PC infecté : analyse de rapport et script - Forum Virus / Sécurité

A voir également:Pc infecté : analyse de rapport et scriptOrdi infecté, analyse de rapports svp ✓ - Forum - Virus / Sécurité Pc infecté detection plus rapport joint ✓ - Forum - Virus / Sécurité PC infecté les 3 rapports dispo JRT, ZHPDiag et AdwCleaner pret ✓ - Forum - Virus / Sécurité PC à analyser svp - rapport HIJACKTHIS joint ✓ - Forum - Virus / Sécurité PC infecté - analyse HijackThis ✓ - Forum - Virus / Sécurité

Bonjour,

j'ai de sérieux soucis avec ma machine je souhaite l'analyser avec OTL ou FRST (le plus efficace) car je soupçonne une infection. J'aurai besoin d'une analyse de rapport, et aussi de scripts pour ensuite la nettoyer.

Quelqu'un de dispo please ?

Forum

A voir également:Pc infecté : analyse de rapport et scriptOrdi infecté, analyse de rapports svp ✓ - Forum - Virus / Sécurité Pc infecté detection plus rapport joint ✓ - Forum - Virus / Sécurité PC infecté les 3 rapports dispo JRT, ZHPDiag et AdwCleaner pret ✓ - Forum - Virus / Sécurité PC à analyser svp - rapport HIJACKTHIS joint ✓ - Forum - Virus / Sécurité PC infecté - analyse HijackThis ✓ - Forum - Virus / Sécurité

Web: www.shapebootstrap.net

24 réponses

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

Salut,

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Reply
réponses:

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

Pas infecté,


Tu as des programmes qui ont été installés à l'achat de l'ordinateur ou installés par la suite et qui sont pas forcément utiles.
Ils encombrent Windows et peuvent le ralentir.
Tu peux donc les désinstaller.
Vas dans le Panneau de configuration
puis programmes et fonctionnalités.
Désinstalle :

Advanced SystemCare
IObit Malware Fighter 5
IObit Unlocker
Java
QuickTime


PS : CCleaner n'est pas vraiment utile, même si on le recommande de partout.
Désactive la surveillance de CCleaner, inutile, ça se met au démarrage de Windows et le ralentit avec ces nettoyages incessants, voir : https://www.malekal.com/supprimer-ccleaner-demarrage-windows/


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.
Relance FRST puis sur ton clavier appuyer sur la touche CTRL + Y.
Le bloc-note va s'ouvrir, copie/colle ceci.

CreateRestorePoint:
CloseProcesses:
HKLM-x32\...\Run: [] => [X]
2018-02-04 22:00 - 2018-02-04 22:01 - 000003437 _____ C:\Users\KINNIE\Desktop\ZHPCleaner.txt
2018-02-04 21:56 - 2018-02-04 21:56 - 003055488 _____ C:\Users\KINNIE\Downloads\ZHPCleaner.exe
2018-02-04 21:54 - 2018-02-04 21:55 - 000002484 _____ C:\Users\KINNIE\Desktop\Rkill.txt
2018-02-04 21:51 - 2018-02-04 21:51 - 000000661 _____ C:\Users\KINNIE\Desktop\ZHPFixReport.txt
2018-02-04 21:44 - 2018-02-04 22:01 - 000000000 ____D C:\Users\KINNIE\AppData\Roaming\ZHP
2018-02-04 21:42 - 2018-02-04 21:53 - 000000000 ____D C:\Users\KINNIE\AppData\Local\ZHP
Hosts:
EmptyTemp:
RemoveProxy:
Reboot:


Enregistre le contenu par le menu fichier puis enregistrer.

Ferme le bloc-note, retourne sur FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire et automatique.
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Reply
réponses:
  • auteur

    Le fixlog qu'il me donne :

    Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 27.01.2018
    Exécuté par CAHEENA (06-02-2018 19:03:07) Run:1
    Exécuté depuis C:\Users\CAHEENA\Desktop
    Profils chargés: CAHEENA (Profils disponibles: CAHEENA)
    Mode d'amorçage: Normal
    ==============================================

    fixlist contenu:


    Fin de Fixlog 19:03:07

Marsh

NOVEMBER 9, 2013 AT 9:15 PM

Pas bon pour la correction, mais pas grave.
Supprime les trucs ZHP, ça sert à rien.
Désinstalle aussi en plus de tous les programmes IOBit, USBfix.

