bonjour,

depuis le 22 septembre un "peripherique inconnu s'est introduit sur votre réseau".. détecté en cheval de troie win32. je ne sais pas lequel exactement, ne sachant au moment où je l'ai lu qu'il en existait plein... depuis je vais de surprise en effarement en lisant tous les forums et en essayant des antivirus et des antimalwares et des journaux de rapport de hijackthis... et la je viens de lancer combofix, mais je n'y comprends rien :s pas facile pour quelqu'un n'ayant pas de connaissances de bases meme en informatique de suivre tout ca!

donc je me decide a demander une aide si cela  est possible? je donne les elements : le premier ordi infecté est un  portable acer aspire 7741G tournant avec W7 et qui avait seulement MSE en securite a ce moment la. ( je n'ai jamais eu aucun probleme, tout ayant toujours ete mis en quarantaine que ce soit avec mse ou avast avira comodo ou quand j'etais sous linux). ce micro se retrouve desormais avec l'adresse ipv6 d'un intrus co sur ma box quand je regarde la securite du reseau local avec avast. je viens de lancer combofix dessus et le tiens a votre disposition si cela rend service pour comprendre/explqiuer quoi faire?

quand j'ai branché mes 2 autres ordis le lendemain de l'intrusion, mais chez moi cette fois ci, les 3 ordis ont envoye un message de redemarrage pour finir les maj. ca arrive et les messages avaient l'ait tout a fait "normaux".  donc j'ai reboote les 3 ordis. sans doute une betise, mais je me suis dit un jour il faudra bien je les eteigne de toute façon!

  le deuxieme portable sous W7, tres vieux avec toutes mes données, tournant aussi avec mse, a detecte un win32 et l'a mis en quarantaine. il  en a fait ensuite "qu'a sa tete ( celle de l'intrus) mais pas a la mienne! des inclusions d'ecran d'accueil, perdre le navigateur par defaut, remplacer mes données de selection de page d'accueil, etc..

le troisieme portable , neuf, sous W8.1 sous garantie encore et avec presque rien dessus,  a commence à bloquer lors des analyses de disque à 99% de la fin, sur un rootkit.  il avait jamaias fait avant .il  a le macaffee d'origine gratuit encore qqs jours.  mais il a meme pas detecte de cheval de troie contrairement a mse. et puis le "gros rootkit" a l'air d'avoir eclot en une dizaine de petits rootkits... j'ai beau avoir lance plein d'antimalwares dessus je n'ai plus aucune confiance et ai meme lance une reinitialisation du micro. mais maintenant que j'ai lu que le bios peut etre atteint aussi donc ni formatage ni reinit ne feront le menage, je ne sais pas quoi faire.. recharger le BIOS? je sais pas faire mais je veux bien apprendre lol.

 je ne sais plus quoi faire pour me debarrasser de cet intrus, je n'ose plus me servir d'aucun ordi et je craque pour tout avouer :s

qui peut m'accorder un moment pour m'aider a comprendre comment faire pour savoir

1) comment on sait qu'un ordi est redevenu propre?

2) comment faire pour les nettoyer a fond?

je peux vous envoyer les rapports hijackthis et combofix et frst si vous me dites où?

merci d'avoir eu la patience de me lire, je ne sais pas etre tres claire souvent. :(

et merci si quelqu'un peut m'aider!!!

a vous lire

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

Le lien renvoie vers le rapport ZHPDiag précédent.

Poivez-vous également donner le rapport d'AdwCleaner ?

Re: ordi troyenné comment éjecter l'intrus?

bonjour, effectivement je devais avoir le mauvais lien ds le presse papier :( voici le rapport de RogKiller

https://up2sha.re/file?f=PbEghL4IQ8jd

je lance adw et je rajoute le lien du rapport

Tout propre :) https://up2sha.re/file?f=RgouqHEK7Xmd

Y at-il dessus des choses a eliminer ou mettre a jour?

bonne journée et merci!

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

De mon côté, je confirme que je ne vois rien de réellement malveillant.

