bonjour,

depuis le 22 septembre un "peripherique inconnu s'est introduit sur votre réseau".. détecté en cheval de troie win32. je ne sais pas lequel exactement, ne sachant au moment où je l'ai lu qu'il en existait plein... depuis je vais de surprise en effarement en lisant tous les forums et en essayant des antivirus et des antimalwares et des journaux de rapport de hijackthis... et la je viens de lancer combofix, mais je n'y comprends rien :s pas facile pour quelqu'un n'ayant pas de connaissances de bases meme en informatique de suivre tout ca!

donc je me decide a demander une aide si cela  est possible? je donne les elements : le premier ordi infecté est un  portable acer aspire 7741G tournant avec W7 et qui avait seulement MSE en securite a ce moment la. ( je n'ai jamais eu aucun probleme, tout ayant toujours ete mis en quarantaine que ce soit avec mse ou avast avira comodo ou quand j'etais sous linux). ce micro se retrouve desormais avec l'adresse ipv6 d'un intrus co sur ma box quand je regarde la securite du reseau local avec avast. je viens de lancer combofix dessus et le tiens a votre disposition si cela rend service pour comprendre/explqiuer quoi faire?

quand j'ai branché mes 2 autres ordis le lendemain de l'intrusion, mais chez moi cette fois ci, les 3 ordis ont envoye un message de redemarrage pour finir les maj. ca arrive et les messages avaient l'ait tout a fait "normaux".  donc j'ai reboote les 3 ordis. sans doute une betise, mais je me suis dit un jour il faudra bien je les eteigne de toute façon!

  le deuxieme portable sous W7, tres vieux avec toutes mes données, tournant aussi avec mse, a detecte un win32 et l'a mis en quarantaine. il  en a fait ensuite "qu'a sa tete ( celle de l'intrus) mais pas a la mienne! des inclusions d'ecran d'accueil, perdre le navigateur par defaut, remplacer mes données de selection de page d'accueil, etc..

le troisieme portable , neuf, sous W8.1 sous garantie encore et avec presque rien dessus,  a commence à bloquer lors des analyses de disque à 99% de la fin, sur un rootkit.  il avait jamaias fait avant .il  a le macaffee d'origine gratuit encore qqs jours.  mais il a meme pas detecte de cheval de troie contrairement a mse. et puis le "gros rootkit" a l'air d'avoir eclot en une dizaine de petits rootkits... j'ai beau avoir lance plein d'antimalwares dessus je n'ai plus aucune confiance et ai meme lance une reinitialisation du micro. mais maintenant que j'ai lu que le bios peut etre atteint aussi donc ni formatage ni reinit ne feront le menage, je ne sais pas quoi faire.. recharger le BIOS? je sais pas faire mais je veux bien apprendre lol.

 je ne sais plus quoi faire pour me debarrasser de cet intrus, je n'ose plus me servir d'aucun ordi et je craque pour tout avouer :s

qui peut m'accorder un moment pour m'aider a comprendre comment faire pour savoir

1) comment on sait qu'un ordi est redevenu propre?

2) comment faire pour les nettoyer a fond?

je peux vous envoyer les rapports hijackthis et combofix et frst si vous me dites où?

merci d'avoir eu la patience de me lire, je ne sais pas etre tres claire souvent. :(

et merci si quelqu'un peut m'aider!!!

a vous lire

Re: ordi troyenné comment éjecter l'intrus?

Bonjour !

Merci pour votre exhaustivité.

On va traiter chaque ordinateur séparément. Tout au long de la procédure et jusqu'à ce que je vous le dise, ne branchez aucune clé USB, aucun disque dur externe, aucune carte SD sur chaque ordinateur. De même, ne les branchez pas à votre réseau local.

Est-ce que vous avez accès à une machine sous Linux ? Si oui, ça sera vraiment intéressant de l'utiliser pour télécharger les différents outils que je vais vous proposer par la suite.

Si vous n'avez pas de machine sous Linux disponible, branchez malgré tout l'ordinateur concerné au réseau le temps de la manipulation et débranchez-le ensuite.

Sur le premier ordinateur (acer aspire 7741G tournant avec W7) :

  • Branchez-le au réseau
  • Téléchargez RogueKiller ici
  • Débranchez l'ordinateur du réseau
  • Exécutez le fichier téléchargé "setup.exe" en tant qu'Administrateur (clic-droit sur le fichier -> Exécuter en tant qu'Administrateur"
  • Le pre-scan va se dérouler, patientez.
  • Cliquez ensuite sur [Scan] en haut à droite
  • Fournissez-moi ensuite le rapport généré en l'hébergeant sur Up2Sha.re puis en me copiant/collant le lien généré.
  • Fournissez-moi également le rapport géénré par ComboFix (il devrait se trouver dans C:\combofix\combofix.txt)

Merci,

Re: ordi troyenné comment éjecter l'intrus?

