désinfection

    Bonjour,

    tu peux le faire, on doit valider les pièces jointes, je la supprimai une fois que je l'aurai lu.

    J'ai pas encore eu le temps de regarder ton précédent log, je le ferai surement demain.

    Poste moi le fichier si tu peux le faire.

    Bonne soirée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  27. #22
    gd*T

    Re : Procédure de désinfection

    Ok, merci beaucoup !
    J'ai trouvé un vers sur mon pc "DCOM Exploit", j'ai donc fermé pas mal de ports (dont le 135 si je me rapelle bien, spécifique aux attaques du vers), il à l'air de ne plus retenter ses attaques .

    Voilà le netstat d'hier, avant fermeture, et celui actuel .

    Je pensais sinon pourquoi pas à partitionner mon disque dur et formater, si c'est possible de se servir d'une partition comme sauvegarde ...

    Bonne soirée de même
    Dernière modification par igor51 ; 23/07/2007 à 10h18.

  28. #23
    igor51

    Re : Procédure de désinfection

    Bonjour,

    Tu peux te servir d'une partition comme sauvegare, mais il faut qu'elle soit déjà existante.

    Un truc a du m'échapper, il faut trouver quoi...

    Télécharge SDFix (créé par AndyManchesta) et sauvegarde le sur ton Bureau.
    Double clique sur SDFix.exe et choisis Install pour l'extraire dans un dossier dédié sur le Bureau. Redémarre ton ordinateur en mode sans échec en suivant la procédure que voici :
    • Redémarre ton ordinateur
    • Après avoir entendu l'ordinateur biper lors du démarrage, mais avant que l'icône Windows apparaisse, tapote la touche F8 (une pression par seconde).
    • A la place du chargement normal de Windows, un menu avec différentes options devrait apparaître.
    • Choisis la première option, pour exécuter Windows en mode sans échec, puis appuie sur "Entrée".
    • Choisis ton compte.
    Déroule la liste des instructions ci-dessous :
    • Ouvre le dossier SDFix qui vient d'être créé sur le Bureau et double clique sur RunThis.bat pour lancer le script.
    • Appuie sur Y pour commencer le processus de nettoyage.
    • Il va supprimer les services et les entrées du Registre de certains trojans trouvés puis te demandera d'appuyer sur une touche pour redémarrer.
    • Appuie sur une touche pour redémarrer le PC.
    • Ton système sera plus long pour redémarrer qu'à l'accoutumée car l'outil va continuer à s'exécuter et supprimer des fichiers.
    • Après le chargement du Bureau, l'outil terminera son travail et affichera Finished.
    • Appuie sur une touche pour finir l'exécution du script et charger les icônes de ton Bureau.
    • Les icônes du Bureau affichées, le rapport SDFix s'ouvrira à l'écran et s'enregistrera aussi dans le dossier SDFix sous le nom Report.txt.
    • Enfin, poste le fichier Report.txt dans ta prochaine réponse sur le forum

    Normalement, il devrait trouver si tu as une backdoor sur ton pc.

    Bonne journée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  29. #24
    gd*T

    Re : Procédure de désinfection

    Voilà pour le rapport, merci !
    Fichiers attachés Fichiers attachés

  30. Publicité
  31. #25
    gd*T

    Re : Procédure de désinfection

    Une petite question au passage ... : est ce que je peux aller dans la base de registre par le biais de "regedit", puis supprimer toutes les entrée qui me servent plus ?
    Parce que dans le rapport, quand je vois Kazaa ( que je n'ai jamais installé ), ou encore Symantec (saloperie de Norton que j'ai désintallé depuis plus d'un ans...), ca me fait dresser les cheveux sur la tête
    Ca ne risque rien ? Toutes les supprimer, qu'elles soient dans HL_Key_Local_Machine , ..Current User ou ..Local_Root ?