Concernant la lenteur :

  • Mettre à jour vers Windows 10 vous permettra d'avoir un OS récent et supporté plus longtemps que W8.1. Pour cela, faites bien une sauvegarde de vos données importantes et cliquez sur l'icône correspondant dans la barre des tâches (en mode Bureau, à côté de l'horloge en bas à droite - un drapeau Windows blanc).

On aura ensuite quelques éléments à supprimer/optimiser, mais rien d'extraordinaire.. Les lenteurs ont lieu à quel moment précisément ?

Merci,

Re: ordi troyenné comment éjecter l'intrus?

Bonjour

Non je ne desire pas installer windows10  sur ceux en w8 pour le moment, deja ecoeurée de la maiminse des systemes proprietaires sur le w8. Bien qu'effectivement je n'avais pas pensé a la durée de maintenance de l'OS. A reflechir . Je verrai si la mise a jour est proposée aussi sur ma vieille tour en Windows XP qui n'est plus suivi. juste pour tester. Et des que je peux sur les ordis nettoyés j'installe Linux en  dualboot..

Cet asus gamer a ete achete car s'il est dit performant pour des jeux complexes il doit l'etre assez pour pouvoir faire du dessin et de la bureautique en temps reel pour mon entreprise en création, et me revenait moins cher.

Or il s'avere qu'avec rien dessus, juste un vieux jeu le meme que sur les autres vieux ordis , il est tellement lent ds ce jeu que je ne peux pas y jouer, tout est comme fonctionnant au ralenti, sans que ce soit comme lorsque les jeux "freeze", c'est du vrai ralenti comme si on regardait un film pas a la bonne vitesse.....

et  des que je vais sur internet il met 1h a ouvrir les quelques onglets de l'accueil  De meme si j'en ouvre un autre il met plusieurs minutes souvent avant d'afficher la page. Les autres ordis en W7 et l'autre asus en W8 n'ont pas ce probleme. Comme il a eu cet ennui de malware dès le début je n'ai pas encore installé les logiciels dessin pour voir ce que ça donnait mais c'est sur que c'est  impossible avec une telle lenteur, et le temps reel se perd dans une autre dimension ;)

Quels elements peuvent declencher ce genre de lenteur?

Est ce que je peux faire un ZHPDiag sur l'autre asus et vous demander de jeter un oeil, pour etre sur quil n'a pas de probleme aussi s'il vous plait? 

Je vous remercie et vous souhaite une bonne journée!

 

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

Si l'ordinateur, neuf est aussi lent malgré une configuration respectable, ce n'est vraiment pas normal.

Pouvez-vous réinstaller l'OS ?

 

Non je ne desire pas installer windows10  sur ceux en w8 pour le moment, deja ecoeurée de la maiminse des systemes proprietaires sur le w8.

Je suis moi-même linuxien depuis un bon moment et je comprends bien votre position. Malgré tout, si pour des raisons professionnelles vous êtes obligé d'utiliser Windows, il serait judicieux de migrer : le support matériel est meilleur et les performances qui s'ensuivent également.

Je verrai si la mise a jour est proposée aussi sur ma vieille tour en Windows XP qui n'est plus suivi. juste pour tester. Et des que je peux sur les ordis nettoyés j'installe Linux en  dualboot..

Il n'y a pas de migration Windows XP -> Windows 10. Seuls Windows 7, Windows8 sont concernés.

Quels elements peuvent declencher ce genre de lenteur?

Sur un ordinateur neuf et fraîchement réinstallé... c'est étrange. Si vous avez une clé USB bootable sous Linux il pourrait être intéressant de regarder si les lenteurs ont aussi lieu. Si c'est le cas, il faudra peut-être faire fonctionner la garantie. Sinon, une réinstallation est nécessaire.

Est ce que je peux faire un ZHPDiag sur l'autre asus et vous demander de jeter un oeil, pour etre sur quil n'a pas de probleme aussi s'il vous plait? 

Ce n'est pas celui que l'on a traité plus haut ?

Je vous remercie et vous souhaite une bonne journée!


Mereplexe, 2015-11-14 07:56:32 (UTC)

Merci, à vous aussi.

Re: ordi troyenné comment éjecter l'intrus?