Bonjour et un grand merci pour votre aide!

 j'ai deconnecté et eteint tous les ordis puis telechargé roguekiller puis deconnecte aussi celui ci. scan effectué et voici les liens:

https://up2sha.re/file?f=ud1qCAefn0R9

https://up2sha.re/file?f=FXwXmxhPBBtr

 j'ai un disque dur externe que j'avais fait pour cet ordi avec multisystems, en double boot sur windows 7 et artistx  ( linux). Mais, sur le seul ordi qui me reste et qui, je l'espere sans en etre convaincue a 100%, est encore propre, je n'arrive pas a le booter; tout simplement car je n'arrive pas a acceder au setup pour lui dire de booter sur le cd en premier. :s j'ai teste toutes les touches fonctions et les esc et supp.. je trouve pas. c'est un asus R511L avec windows 8.1. j'arrive a aller sur les options mais je trouve pas l'equivalent du setup comme on a sur les W7 et avant en faisant les F2 ou F5 souvent.

 je precise que cet acer vient d'etre reinstaller donc pas grand chose dessus puisque l'intrus est arrive presqu'aussitot. je peux au besoin le reformater ou reinitialiser sans perdre de données. contrairement a l'autre vieux W7.

Merci de passer de votre temps pour analyser ces journaux. Je me doute que ça doit etre long! je peux envoyer aussi le rapport antimalware , les ipconfig, et le rapport avast sur les Ip connectées si cela peut vous etre utile.

bonne journée a vous

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

C'est parfait. Est-ce que vous avez des sympomes particuliers sur cet ordinateur ? À première vue il n'a pas l'air d'être très vérolé..

Toujours sur le même ordi, je vais avoir besoin d'un rapport me donnant plus d'informations pour continuer :

  1. Téléchargez ZHPDiag ici : http://www.nicolascoolman.fr/download/zhpdiag/?wpdmdl=803
  2. Exécutez-le, puis cliquez sur "Scanner"
  3. Patientez durant l'analyse (quelques minutes).
  4. Cliquez enfin sur le bouton "Rapport". Un fichier devrait alors apparaître dans le bloc-note.
  5. Hébergez-le sur https://up2sha.re/ et donnez-moi le lien généré.

Merci,

Re: ordi troyenné comment éjecter l'intrus?

bonsoir, voici le lien de ZHPDiag: https://up2sha.re/file?f=olFbrj7DBbgc

le micro  ne donne plus son adresse mais une autre inconnnue ipv6 alors que ipv6 est desactivé.  c'est  a partir de ce micr oacer  que les 2 autres se sont fait infectés alors que j'ai cru comprendre qu'un cheval de troie n'etait pas comme un virus, il ne peut pas se developper sur d'autres? or un des 2 autres  micro ( un vaio en W7) a aussitot branché en meme temps , détecté le win32. l'acer , a part ne plus donner son adresse, n'obeit plus aux ordres de  configuration, alors qu'il l'avait toujours fait sans probleme, sur firefox.

je vous joins la copie ecran de l'avast donnant les adresses des micros connectés et ce qui apparait au meme moment sur le site de l'operateur qui li ne voit rien de bizarre.

 ( le micro nommé TRAJET est correct je pense, c'est l'asus r511L avec l'adress Ip finissant par 44, alors que celui  ci, l'acer, a une adresse ip finissant par 41 ) les 2 autres micros j'ai egalement leurs ip et elles ne correspondent pas a cette adresse ipv6 inconnue. ni en mac ni en ipv6 ni en local.

https://up2sha.re/file?f=me8aV38sMvBc                avast

https://up2sha.re/file?f=HD29NE0atUet            https://up2sha.re/file?f=Fbupj9BHMDbA           https://up2sha.re/file?f=M2Ieoqvu7l92               operateur

https://up2sha.re/file?f=AGLG3Flxe2V7             ipconfig de l'acer

 

 Est-ce que si cet ordi est "dirige" par un autre,  tout ce que je passe dessus par la wifi est recupere par l'intrus? et a partir des autres micros sur le meme reseau wifi aussi? et si je vais avec ce micro chez une autre personne sur son reseau, est ce que je risque de donner sur un plateau toutes les données des ordis de cette autre personne a l'intrus? :s

desolée si ca parait bete comme questions mais je plane completement sur tout ce qui est reseau ( en plus du reste :p) et ca m'angoisse au pont de ne plus oser faire quoi que ce soit.

