FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[xav9425]

Bonjour,

j'ai récupérer un ancien PC qui a l'air d'avoir pas mal de logiciel malveillant.

Il tourne sous XP, au boot, il me propose de choisir entre windows XP familiale et XP Pro (qui m'affiche un message d'erreur).

Je me demandais si avec la fin des mises à jours de XP, s'il vaut pas mieux que j'installe Windows 7?

Merci de m'aider.

[g3n-h@ckm@n]

salut c'est pas sûr que le Bios ou la carte mère l'acceptent le win 7

=

Désactivez temporairement l'antivirus , ou les agents de protection qu'il contient.
Téléchargez Shortcut_Module ici :
http://www.aht.li/2159847/Shortcut_Module.exe
Enregistrez-le sur le bureau, et lancez-le



cliquez sur "Nettoyer" puis laisser tourner le scan :



Attention : il fermera les programmes en cours d'utilisation tels que IE, Firefox, Word etc...

Si l'outil détecte un proxy et qu'aucun n'a été installé et qu'il n'y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy
Il donnera un rapport en fin d’exécution , dans C:\Shortcut_Module_xx_xx_xx_xx_xx_xx.txt (les "x" étant des chiffres)
le pc va redemarrer
Héberger le rapport sur http://cjoint.com puis fournir le lien obtenu

Note : En fin de désinfection (ET PAS AVANT) relancer l'outil et cliquer sur le pett "u" en bas à droite pour le desinstaller totalement

[xav9425]

Salut,

j'ai télécharger Shortcut, j'arrive pas à le lancer même en désactivant Avast.

Il apparaît dans processus dans le gestionnaire des tâches mais rien ne s'affiche.

J'arrive à rien faire, j'ai du utiliser un autre PC aller sur le forum.

[g3n-h@ckm@n]

redemarre en mode sans echec et relance-le en mode sans echec

SANS PRISE EN CHARGE RESEAU

[xav9425]

Salut,

j'ai eu un message d'erreur en lançant Shortcut ( je te mets le Screenshot).

Il y a quand même le rapport qui s'est enregistré.

Rapport: http://cjoint.com/?DFAok0wOVGP

Message d'erreur: http://i39.servimg.com/u/f39/18/53/50/18/rreur_11.jpg

[g3n-h@ckm@n]

re

t'as pas desactivé avast

recommence en mode sans echec sans prise en charge reseau stp

[xav9425]

Salut,

J'ai relancé une analyse, j'ai le même message d'erreur. Du coup, j'ai désinstallé complètement avast et toujours le message d'erreur, j'ai quand même eu des rapports de Shortcu, je te les posté quand?

[g3n-h@ckm@n]

il a téléchargé la nouvelle version ou il t'a dit qu'il était à jour avant l'apparition de l'interface ?

[xav9425]

Salut,

j'ai réussi à faire la mise à jour de Shortcut et il n'y a plus de message d'erreur.

Je te poste les différents rapports

Rapport 2: http://cjoint.com/?DFElkWi1H62
Rapport 3: http://cjoint.com/?DFElmE7A8Jf
Rapport 4: http://cjoint.com/?DFElny0bcWr
Rapport 5: http://cjoint.com/?DFEln3gPFtT

[g3n-h@ckm@n]

hello

voilà le WMI a été réparé en prime ^^

https://fr.wikipedia.org/wiki/Windows_M ... umentation

==

• Télécharge MalwareBytes
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
• Clic sur Mettre à jour (à droite, au centre)
• Clic sur Examen (en haut)
• Sélectionne Examen "Menaces"
• Clic sur Examiner maintenant
  
  
• A la fin du scan clic sur Tout mettre en quarantaine !
• Clic sur Copier dans le Presse-papiers
• Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

[xav9425]

Rapport Malwarebytes:

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Date de l'examen: 30/06/2014
Heure de l'examen: 13:52:43
Fichier journal:
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.06.30.05
Base de données Rootkits: v2014.06.23.02
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows XP Service Pack 2
Processeur: x86
Système de fichiers: NTFS
Utilisateur: Administrateur

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 269984
Temps écoulé: 6 min, 5 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 0
(No malicious items detected)

Secteurs physiques: 0
(No malicious items detected)


(end)

[g3n-h@ckm@n]

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\*. /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[xav9425]

Salut,

voila les rapports OTL:


_ http://upload.sosvirus.net/www/?a=di=LLFwvadEVT

_ http://upload.sosvirus.net/www/?a=di=V23OFW1pOm

[g3n-h@ckm@n]

hey tu sais qu'il est pas à jour du tout ton windows ?

demarrer/programmes/windows update , tu prends tout ce qui est proposé

[xav9425]

Salut,

j'ai un message d'erreur: "404 - File or directory not found." sur le site de windows_update, est ce que ça peut être du au fait que les mises à jours pour XP ont été stoppé, ou le problème vient du PC ?