Error: (02/04/2018 10:05:02 PM) (Source: Windows Search Service) (EventID: 1019) (User: )
Description: Le service de recherche Windows n’a pas pu traiter la liste des emplacements inclus et exclus à cause de l’erreur <30, 0x80040d07, "iehistory://{S-1-5-21-1269542318-2334940126-650259310-1000}/">.

Error: (02/04/2018 10:05:01 PM) (Source: Windows Search Service) (EventID: 7010) (User: )
Description: Impossible d’initialiser l’index.

Détails :
Le catalogue d’index des contenus est endommagé. (HRESULT : 0xc0041801) (0xc0041801)

Error: (02/04/2018 10:05:01 PM) (Source: Windows Search Service) (EventID: 3058) (User: )
Description: Impossible d’initialiser l’application.


Le catalogue d'indexation est endommagé, cela peut jouer sur les performance, il faudrait :
- le reconstruire
- test en désactivant voir si le PC est plus rapide.
Ce serait bien de faire un checkdisk, de préférence en ligne de commandes puis de vérifier le disque dur avec HD Tune et son onglet Health.
==> Catalogue d'indexation endommage

Reply
réponses:
  • auteur

  • auteur

    Merci, je regarde ça, je reviens vers toi !

  • auteur

    ZHP et UsbFix sont plus sensés être sur la machine, j'ai pas de dossier fonctionnels de présents dans mes dossiers de programmes, donc à priori, ils sont sensés être désinstallés.

    Iobit est mon antivirus et antispyware donc pareil, il devrait pas poser de problèmes, je l'ai désinstallé pour faire les checkdisk en cours...

  • auteur

    Le checkdisk autant que HdTune ne détectent pas de secteurs défectueux.

    Par contre quand je navigue dans les paramètres F8 au démarrage et que j'arrive dans la réparation, je vois qu'il y a d'autres utilisateurs avec des espèces de numéros de série que moi même, je n'ai jamais créer. J'arrive pas à avoir accès à ces utilisateurs, et je pense que c'est ça qui agit sur mon système.

  • auteur

    A l'origine, je souhaitais me débarrasser de dossier $RECYCLEBIN$ et System Volume Information qui ne sont habituellement pas présent sur mes disques, même en mode afficher les dossier cachés. J'ai déjà eu ce problème, mais UsbFix avait résolu l'affaire. Quand j'ai tenté de réutilise ce log, cette fois, ça n'a pas marché. Je les ai donc supprimé sans pour autant que mes problèmes soit résolu !

  • auteur

    ok

  • auteur

    J'ai refait la correction, le rapport qu'il me donne :

    Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 27.01.2018
    Exécuté par KINNIE (07-02-2018 15:14:36) Run:2
    Exécuté depuis C:\Users\KINNIE\Desktop
    Profils chargés: KINNIE (Profils disponibles: KINNIE)
    Mode d'amorçage: Normal
    ==============================================

    fixlist contenu:


    CreateRestorePoint:
    CloseProcesses:
    HKLM-x32\...\Run: [] => [X]
    2018-02-04 22:00 - 2018-02-04 22:01 - 000003437 _____ C:\Users\KINNIE\Desktop\ZHPCleaner.txt
    2018-02-04 21:56 - 2018-02-04 21:56 - 003055488 _____ C:\Users\KINNIE\Downloads\ZHPCleaner.exe
    2018-02-04 21:54 - 2018-02-04 21:55 - 000002484 _____ C:\Users\KINNIE\Desktop\Rkill.txt
    2018-02-04 21:51 - 2018-02-04 21:51 - 000000661 _____ C:\Users\KINNIE\Desktop\ZHPFixReport.txt
    2018-02-04 21:44 - 2018-02-04 22:01 - 000000000 ____D C:\Users\KINNIE\AppData\Roaming\ZHP
    2018-02-04 21:42 - 2018-02-04 21:53 - 000000000 ____D C:\Users\KINNIE\AppData\Local\ZHP
    Hosts:
    EmptyTemp:
    RemoveProxy:
    Reboot:


    Le Point de restauration a été créé avec succès.
    Processus fermé avec succès.
    "HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\" => supprimé(es) avec succès
    C:\Users\KINNIE\Desktop\ZHPCleaner.txt => déplacé(es) avec succès
    C:\Users\KINNIE\Downloads\ZHPCleaner.exe => déplacé(es) avec succès
    C:\Users\KINNIE\Desktop\Rkill.txt => déplacé(es) avec succès
    C:\Users\KINNIE\Desktop\ZHPFixReport.txt => déplacé(es) avec succès
    C:\Users\KINNIE\AppData\Roaming\ZHP => déplacé(es) avec succès
    C:\Users\KINNIE\AppData\Local\ZHP => déplacé(es) avec succès
    C:\Windows\System32\Drivers\etc\hosts => déplacé(es) avec succès
    Hosts restauré(es) avec succès.