Merci de regarder ces documents et m'indiquer si je dois faire autre chose?

et encore merci pour le temps passé a m'aider!

bonne soirée

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

Je vous donne une réponse complète sous 24h le temps d'analyser les rapports.

En attendant, pas de panique pour l'IPv6, il n'y a rien d'inquiétant à ce niveau :)

Re: ordi troyenné comment éjecter l'intrus?

bonjour, merci pour votre réponse,je regarderai ce soir .Pour l'IP vous m'expliquerez aussi ?  si  vous avez un peu de temps et si c'est pas trop technique pour que je comprenne :s.

Merci a vous.

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

Excusez-moi du délai de réponse, (même en 2015 c'est malheureusement très compliqué d'avoir une connexion internet correcte..).

-> Concernant l'IPv6 :

C'est une adresse de lien-local qui est obtenue automatiquement. C'est tout à fait normal.

Plus d'infos.

 

 Est-ce que si cet ordi est "dirige" par un autre,  tout ce que je passe dessus par la wifi est recupere par l'intrus? et a partir des autres micros sur le meme reseau wifi aussi? et si je vais avec ce micro chez une autre personne sur son reseau, est ce que je risque de donner sur un plateau toutes les données des ordis de cette autre personne a l'intrus? :s

À ce niveau là non, d'après ce que j'ai pu voir au travers des rapports il n'y a pas de souci à vous faire. Par contre, je ne peux pas encore vous donner mon avis sur les autres machines : brancher une machine infectée sur un réseau, quelqu'il soit comporte un risque pour les autres machines sur le même réseau.

-> Pour le rapport :

Je n'ai pas repéré d'éléments malveillants. Cependant, avant de passer à un second ordinateur quelques actions s'imposent :

  • Mise à jour de Mozilla Firefox :
  • Mise à jour de Ccleaner : télécharger et installez la nouvelle version à partir de ce lien.
  • OpenOffice : cette suite bureautique n'est plus maintenue aussi activement qu'avant. Un autre projet issu d'OpenOffice est par contre développé et mis à jour très souvent, c'est LibreOffice. Les avantages par rapport à OpenOffice sont nombreux concernant l'interface, la compatibilité sur les formats.. Si vous êtes intéressé pour changer, désinstallez OpenOffice et téléchargez LibreOffice 5 ici.

Une fois ces opérations effectuées :

  • Si l'ordinateur vous paraît stable, on peut supprimer les outils utilisés avec DelFix :
  • Téléchargez DelFix et lancez-le,
  • Cochez Purger la restauration système et Supprimer les outils de désinfection,
  • Cliquez sur Exécuter.
  • Copiez/collez le rapport généré dans votre prochaine réponse.

 

  • Nettoyage avec Ccleaner :
  • Exécutez Ccleaner

  • Dans l'onglet Options > Avancé, décochez la case Effacer uniquement les fichiers temporaires de Windows datant de plus de 24 heures.

  • Dans l'onglet Options > Surveillance, décochez les deux cases.

  • Dans l'onglet Nettoyeur et cliquez sur "Nettoyer"

  • Une fois le nettoyage effectué, allez dans l'onglet "Registre", cliquez sur "Cherchez les erreurs", puis sur "Corriger".

Enfin, une défragmentation avec Defraggler :

  1. Téléchargez Defraggler ici
  2. Installez ensuite le logiciel en suivant les instructions, puis exécutez-le
  3. Dans la fenêtre qui s'ouvre, cliquez alors sur le bouton [Défragmenter]. L'opération peut prendre plusieurs heures durant lesquelles il est souhaitable de ne pas utiliser l'ordinateur pour rendre l'opération plus efficace. Vous pouvez par exemple laisser tourner l'opération la nuit.

Si vous avez des questions, n'hésitez pas. Je devrais pouvoir être plus réactif que ces derniers jours..

Cordialement,

Re: ordi troyenné comment éjecter l'intrus?

Bonjour et merci pour votre réponse :)

j'ai dû regarder le site a partir du R511l, car l'autre ma posé un nouveau probleme..

et  pour pouvoir appliquer les instructions j'attendrai votre avis.

