FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[alkhanai]

Bonjour

Voici un rapport hijackthis sur un pc qui souffre (processus iexplore qui monopolise l'UC, utilisation anormale de la bande passante).

J'ai passé 3 h à essayer de comprendre moi même comment interpréter ce rapport mais je n'y arrive pas.
De l'aide serait appréciée !! Et surtout des explications pour que je puisse me débrouiller seul la prochaine fois.

--Rapport supprimé--

[g3n-h@ckm@n]

salut

1 / hijackthis est obsolète ca fait bien lontemps qu'on ne l'utilise plus
2 / les outils de désinfection ne s'utilisent pas tout seul et ca s'apprend pas en 5 mn , les formations pour cela prennent plusieurs mois
3 / ton rapport , l'ent^te est bouffée donc on sait même pas ce que tu as comme système , etc ...

=====

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\*. /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[alkhanai]

Bonjour,

Merci pour le conseil, je corrige donc mon obsolescence et voici les 2 rapports.

[g3n-h@ckm@n]

bon quelques broutilles et un reste de rootkit c'est pas méchant mais faut s'en occuper ^^

==

• Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.
• Télécharge Shortcut_Module sur ton bureau.
  
  Note : Enregistrer votre travail avant de continuer !
• Lance Shortcut_Module,
• Clic sur Nettoyer
  
  
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

[alkhanai]

Voici le rapport Shortcut

[g3n-h@ckm@n]

installe le service pack 2 de vista

ensuite

Désactive ton antivirus.

selectionne ce texte , puis CTRL + C

::C:\Program Files\003    



relance shortcut_module puis clique sur le petit "S" en bas.
un fichier "module" va s'ouvrir avec les lignes copiées , si c'est le cas referme-le et relance un nettoyage il prendra ces parametres en compte sinon fais en sorte qu il n'y ait que ca dedans , puis ferme en acceptant la modification s'il y a lieu et relance le nettoyage

poste enfin le nouveau rapport

[alkhanai]

Je n'ai pas abandonné la désinfection mais impossible d'installer le SP2. J'essaie de résoudre ce problème là avant de poursuivre.

[g3n-h@ckm@n]

précise , un message d'erreur je suppose ?

[alkhanai]

Le message est le suivant :

L'installation n'a pas réussi
Une erreur système a empêché l'installation du SP...
Erreur : ERROR_FILE_NOT_FOUND(0x80070002)


J'ai déjà testé à plusieurs reprise à partir d'un pack téléchargé sans passer par le windows update.
J'ai suivi des procédures de forum conseillant de vider le cache... ça ne change rien !

[g3n-h@ckm@n]

bizarre ca sent le zéroaccess

• Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !
  
  Note : Pendant le scan le bureau peut disparaître à plusieurs reprises
• Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( Aide )
• Télécharge Pre_Scan sur ton bureau !
• Si le lien n'est pas fonctionnel :
• #ICI (renommé winlogon)

[*]Si l'outil est bloqué par l'infection essaye avec d'autres extensions :

[*]#SCR
[*]#PIF
[*]#COM

[*]Si des Proxy sont détectés et que tu n'en as pas installé :

[*]Clique sur Supprimer le Proxy

[*]A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
[*]Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur http://cjoint.com puis donne le lien

[alkhanai]

Zeroaccess ou autre, c'est du tenace !!

Merci beaucoup pour l'aide
Voici le rapport

Pre scan

[g3n-h@ckm@n]

re

heu tu sais que c'est pas très folichon de cracker les produits microsoft ?

[alkhanai]

Et ben, pas de probème windows n'est pas cracké et c'est lui qui a besoin de soin.

La désinfection est-elle finie ?

[g3n-h@ckm@n]

non mais office est cracké