  32. #26
    yoda1234

    Re : Procédure de désinfection

    Citation Envoyé par gd*T Voir le message
    Une petite question au passage ... : est ce que je peux aller dans la base de registre par le biais de "regedit", puis supprimer toutes les entrée qui me servent plus ?
    Bonsoir,

    a mon avis tu devrais d'abord suivre les instructions d'igor51 et ensuite t'occuper de ce je pourrais appeler l'optimisation du système.
    Là où l'ignorance est un bienfait, c'est de la folie d'être sage (Thomas Gray).

  33. #27
    gd*T

    Re : Procédure de désinfection

    D'accord, mais j'pourrais le faire sans risque après ?
    Pour mon problème vis-à-vis d'internet, j'ai l'impression que y'a qqch qui bloque l'accès aux machines DNS ou quelquechose comme ça... j'y connais pas grand chose, mais j'ai observé que souvent le nom de domaine n'est pas trouvé alors qu'il existe (il marche après 4 ou 5 essaie), et de plus les pages ne se chargent pas, c'est seulement au bout de 8 - 10 secondes, et tout s'affiche d'un coup ...
    Alors j'ai pensé que c'était peut-être un problème avec ceci.
    Merci

  34. #28
    JPL

    Re : Procédure de désinfection

    Bonne remarque. Et quand tu en seras à l'optimisation du système, si tu ne veux pas te casser la tête pour bidouiller la base de registre à la main, utilises Ccleaner pour enlever automatiquement les clés inutiles. JV16 PowerTools est encore plus efficace, mais après 1 mois il faut l'acheter si tu veux garder toutes ses fonctions.
    Rien ne sert de penser, il faut réfléchir avant - Pierre Dac

  35. #29
    igor51

    Re : Procédure de désinfection

    Bonsoir à tous,

    Bon, déjà SDFix a trouvé quelque chose, et c'est pas mal...

    On va faire quelque petit truc :

    Télécharge ComboFix de sUBs
    Sauvegarde le sur ton Bureau et pas ailleurs!
    Double clique sur Combofix.exe et suis les instructions.
    Quand il aura fini, il va généré un log. Poste le rapport dans ta prochaine réponse avec un nouveau log Hijackthis.

    Note : Ne pas cliquer dans la fenêtre de combofix durant le passage de l'outils.

    ============================== =============================

    -Télécharger jv16:
    http://telechargement.zebulon.fr/201...owertools.html

    -pour plus de détails=>son tutorial:
    http://www.zebulon.fr/articles/base-de-registre-3.php

    - Mettre le logiciel en français Preferences > Language > Français > OK.

    - Ensuite, Outils registre > menu Outils > nettoyeur de registre.

    - Cocher "je veux vérifier manuellement les entrées" Décoche "Montrer les entrées ignorées".

    - Cliquer sur "Continuer" puis sur "Démarrer".

    - Quand jv16 a terminé la recherche, aller dans le menu "sélectionner" choisis "sélectionner tout"
    puis aller en bas à droite et supprimer . Toutes les entrées en vert peuvent être supprimées.

    ============================== =============================

    Poste moi les deux rapports générés.

    bonne soirée
    Faire des erreurs est humain. Les mettre sur le dos de l'informatique l'est encore plus.

  36. #30
    gd*T

    Re : Procédure de désinfection

    Voilà pour les rapports ...
    Si c'était possible d'enlever tout les fichiers que je poste au fur et à mesure, ça m'arrangerait...
    Une fois le sujet clos cela sera possible ?
    Merci
    Fichiers attachés Fichiers attachés

Sur le même thème :

Page 1 sur 2 1 DernièreDernière

Discussions similaires

  1. Desinfection PC
    Par geraldtoul dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 5
    Dernier message: 17/08/2007, 09h12
  2. Désinfection de mon pc
    Par KHEOPS1982 dans le forum Sécurité et malwares : désinfectez votre machine
    Réponses: 11
    Dernier message: 05/08/2007, 16h45
  3. Désinfection éventuelle
    Par Jihem dans le forum Internet - Réseau - Sécurité générale
    Réponses: 0
    Dernier message: 09/05/2007, 13h00
  4. désinfection par l'alcool
    Par Droledenom dans le forum Biologie
    Réponses: 8
    Dernier message: 02/03/2007, 14h50