En effet, dès que j'ai lancé firefox je me suis retrouvé avec un message d'alerte de l'agent avast web comme quoi  il avait bloqué l'acces à cette page car l'un des emetteurs de certificat suivant etait expiré. et suivent les adresses de tous les  moteurs de recherche.. lol

J'ai alors regarde la version de mozilla, 40.0.3 alors que si je fais "a propos de " il dit il est à jour. Je ne peux pas lancer le site de mozilla pour faire une mise à jour manuelle, bloqué par avast, et sur le "bilan de santé" de firefox dans "?" il dit que la connexion n'est pas securisée et que si je peux d'habitude me connecter a ce site sans pb, ca peut indiquer que quelqu'un essaie d'usurper l'identité de ce site qui utilise une connection HSTS

J'ai pensé arreter l'agent web d'avast, mais pareil le message  previent qu'un logiciel malveillant peut pousser a faire ça. Du coup, comme je vous l'avais dit, je n'ai plus confiance dans les messages qui apparaissent!

deja je trouve bizarre de ne plus pouvoir afficher mes derniers onglets en page de demarrage puisque c'est indiqué dans mes options .

je suis repassée par parametres par defauts  pour ensuite remettre les options, mais rien n'y fait et de meme sur l'autre ordi en W8 neuf il ne veut plus faire mes options sur firefox, a chaque lancenent il repart sur une page vide en perdant toutes les pages dernierement ouvertes. ca a toujours fonctionné jusqu'a ce win32.

alors que sur cet ordi ci ( le R511 en W8) je n'ai acun probleme

Je vire momentanement l'agent webavast?  au moins le temps de rmaj firefox et  charger les logiciels indqiés?

 merci pour votre patience, car apres ya les autres ordis :s

Bonne apres midi

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

Oui, vous pouvez désactiver l'agent Web d'Avast (ainsi que Avast Web Shield)

Re: ordi troyenné comment éjecter l'intrus?

bon ben je suis bloquée. j'ai desactivé tous les agents avast temps reel . pas trouvé comment desactiver avast  completement qq temps sans le desinstaller.

mais des que je lance firefox et que j'ecris  mozilla.org.. je me retrouve avec la fenetre comme quoi ce n'est pas une connexion securisée ( jai essayé plein d'autres demandes, toutes ont la meme reponse) avec cette histoire de HSTS qui interdit de mettre cette adresse en exception.

la seule solution proposée est ---> Sortir, je ne sais pas passer outre :s comment faire?

je merite tout a fait mon pseudo là :(

 ps: bien que vous conseilliez de traiter un ordi apres l'autre ce que je comprends , dans ce cas present et en attendant de trouver un moyen d'agir, est-ce que je peux essayer d'installer les memes logiciels rogkiller et zhdp  et faire les analyses et rapports comme indique dans votre premier mail, sur le deuxieme ordi l'asus rog avec w8,? s'il me  permet d'aller sur le web.. :s

 

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

Pouvez-vous utiliser Internet Explorer en remplacement ?

Re: ordi troyenné comment éjecter l'intrus?

Bonjour

excusez le temps mis pour repondre, IE  me posant exactement  les memes problemes que firefox , j'ai vraiment failli peter les plombs... du jour au lendemain, sans rien toucher, ne plus pouvoir acceder a internet, je n'y comprenais plus rien, sauf justement une intervention tiers, mais si aucune trace suspecte, je ne sais toujours pas comment est venu le probleme.

Par con,tre a force d'insister j'ai fini par voir où etait ce probleme.:)

En effet via IE, je retrouvais le message de non validité de certificat sur tous les liens demandes. Meme en ayant desactivé Smartscreen. . Mais par contre IE laisse la possibilite de continuer a nos risques et perils...J'ai donc commencé a telecharger les logiciels proposés, sauf mozilla completement bloqué,

mais vraiment j'etais pas rassurée entre avast eteint et ces messages d'alerte :( et puis les fichiers chargés dataient de ya plusieurs années, or vous dites bien qu'ils sont tres regulierement remis a jour vue leur utilisation!

 et pis aussi les messages de ce forum, ils etaient marqués comme datant d'il ya  6 ans, drole de bug ? la puce à l'oreille j'ai regardé le detail des messages d'alerte  par ex pour toolslib ca disait que le certificat ne serait pas valide jusqu'en 0505/2015 et la date courante etant le 10/01/2010....