Bonjour et merci de comprendre ma position :)

Effectivement je suis obligée d'avor windows performant pour le cote pro, donc je vais suivre votre conseil sur cet asus . Et avant lancer une reinstalljuste  pour voir si le probleme persiste, j'ai encore du temps pour faire jouer la garantie si meme apres avec le W10 il y a encore ca.

Dommage pour le windows XP :s

Non l'asus restant est le r511l ( on a regarde l'acer en premier puis le sony vaio et celui ci est l'asus rog).. Je le pense correct depuis le debut car il n'a jamais rien detecte (oui ça ne veut pas dire que tout est OK ;) ) et n'etait pas allumé en meme temps que les autres au moment de lintrusion et de l'infection le lendemain quand j'avais tout branche ensemble. Il ne fait pas non plus de quelconque bizarrerie,c'est plus pour avoir une certitude.

je le fais (le ZHPDiag) et le joindrai dans la journée, vous verrez si vous avez un moment ( mais où trouvez vous le temps de faire tout ça??? O-O) il est encore plus recent que l'asus rog donc la garantie joue aussi si ya probleme, mais je ne pense pas.C'est celui qui doit servir a tous les deplacement pro, donc pareil je le mettrai en double systeme avec linux.

je n'ai toujours pas eu de news du reparateur pour l'acer.

et je voudrais dire un mot pour la qualité de ce site et forum d'aide, c'est vraiment impressionnant. Je vous suis reconnaissante pour votre patience, et tout le temps passé a etudier ces rapports  Et les résultats! .Et je vais pouvoir participer au soutien puisque l'ordi etant propre je vais oser refaire des operations bancaires :)

 

je vous souhaite un bon dimanche avec tous mes remerciements !

 

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

je le fais (le ZHPDiag) et le joindrai dans la journée, vous verrez si vous avez un moment ( mais où trouvez vous le temps de faire tout ça??? O-O) il est encore plus recent que l'asus rog donc la garantie joue aussi si ya probleme, mais je ne pense pas.C'est celui qui doit servir a tous les deplacement pro, donc pareil je le mettrai en double systeme avec linux.

D'accord, j'attends donc de vos nouvelles.

 

je n'ai toujours pas eu de news du reparateur pour l'acer.

Ok. Tenez-moi au courant sur ce point !

et je voudrais dire un mot pour la qualité de ce site et forum d'aide, c'est vraiment impressionnant. Je vous suis reconnaissante pour votre patience, et tout le temps passé a etudier ces rapports  Et les résultats!


Mereplexe, 2015-11-15 09:01:41 (UTC)

Merci beaucoup pour votre message, il nous fait vraiment chaud au coeur.

Re: ordi troyenné comment éjecter l'intrus?

Bonjour

excusez le temps de réponse, j'etais chez mes enfants.

Voici le rapport de ZHPDiag pour cet ordi asus, apparemment il est tout beau tout propre :) https://up2sha.re/file?f=Y4TYbNen5JRg

Pourquoi y a til toujourrs des "trucs"  qui trainent avec macaffee que jai viré en suivant la procedure a partir du panneau de configuration?

et comment faire pour desactiver ou desinstaller le smartscreen de windows ? je ne me doutais meme pas quil fonctionnait avant quil m'interdise d'installer ZHPDiag...J'ai installé Glasswire, il est sense faire les memes surveillances?Je ne sais pas i vous avez le "droit" de donner des conseils a propos de tel ou tel logiciel, mais si oui pouvez vous conseiller un "ensemble" pour surveillance micro et internet en virus et malwares? merci

Je vais installer le logiciel pour PDF que vous m'avez indiqué a la place de phantomfoxit dont je ne me sers pas du tout. Y a til d''autres elements que je peux supprimer?

J'ai essaye de faire un don en suivant la procedure indiquée, mais je me retrouve a la fin avec une inscription au systeme paypal. On ne peut pas faire juste en carte bancaire?