[g3n-h@ckm@n]

alors télécharge et installe le service pack 3 manuellement d'abord

http://www.clubic.com/telecharger-fiche ... ack-3.html

[xav9425]

Salut,

j'ai installé SP3 et fais les maj,

Par rapport à l'arrêt des maj de windows, y a-t-il un grand risque pour le PC ?

[g3n-h@ckm@n]

bonjour , en fait oui.

le système va commencer au fur et à mesure du temps à beugger et les programmes seront de moins en moins compatibles , ainsi que les infections vont se régaler dans un système plus mis à jour

[xav9425]

Est ce qu'il faut encore faire des manips ?

[g3n-h@ckm@n]

refais OTL je te dis ca

[xav9425]

Salut,

voila les rapports OTL:

http://upload.sosvirus.net/www/?a=di=pVIrEqGnV0

http://upload.sosvirus.net/www/?a=di=DF52BRnm9e

[g3n-h@ckm@n]

re

ton compte mail est synchronisé avec ton navigatuer ?

[xav9425]

Salut,
Non il ne l'ai pas

[g3n-h@ckm@n]

heu je sais pas ce que tu fais avec ton pc mais c'est pas possible là , tu installes des programmes téléchargés n'importe ou ? sur softonic ou 01net ? parce que là c'est comme si on avait rien fait

relance shortcut_module , laisse-le se mettre à jour et refais un nettoyage avec parce que là c'est le foutoir dans cette machine

[xav9425]

Salut,

comme je disais au début du tuto, j'ai récupéré ce PC, j'avais vu que certains des programmes installés venaient de 01net. Depuis que je l'ai, je n'ai rien fais d'autre que les manips que tu m'as demandé de faire. J'ai voulu installer microsoft sécurity essential (je ne sais pas si c'est le meilleur antivirus), mais l'install. n'a pas fonctionné.

Je ne veux pas te faire perdre trop de temps pour ce PC.

Je te mets quand même le rapport Shortcut:

http://cjoint.com/?DGnosLgxg7R

[g3n-h@ckm@n]

re

tu peux donner des précisions sur le non fonctionnement de l'installation de l antivirus .?

[xav9425]

Re

"La version de votre système d'exploitation Windows n'est pas pris en charge par ce programme"

Je l'ai téléchargé via clubic (clubic est plus sûr que 01net ou autres ??)

J'ai bien pris la version pour système 32 bits

[g3n-h@ckm@n]

ah oui prends avast alors lol

[xav9425]

Salut,

j'ai pu installer Avast.

Comment est ce que je peux me débarrasser de tous les "mauvais" logiciels ?

[g3n-h@ckm@n]

lesquels ?

[xav9425]

Salut,

J'ai mal formulé ma question, j'ai voulu désinstaller "Bearshare" (je ne connaissais pas), j'ai désinstaller via Ccleaner mais il reste dans la liste des programmes.

Je voulais savoir commet supprimer complètement ces logiciels?

[g3n-h@ckm@n]

Télécharge http://general-changelog-team.fr/fr/dow ... -xx/6-seaf SEAF.exe de C_XX


*Double clique sur SF.exe (Exécuter en tant qu'administrateur pour Vista/7) .

*Une fenêtre va s'ouvrir .

*Tape Bearshare

dans cette fenêtre

confirme la recherche "également" dans le registre et [Entrée].

*Patiente pendant la recherche.

*Une fenêtre avec un log.txt va s'afficher.

*Copie/colle ce rapport dans ta prochaine réponse.

[xav9425]

Salut,

voila le rapport:

1. ========================= SEAF 1.0.1.0 - C_XX
2.
3. Commencé à: 15:57:54 le 19/07/2014
4.
5. Valeur(s) recherchée(s):
6. bearshare
7.
8. Légende: TC = Date de création, TM = Date de modification, DA = Dernier accès
9.
10. (!) --- Recherche registre
11.
12. ====== Fichier(s) ======
13.
14.
15. "C:\Documents and Settings\admin\Bureau\BearShare.lnk" [ ARCHIVE | 885 o ]
16. TC: 28/08/2013,11:18:15 | TM: 28/08/2013,11:18:15 | DA: 19/07/2014,11:47:22
17.
18.
19. =========================
20.
21.
22.
23. ====== Entrée(s) du registre ======
24.
25.
26. [HKLM\Software\Classes\AppID\{C41C967C-1BD4-404c-8393-A34F94156193}]
27. ""="BearShare" (REG_SZ)
28.
29. [HKLM\Software\Classes\Applications\BearShareSetup (2).exe]
30. DA: 05/07/2014 16:36:26
31.
32. [HKLM\Software\Classes\Applications\BearShareSetup-r702-w-bc (1).exe]
33. DA: 05/07/2014 16:36:26
34.
35. [HKLM\Software\Classes\AudioCD\shell]
36. "MPlayer2.BAK"="PlayWithBearShare" (REG_SZ)
37.
38. [HKLM\Software\Classes\TypeLib\{C4C4F1F4-3074-4CB6-9FB8-0A64273166F0}\1.0\0\win32]
39. ""="C:\Program Files\BearShare Applications\BearShare\ImageUploader5.ocx" (REG_SZ)
40.
41. [HKLM\Software\Microsoft\ESENT\Process\BearShare]
42. DA: 04/07/2014 08:49:27
43.
44. [HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0ABE0FED-50E7-4e42-A125-57C0A11DBCDE}]
45. "AppName"="BearShare.exe" (REG_SZ)
46.
47. [HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{0ABE0FED-50E7-4e42-A125-57C0A11DBCDE}]
48. "AppPath"="C:\Program Files\BearShare Applications\BearShare" (REG_SZ)
49.
50. [HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\bearsharemusicboxtoolbarGC]
51. DA: 18/07/2014 10:26:28
52.
53. [HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\bearsharemusicboxtoolbarIE]
54. DA: 18/07/2014 10:26:28
55.
56. [HKLM\Software\RegisteredApplications]
57. "BearShare"="SOFTWARE\BearShare\Capabilities" (REG_SZ)
58.
59. [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
60. "C:\Program Files\BearShare Applications\BearShare\BearShare.exe"="C:\Program Files\BearShare Applications\BearShare\BearShare.exe:*:Enabled:BearShare" (REG_SZ)
61.
62. [HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
63. "C:\Program Files\BearShare Applications\BearShare\BearShare.exe"="C:\Program Files\BearShare Applications\BearShare\BearShare.exe:*:Enabled:BearShare" (REG_SZ)
64.
65. [HKLM\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
66. "C:\Program Files\BearShare Applications\BearShare\BearShare.exe"="C:\Program Files\BearShare Applications\BearShare\BearShare.exe:*:Enabled:BearShare" (REG_SZ)
67.
68. [HKLM\System\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
69. "C:\Program Files\BearShare Applications\BearShare\BearShare.exe"="C:\Program Files\BearShare Applications\BearShare\BearShare.exe:*:Disabled:BearShare" (REG_SZ)
70.
71. [HKLM\System\ControlSet004\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
72. "C:\Program Files\BearShare Applications\BearShare\BearShare.exe"="C:\Program Files\BearShare Applications\BearShare\BearShare.exe:*:Enabled:BearShare" (REG_SZ)
73.
74. [HKLM\System\ControlSet004\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
75. "C:\Program Files\BearShare Applications\BearShare\BearShare.exe"="C:\Program Files\BearShare Applications\BearShare\BearShare.exe:*:Disabled:BearShare" (REG_SZ)
76.
77. [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List]
78. "C:\Program Files\BearShare Applications\BearShare\BearShare.exe"="C:\Program Files\BearShare Applications\BearShare\BearShare.exe:*:Enabled:BearShare" (REG_SZ)
79.
80. [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List]
81. "C:\Program Files\BearShare Applications\BearShare\BearShare.exe"="C:\Program Files\BearShare Applications\BearShare\BearShare.exe:*:Disabled:BearShare" (REG_SZ)
82.
83. [HKU\S-1-5-21-789336058-1801674531-839522115-1004\Software\BearShare]
84. DA: 19/07/2014 12:23:15
85.
86. =========================
87.
88. Fin à: 15:59:06 le 19/07/2014
89. 140465 Éléments analysés
90.
91. =========================
92. E.O.F

[g3n-h@ckm@n]

Hello ok

refais OTL je vais te faire sauter ca

[xav9425]

Ok, voila les rapports OTL

http://cjoint.com/?DGukt41LO5h
http://cjoint.com/?DGukvp1Rhn2

[g3n-h@ckm@n]

heuuu..... tu as téléchargé et installé des programmes entre temps ?

[xav9425]

Salut,

J'ai téléchargé le programme "Conseiller de mise à niveau vers Windows 7", pour voir si éventuellement le PC aurait été compatible avec Windows 7.

[g3n-h@ckm@n]

re

tu l'as téléchargé où ?

[xav9425]

Re,

j'ai lancé Ccleaner du coup je ne suis pas certain du site exact, mais j'ai trouvé le liens en passant par "comment ça marche" et en analysant le fichier avec Avast "aucune menace détectée"

[g3n-h@ckm@n]

heu.... les detections des antivirus ne sont pas importantes ils détectent n'importe quoi

tu te rapelles vraiment plus sur quel site tu l'as téléchargé ?
évite de suivre les indications sur commentcamarche les gens gens qui aident la-bàs ne comprennent rien en désinfection pour 70% des cas