J'ai verifié la date et oui nous sommes bien le 10/01/2010 sur cet ordi depuis hier mdr. J'ai donc tout remis dans l'ordre et ca  a tout refonctionné bien :

Mais comment est ce arrive?

donc voila tout logiciel rechargés, lancés en suivant vos instructions, nettoyé par un 7 passages ( lol je ne savais pas ca allait prendre autant de temps, l'ordinateur s'est eteint  a deux reprises alors que sur le courant il n'est pas sense le faire j'ai verifié les options d'alimentation)  et idem pendant la defragmentation cette nuit je l'ai retrouve eteint et il restait 16% de fichiers fragmentés a  faire. je referai  dans la journée

De meme le telechargement de libre office qui prenait une heure, je vais relancer aujourd'hui.

voici le rapport de delfix  https://up2sha.re/file?f=gqEAYe2otcDY

Donc a part cette histoire d'adresse ipv6 qui est normale finalmement? et la date systeme remis a 0 et les arrets de l''ordi pendant defrag et nettoyage qui ne sont pas forcement alarmants meme si ca ne devrait pas etre je suppose, c'est ok pour celui ci?

on passe au deuxieme? deja rogkiller? j'attends de vous lire pour le charger dessus

encore merci pour toute cette attention et bonne journée a vous!

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

 

En effet via IE, je retrouvais le message de non validité de certificat sur tous les liens demandes. Meme en ayant desactivé Smartscreen. . Mais par contre IE laisse la possibilite de continuer a nos risques et perils...J'ai donc commencé a telecharger les logiciels proposés, sauf mozilla completement bloqué,

Vous n'avez pas réussi à télécharger la dernière version de Mozilla Firefox par Internet Explorer ?

mais vraiment j'etais pas rassurée entre avast eteint et ces messages d'alerte :(

Vous avez simplement désactivé l'agent web et non l'ensemble des protections ?

 par ex pour toolslib ca disait que le certificat ne serait pas valide jusqu'en 0505/2015 et la date courante etant le 10/01/2010....

J'ai verifié la date et oui nous sommes bien le 10/01/2010 sur cet ordi depuis hier mdr. J'ai donc tout remis dans l'ordre et ca  a tout refonctionné bien :

La date du 05/05/2015 est la date d'expiration du certificat précédent et le début de la période de validité de l'actuel. Avez-vous bien mis à l'heure le système ?

De même, pensez à bien appliquer les mises à jour. Voir ici (jusqu'au premier encadré "Remarques"

voici le rapport de delfix  https://up2sha.re/file?f=gqEAYe2otcDY

Parfait.

Donc a part cette histoire d'adresse ipv6 qui est normale finalmement? et la date systeme remis a 0 et les arrets de l''ordi pendant defrag et nettoyage qui ne sont pas forcement alarmants meme si ca ne devrait pas etre je suppose, c'est ok pour celui ci?

Oui, il n'y a rien de malicieux dans ce que j'ai pu voir. Les problèmes de certificats invalides sont dû à une "fonctionnalité" plus que douteuse de la part d'Avast.

 

on passe au deuxieme? deja rogkiller? j'attends de vous lire pour le charger dessus


Mereplexe, 2015-10-20 07:10:24 (UTC)

Une fois que Firefox, LibreOffice, que vous me confirmez que les mises à jour ont été correctement appliquées, on pourra passer au suivant.

Cordialement,

Re: ordi troyenné comment éjecter l'intrus?

bonjour, merci pour les explications.

non je n'ai pas pu charger firefox a partir de IE car ça me renvoyait sur le site mozilla qui bloquait completement avec son histoitre de certificat et HSTS.

et je n'ai charge sans avast que delfix qui avait sonc cette date de 2010 ce qui m'a etonne. je l'ai ensuite efface et rechargé une fois remise la date ormale a partir de firefox.

mais une fois pige le problleme j'ai pu pu me resservir de firefox, tout recharger, en ayant remis tout avast y compris son agent web, et tout est passé comme il faut. c'etait juste cette heure systeme remise a zero il ya deux jours sans rien avoir fait. ( c'est la date ou j'ai achete l'ordi) j'aimerais ben comprendre comment.  le dernier truc fait  avant que la date change c'est ZHPdiag, mais apres j'ai rallumé l'ordi pour voir  s il y avait votre reponse, et n'ais pas vu quoi que ce soit de bizarre. ( puisque je pouvais aller sur internet a ce moment la)

merci aussi pour le lien car j'avais remis  l'heure mais pas effectué la synchro avec l'heure internet. c'est fait

j'ai lancé le mises a  jour windows,  telechargé sur votre lien libre office, et tout a l'air propre.  J'ai relance un ccleaner et nettoyer mais il n'y avait plus grand chose a faire!  et rien en registre.

je le garde  eteint ou non connecté le temps de reparer le deuxieme?