Je n'ai toujours pas eu de nouvelles de l'Acer :s et pas pu la semaine passée m'occuper de reinitialiser l"Asus. Je vais voir ca aujourdhui entre 2 cartons de demenagement :)

Pour un "entretien" et ne surveillance reguliere, que conseillez vous? faire un ZHPDiag et lancer adw cleaner toutes les semaines par ex? et un defrag mensuel. en fonction de l'activite. ?

Je vous remercie pour vos conseils et vous souhaite une bonne journée!

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

Effectivement, rien de spécial à signaler ici.

On va simplement supprimer les restes de McAfee avec un script ZHPFix sur le contenu suivant :

Script ZHPFix:

O23 - Service: McAfee SiteAdvisor Service (McAfee SiteAdvisor Service) . (...) - c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe (.not file.)
O23 - Service: McAfee Service Controller (mfemms) . (.McAfee, Inc. - McAfee Management Service.) - C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe ©
[MD5.7C1F1E613FC396D464A2E3387E49E4F3] - (.McAfee, Inc. - McAfee Management Service.) -- C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe [373704] [PID.2140] ©
P2 - EXT FILE: (...) -- C:\Users\Kolchic\AppData\Roaming\Mozilla\Firefox\Profiles\m3xxwxax.default-1441796344098\searchplugins\McSiteAdvisor.xml
HKLM\SOFTWARE\Wow6432Node\McAfee
O58 - SDL:2015/07/02 14:33:00 A . (.McAfee, Inc. - McAfee Personal Firewall IDS Plugin.) -- C:\Windows\System32\drivers\cfwids.sys   [77536] ©
O58 - SDL:2015/07/02 14:33:00 A . (.McAfee, Inc. - McAfee Arbitrary Access Control Driver.) -- C:\Windows\System32\drivers\mfeaack.sys   [412440] ©
O58 - SDL:2015/07/02 14:33:00 A . (.McAfee, Inc. - Anti-Virus File System Filter Driver.) -- C:\Windows\System32\drivers\mfeavfk.sys   [347800] ©
O58 - SDL:2015/06/28 21:37:02 A . (.McAfee, Inc. - McAfee Driver Cleaning Driver.) -- C:\Windows\System32\drivers\mfeclnrk.sys   [20480] ©
O58 - SDL:2015/07/02 14:33:00 A . (.McAfee, Inc. - McAfee ELAM Driver.) -- C:\Windows\System32\drivers\mfeelamk.sys   [80920] ©
O58 - SDL:2015/07/02 14:33:00 A . (.McAfee, Inc. - McAfee Core Firewall Engine Driver.) -- C:\Windows\System32\drivers\mfefirek.sys   [496888] ©
O58 - SDL:2015/08/10 13:38:44 A . (.McAfee, Inc. - McAfee Link Driver.) -- C:\Windows\System32\drivers\mfehidk.sys   [839376] ©
O58 - SDL:2015/06/28 21:37:02 A . (.McAfee, Inc. - Event Driver.) -- C:\Windows\System32\drivers\mfencbdc.sys   [529080] ©
O58 - SDL:2015/06/28 21:37:02 A . (.McAfee, Inc. - Detection driver.) -- C:\Windows\System32\drivers\mfencrk.sys   [109728] ©
O58 - SDL:2015/08/10 13:38:44 A . (.McAfee, Inc. - Anti-Virus Mini-Firewall Driver.) -- C:\Windows\System32\drivers\mfewfpk.sys   [244024] ©
SS - Disabled [29/06/2015] [  232656]  McAfee Firewall Core Service (mfefire) . (.McAfee, Inc..) - C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe ©
SR - Auto   [15/07/2015] [  373704]  McAfee Service Controller (mfemms) . (.McAfee, Inc..) - C:\Program Files\Common Files\McAfee\SystemCore\mfemms.exe ©
SS - Disabled [31/07/2015] [  254792]  McAfee Validation Trust Protection Service (mfevtp) . (.McAfee, Inc..) - C:\Windows\System32\mfevtps.exe ©
EmptyTemp
EmptyFlash

Selon les logiciels, il arrive souvent que ces derniers laissent (beaucoup) de traces même après désinstallation. Et McAfee est plutôt dans le haut du classement en la matière...

et comment faire pour desactiver ou desinstaller le smartscreen de windows ?