    ========= RemoveProxy: =========

    "HKLM\SOFTWARE\Policies\Microsoft\Internet Explorer" => supprimé(es) avec succès
    "HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
    "HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès
    "HKU\S-1-5-21-1269542318-2334940126-650259310-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings" => supprimé(es) avec succès
    "HKU\S-1-5-21-1269542318-2334940126-650259310-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings" => supprimé(es) avec succès


    ========= Fin de RemoveProxy: =========


    =========== EmptyTemp: ==========

    BITS transfer queue => 8388608 B
    DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 8550258 B
    Java, Flash, Steam htmlcache => 569 B
    Windows/system/drivers => 406003 B
    Edge => 0 B
    Chrome => 0 B
    Firefox => 32172698 B
    Opera => 300165133 B

    Temp, IE cache, history, cookies, recent:
    Users => 0 B
    Default => 0 B
    Public => 0 B
    ProgramData => 0 B
    systemprofile => 83598 B
    systemprofile32 => 66228 B
    LocalService => 66228 B
    NetworkService => 66228 B
    KINNIE => 78706200 B

    RecycleBin => 0 B
    EmptyTemp: => 408.8 MB données temporaires supprimées.

  • auteur

    Ensuite pour le tuto avec le $RECYCLEBIN$ et le System Volume Information, agir dans le registre ne change rien, et en invite de commande il me dit qu'il ne reconnais pas des commandes, qu'il ne trouve pas des répertoires, que des accès sont refusés, j'ai réussis à supprimer un Volume System Information sur un de mes disques avec la méthode du tuto en invite de commande mais il a finit par revenir, lol !

  • auteur

    Ca vient peut-être du fait que c'est un Windows familiale.
    Du coup la policie ne doit pas se jouer.

    Du coup, je ne vois pas d'autres solutions à part faire un script qui les supprime automatiquement.

  • auteur

    J'en sais rien, normalement les policies devraient être fonctionnels dans tous les systèmes à partir du moment ou ils appartiennent à une classe... Jcomprend pas ! Avec un script FRST les dossiers seront supprimés ?

  • auteur

    Moi j'pense plutôt que qu'on travail dans mon système en dehors de ma volonté, et quelque chose qui n'a rien à voir avec mon édition familiale... Des utilisateurs ont été créer et sont cachés à l'ouverture de windows, des utilisateurs que moi, administrateur, je n'ai JAMAIS créé, nommés par des suites de chiffres interminables, et que je ne désire pas voir dans mon système !

  • auteur

    Là tu pars dans un mode paranoïa.

  • auteur

    ba comment explique tu les utilisateurs en plus dans la réparation système ?

  • auteur

    Tu parles de ceux avec les chiffres ?

    29A4C595E22543F0B909 (S-1-5-21-1269542318-2334940126-650259310-1004 - Limited - Enabled)
    6EDF7D9D15394E9AAFB0 (S-1-5-21-1269542318-2334940126-650259310-1005 - Limited - Enabled)
    Administrateur (S-1-5-21-1269542318-2334940126-650259310-500 - Administrator - Disabled)
    HomeGroupUser$ (S-1-5-21-1269542318-2334940126-650259310-1002 - Limited - Enabled)
    Invité (S-1-5-21-1269542318-2334940126-650259310-501 - Limited - Disabled)
    KINNIE (S-1-5-21-1269542318-2334940126-650259310-1000 - Administrator - Enabled) => C:


    Ils ne sont pas administrateurs.
    Tu peux les supprimer :
    Touche Windows + R
    tape netplwiz et OK.

  • auteur

    Oui !

    Y'a que KINNIE qui est sensé gérer la machine, tous les autres c'est pas moi qui les ai créer !

    Et ça altère mon démarrage, probablement ceux en admin !

    Merci, je vais tester de supprimer avec ta méthode !

  • auteur

    Il n'y a que le HomeGroupUser$ qui apparait en plus dans les paramètres de compte d'user.

  • auteur

    Dans ce cas, c'est bon.

  • auteur

    Ok, merci pour le temps perdu sur mon problème. Dommage qu'il ne se soit pas résolu. Est ce possible de supprimer le topic?

  • auteur

    Non et ton ordinateur n'est pas infecté.

Leave a Replay

Make sure you enter the(*)required information where indicate.HTML code is not allowed