 

un grand merci pour ce nettoyage!

a vous lire pour la suite; j'attends vos instructions.

bonne soirée a vous!

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

Ok.

Passons donc au suivant :

  le deuxieme portable sous W7, tres vieux avec toutes mes données, tournant aussi avec mse, a detecte un win32 et l'a mis en quarantaine. il  en a fait ensuite "qu'a sa tete ( celle de l'intrus) mais pas a la mienne! des inclusions d'ecran d'accueil, perdre le navigateur par defaut, remplacer mes données de selection de page d'accueil, etc..

Dans l'ordre :

  1. Une analyse avec RogueKiller
  2. Un rapport ZHPDiag.

Prenez-soin de ne pas brancher de clés USB / disques dur externes entre cet ordinateur les autres du réseau. Vous pouvez héberger les rapports sur Up2Sha.re, repérer les liens générés et répondre à partir de l'ordinateur désinfecté.

Cordialement,

Re: ordi troyenné comment éjecter l'intrus?

bonjour,

j'ai remis sur reseau le 2eme ordi le temps de lancer les maj de l'antivirus et de firefox et du constructeur. puis telecharge les differents logiciels utiises dans le premier ordi.

sorti du reseau.

j'ai lancé RogKiller.  permiere fois :il a trouve un fichier pendant le prescan,( le mm que la deuxieme fois mais pid 146)   pendant le scan des fichiers je me suis absentée environ vers 70%, quand revenue, l'ordi s'etait redemarré et attendait le mdp. puis message windows https://up2sha.re/file?f=nRurZAYOrdTA      (contient aussi le 5e message)    qd je clique sur ok, il ne se passe rien.

RG 2eme:meme fichier sur la liste mm chemin avec autre PID ( je 'nai pas eu la curiosité de rechercher sur internet  ce que signifie le pid :s) crash pareil apres fin scan de fichiers https://up2sha.re/file?f=4wVuAMin1abX

RG 3eme: pas de fichier noté pendant le prescan.. ca m'a etonné. puis j'ai vuque  j'avais oublié de ressortir du réseau... du coup certaines "fautes" n'apparaissent pas?. donc deconnexion

RG 4eme: j'ai gardé le doigt sur le print screen pour suivre la progression le plus loin possible avant la page bleue.

evidemment cette fois ci il n 'y a pas eu d'erreur :)  remis le reseau pour faire les upshare pur avor les liens a recopier des 2 rapports ( je suis sur le prmier ordi la, qui a nouveau s'est remis sur la date de 2010.. et ne veut plus faire de synchro internet: https://up2sha.re/file?f=XKYYHzf8vRnO   et https://up2sha.re/file?f=dYFONZAvU4LN)

mais je vois tout a coup que le rapport ne donne que le titre????

j'ai lance ensuite ZHPdiag, rapport : https://up2sha.re/file?f=IvG2K3HZ2sy

et donc je recommence avec roguekiller, acharnée :)

RG 5eme: 2autres chemins de fichiers notés pendant le prescan.  j'ai pu voir le moment exact où apparait la page bleue, c'est au debut du scan de disques.  crash https://up2sha.re/file?f=tKoUhybeOigC

RG 6eme: les 2 derniers fichiers n'apparaissent pas mais le tout premier oui. crash de nouveau au mm moment https://up2sha.re/file?f=IpItAQeoC4lt

j'ai preféré arreter Roguekiller et vous demander quoi faire.S'agit il d'une erreur possible "physique" et qui peut etre réparée avec un defrag par ex?  ou cela n'a rien a voir?.  un autre logiciel peut vous aider ? je n'ai pas lance combofix ni ccleaner j'attends vos conseils.

(je vais faire les liens sur l'autre ordi pour les remettre ici)

voila.  merci pour le decorticage de tout ca. Je pense il y a un tas de trucs qui pourraient etre eliminés pour simplifier la lecture et le fonctionnemen de cet ordi maisje ne connais pas et n'ose pas de peur de virer un truc essentiel, il manque qqs mots donnant les utilisations de chacun des programmes tournant pour les ignares :)

bonne journée a vous!

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

Ok.