Pour un usage "classique", il n'est pas forcément recommandé de désactiver ce filtre. Il n'effectue pas la même chose que GlassWire qui lui se concentre sur le comportement réseau des applications. SmartScreen "analyse la réputation" (différents facteurs plus ou moins pertinents entre en jeu) des applications avant lancement.

Nous sommes en train de corriger le souci pour qu'AdwCleaner ne cause plus d'alerte.

Je ne sais pas i vous avez le "droit" de donner des conseils a propos de tel ou tel logiciel, mais si oui pouvez vous conseiller un "ensemble" pour surveillance micro et internet en virus et malwares? merci

La parole est libre ici :-)

Les différents outils de sécurité ne doivent être considérés que comme une ceinture de sécurité dans une voiture : ça ne protège pas d'un accident mais ça limite les dégâts. Le comportement de l'usager reste toujours la partie la plus importante.. Concernant une "suite" complète, il n'y a rien de fixé ni d'objectif et ça varie en fonction de l'utilisation. Cependant, un simple antivirus (Avast par exemple) accompagné d'un pare-feu correctement réglé (Windows et/ou GlassWire) suffisent dans la plupart des cas où l'utilisateur est conscient des dangers.

 

Pour un "entretien" et ne surveillance reguliere, que conseillez vous? faire un ZHPDiag et lancer adw cleaner toutes les semaines par ex? et un defrag mensuel. en fonction de l'activite. ?

Toutes les semaines me paraît excessif. En fonction de l'usage, une vérification mensuelle ou trimestrielle peut suffire s'il n'y a pas de symptômes spéciaux.

 

J'ai essaye de faire un don en suivant la procedure indiquée, mais je me retrouve a la fin avec une inscription au systeme paypal. On ne peut pas faire juste en carte bancaire?

La création de compte n'est normalement pas obligatoire.. Nous cherchons activement d'autres moyens que PayPal qui n'est pas toujours pratique, mais pour l'instant nous n'avons pas beaucoup de pistes. N'hésitez pas à nous contacter directement en cas de besoin.

Cordialement,

 

Re: ordi troyenné comment éjecter l'intrus?

Bonjour

Un grand merci pour votre réponse. Je n'ai pas pu effectuer la correction avec ZHPfix, pour la bonne raison que j'ai crié trop vite qu'il avait l'air "tout propre"... le lendemain lors de l'allumage apres avoir rentre le mdp il est resté bloqué sur la page d'accueil de W8 , mais seulement juste l'accueil. Meme pas possible de faire defiler avec la roulette pour voir a droite, et la fleche vers la liste d'applications n'apparaisssait pas. la souris fonctionnait , je l'ai mm changé pour etre sure,,le touch pad aussi,  mais ne faisait aucun effet ni clic gauche ni droit. j'ai eteint avec le bouton. retester 3 fois dans la journée aucun changement.

Je suis en plein deménagement  alors j'ai peu de temps a consacrer tout de suite aux ordis, mais ca m'a fichu un bon coup de stress :s Ca, apres tout le temps passé en recherches puis votre temps a donner les conseils et verifier tous les ordis et que tout allait enfin bien...  flute quoi :s et ca me fait un peu peur en pensant je vais mettre la dessus tout ce qui va concerner ma "boite" et que je risque de tout perdre et etre bloquée si ca se reproduit. Le fait d'voir un autre ordi récent me rassure un peu mais j'ai bien vu que tout peut aller mal en meme temps!

 

Avant de le renvoyer pour la garantie, j'aurais bien aimé savoir ce que vous en pensiez? est ce un effet possible de logiciel malveillant ou ca fait plutot penser a une panne technique  materielle?

Merci pour les conseils je prends bonne note de tout ça! et je reessaierai le lien de don.

je vous souhaite une bonne journée !

Re: ordi troyenné comment éjecter l'intrus?

Bonjour,

Hm, c'est étrange. Est-ce qu'il fait un bruit particulier lors du "freeze" ? (ou une absence de bruit justement)

Avez-vous réussi à démarrer via une clé USB Linux ?

Bon couurage,