Faites une archive des dossiers suivants et hébergez la sur Up2Sha.re :

(sélectionnez les deux dossiers -> envoyer vers -> dossier compressé)

  • C:\ProgramFiles/RogueKiller\Logs
  • C:\ProgramFiles/RogueKiller\Debug

Ensuite, essayez avec cette version voir si le crash a lieu également.

Le lien vers le rapport ZHPDiag n'est pas correct (il ne renvoie vers aucun fichier).

Cordialement,

Re: ordi troyenné comment éjecter l'intrus?

bonjour, 1000 excuses pour le  lien incomplet en recopiant sur l'autre ordi, il manquait le n au bout.  je les avais tous verifie et corrige sauf celui la evidemment ;) je m'installerai une police qui differencie les L minuscules et les i majuscules aussi...

https://up2sha.re/file?f=IvG2K3HZ2syn

voici le fichier archive des logs et debugs d'hier   

            https://up2sha.re/file?f=3YiCLnH4wc9l

  et j'ai donc testé le beta qui a crashé des que j'ai appuyé sur scan. message erreur windows, puis j'ai relance, eu une annonce pour envoyer le rapport de plantage j'ai donc fait en joignant l'adresse mail. Sauf que comme j'etais pu connecté ca n'a rien fait. j'ai donc relancé, nouveau crash, nouveau rapport et remis la co avant de cliquer sur envoyer. c'est fait. 

et parce que je suis tetue, j'ai relancé encore une fois, et j'avis oublié la co. et j'ai eu ce message de l'antivirus. 

         https://up2sha.re/file?f=p0jKAAIFNvW5

se peut il quil y ait incompatibilité avec l'antivirus? je n'ai pas ose le désactiver mais je sais il supporte pas grand chose... c'est peut etre lui le responsable des crash hier aussi? dites moi si je dois reessayer en le desactivant , toujours sans reseau.

et la je suis sur le premier ordi et il m'a refait le coup de la date systeme, ca commence a etre lassant lol ya  t'il un parametre quelque part qui le remet a zero ainsi a chaque demarrage?

esperant les rapports vous donneront une indication du ou des problemes!

encore merci pour tout ce temps passé, bonne journée

                                                  

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

Ok pour RogueKiller. Le souci a été remonté au développeur et devrait être corrigé rapidement.

Dans c:/windows/minidumps, vous devez avoir un ou des fichiers .dmp. Comme ci-dessus, pouvez-vous faire une archive .zip de ces fichiers, l'héberger sur Up2Sha.re et me fournir le lien ?

Est-ce que vous pouvez retrouver le nom du fichier ou de l'infection détectée par l'antivirus ?

Il y a donc quelques éléments à supprimer :

  • Effectuez une analyse (uniquement) avec AdwCleaner et fournissez-moi le rapport.

Puis :

  • Téléchargez ZHPFix ici,
  • Copiez l'intégralité du contenu ci-dessous, y compris "Script ZHPFix" :
Script ZHPFix:

P2 - EXT: (.Ask.com - :locale>LimeWire Toolbar.) -- C:\Users\Alban\AppData\Roaming\Mozilla\Firefox\Profiles\77recqx7.default\extensions\toolbar@ask.com
O3 - Toolbar: 0x7F7C02D44A156640A1AD4243D8127440 - [HKCU]{D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: 0x00 - [HKLM]{D4027C7F-154A-4066-A1AD-4243D8127440} . (.Ask - Ask Toolbar.) -- C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
[MD5.A5FE301C2AB55CCA83FA34D98E2E20EE] [APT] [Scheduled Update for Ask Toolbar] (...) -- C:\Program Files (x86)\Ask.com\UpdateTask.exe
O39 - APT: Scheduled Update for Ask Toolbar - (...) -- C:\Windows\System32\Tasks\Scheduled Update for Ask Toolbar
O42 - Logiciel: Ask Toolbar - (.Ask.com.) [HKLM][64Bits] -- {86D4B82A-ABED-442A-BE86-96357B70F4FE}
HKLM\SOFTWARE\Wow6432Node\APN
HKLM\SOFTWARE\Wow6432Node\AskToolbar
HKLM\SOFTWARE\Wow6432Node\McAfee.com
HKLM\SOFTWARE\Wow6432Node\McAfeeInstaller
HKLM\SOFTWARE\Wow6432Node\mcafeeupdater
HKCU\SOFTWARE\APN
HKCU\SOFTWARE\Ask.com
HKCU\SOFTWARE\AskToolbar
HKCU\SOFTWARE\MCAFEE
HKCU\SOFTWARE\YahooPartnerToolbar
HKCU\SOFTWARE\AppDataLow\AskToolbarInfo
HKCU\SOFTWARE\AppDataLow\Software\AskToolbar
O43 - CFD: 2012/05/19 18:05:03 - [] D -- C:\Program Files (x86)\Ask.com
O43 - CFD: 2015/08/15 01:08:40 - [] D -- C:\Program Files (x86)\GUM5EB2.tmp
O43 - CFD: 2013/07/09 12:27:36 - [0] D -- C:\Program Files (x86)\GUM7EC3.tmp
O43 - CFD: 2015/08/15 16:23:58 - [] D -- C:\Program Files (x86)\GUMC3DA.tmp
O43 - CFD: 2015/04/03 12:27:03 - [] D -- C:\ProgramData\McAfee
O43 - CFD: 2010/07/04 13:01:26 - [] D -- C:\ProgramData\Partner
O43 - CFD: 2010/06/15 13:33:06 - [] D -- C:\Users\Alban\AppData\Local\AskToolbar
SS - Demand [2015/10/22 09:33:02] [  235216]  McAfee Security Scan Component Host Service for Sony (McComponentHostServiceSony) . (.McAfee, Inc..) - C:\Program Files (x86)\SONY\MSS\3.8.130\McCHSvc.exe ©
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AskPartnerCobrandingTool_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\AskPartnerCobrandingTool_RASMANCS
EmptyTemp
  • Faites un clic-droit sur l'icône ZHPFix sur votre bureau -> "Exécuter en tant qu'Administrateur"
  • Cliquez sur "Importer"
  • Si le contenu ci-dessus n'apparaît pas automatiquement, faites un clic-droit dans la fenêtre -> coller pour faire apparaître les lignes.
  • Cliquez alors sur [Go]. Hébergez le rapport sur Up2Sha.re et fournissez-moi le lien généré.

Est-ce que NeuStar, Inc vous dit quelque chose ou pas du tout ? ( ou bien les adresses 156.154.70.25 et 156.154.71.25).

Pour la synchronisation de l'heure, vous confirmez que le nécessaire est bien activé ? (cf la partie Windows ici).

Cordialement,

Re: ordi troyenné comment éjecter l'intrus?

Bonsoir, heureusement je passe voir s'il y a  une reponse.. j'ai du juste oublier de faire "repondre" ce matin apres avoir ecrit :s donc je recommence :)

l'historique de telechargement donne : flashplayer le 24 comodo le 25 et LC le 26

https://up2sha.re/file?f=v8Y29tROnB3G

ce fichier est arrivé apres la premiere infection mais peut etre un rapport? ( LC est en chemin d'exception car Comodo n'aime pas du tout le logiciel Xtrap utlise, ce qui provoque souvent des "faux positifs" dont je me mefie comme la peste...)

avant comodo j'avais MSE qui avait detecte le malware au moment de la connexion en meme temps que l'acer.  Je ne me souviens helas plus du nom complet win32, je me souviens avoir lu le nom du fichier infecté mais sans chercher a le memoriser puisqu'il a ete placé en quarantaine :s... . Ayant desinstalle mse pour comodo en voyant que des trucs bizarres survenaient, je ne sais pas si c'est recuperable quelque part?

rapoort de ADwCleaner,    https://up2sha.re/file?f=tz1toP4NPvhZ

 

rapoort de ZHPfix            https://up2sha.re/file?f=9fx8gwIrfrnp

l'acer a recommence ses pbs de dates.. mais j'ai remarue que quand je fais redemarrer il ne le fait pas? et oui j'ai encore tout reverifié les manipulations c'est bien fait comme il faut les changements horaires dates changements et fuseau et synchronisation.

neuStar ne reveille aucune impression de deja vu. Par contre les adresses oui. mais je suis incapable de dire où  et quuand j'ai pu les avoir sous les yeux :( desolée de ne pouvoir aider mieux

et j'avais pas lu la recherche des dump. je retourne le faire et je reviens donner le lien

bon pas de succes avec dump/ il y a  fichiers un dans le 32, vide, un dans le 64, vide zt un memory dump. que windows ne sait pas ouvrir. j'ai tente de les compresser mais il refuse . les fichiers un par un ne peuvent aller dans up2share pour mauvaise extension.  j'ai essaye de modifier les droits de l'admin pour avoir controle total et je le suis fait injurier par windows. je force?

 bon courage pour tout ces rapports a etudier, en plus de tous ceux des autres posts!!

merci et

bonne soirée a vous!