Security-X
Forum Security-X => Désinfections => Discussion démarrée par: gbalou le juin 17, 2015, 13:17:45
-
Salut,
Je crois que mon ordi est un botnet. Voici pourquoi...
J'ai remarque , a ma grande surprise, il ya quelque temps que mon disque dur etait presque plein. Il restait moins de 8GB de disponoble dans mon C:\ ..... J'ai du donc supprimer la partiion de linux pour avoir 50 GB supplementaire... Mais c'est tres bizzard vu que mon plus gros logiciel est Visual Studio. Bref... HIER j'ai constater que l'espace disponible de mon disque dur C:\ est de 100 GB.... SURPRISE!!! C'a na pas de sens vu les info du mois dernier jusqu'a hier...Un autre pb est que souvent les soir j'ai du mal avec la connection internet qui deveint trop lente....Je suis sur que mon ordi est utiliser par ces mechants pirates... Pouvez vous verifier si il n y a rien de suspect ? ( Ou bien si windows ne sait plus compter et montre 8GB
un jour et 100GB un autre sans modifications majeures)
Merci
-
Bonjour,
à faire pour un premier diagnostic :
Télécharge Farbar Recovery Scan Tool (de Farbar) sur ton Bureau.
Attention: Tu dois lancer la version compatible avec ton système : 32 ou 64bits.
Clique ici pour la version 32 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/81/)
Clique ici pour la version 64 bits (http://www.bleepingcomputer.com/download/farbar-recovery-scan-tool/dl/82/)
Info : comment savoir quelle version j'utilise ? (http://windows.microsoft.com/fr-fr/windows7/find-out-32-or-64-bit)
Sous IE9 ou IE10, le filtre SmartScreen déclenche une alerte. Cliquer sur Actions puis sur Exécuter quand même
- Double-clique sur l'outil pour le lancer. Quand l'outil se lance, clique sur Yes pour accepter le disclamer.
- Clique sur le bouton Scan.
- L'outil va créer un rapport nommé FRST.txt, enregistré dans le même dossier que l'outil.
- A son premier lancement, l'outil va aussi créer un fichier nommé Addition.txt).
Poste les deux rapports générés.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
-
Salut ,
voici les deux liens
addtion.txt --> http://up.security-x.fr/file.php?h=Rb40b9d13723f2fc0a6d296fff24db857
frst.txt --> http://up.security-x.fr/file.php?h=R3fc33e0ca24c779b202c8b9c2c17c831
J'espere que j'ai fait comme il fallait.
-
Re,
Questions importantes pour la suite de la prise en charge :
- Ce système est légitime et activé ?
Error: (06/18/2015 04:56:25 PM) (Source: Software Protection Platform Service) (EventID: 8193) (User: )
Description: License Activation Scheduler (sppuinotify.dll) failed with the following error code:
0x80070002
- C'est toi qui a mis en place des proxys pour ta connexion ?
FF NetworkProxy: "ftp", "37.187.101.22"
FF NetworkProxy: "ftp_port", 9912
Le problème d'esace disque vient probablement de ceci :
2015-06-09 12:59 - 2015-06-09 12:59 - 00020093 _____ C:\Windows\system32\nmesrvc_core_2015_6_9_12_59_47.dmp
2015-06-08 22:30 - 2015-06-08 22:30 - 00020093 _____ C:\Windows\system32\nmesrvc_core_2015_6_8_22_30_21.dmp
2015-06-08 19:45 - 2015-06-08 19:45 - 00020191 _____ C:\Windows\system32\nmesrvc_core_2015_6_8_19_45_18.dmp
Tu en as plusieurs dizaines rien que sur quelques jours.
ça vient de ce programme d'Oracle :
Oracle - OraDb11g_home1
-
Ce système est légitime et activé ?
Ahhh la question qui fait mal... Non le systeme n'est pas legitimement active. La faute a mon disque dur qui s'est abimer (kaput !!!!) et au fait que
j'ai acheter l'ordi avec windows pre-installe. Donc plus de toshiba recovery partition et j ai tout perdu. J'avais donc le choix entre windows non legitime et linux...
C'est toi qui a mis en place des proxys pour ta connexion ?
NOOONNN !!!!!
Je n'ai jamais fais ces changements la.
Ohh lalaaaaa ma machine est compromise alors...??!!!
Le problème d'esace disque vient probablement de ceci :
Je suis aller regarder dans le repertoire et les fichier que vous avez lister ne font que 19 Ko....
C'est vrai que j'ai essayer d'installer Oracle mais AVANT que je l'installe mon proble existait deja. Le fait que j'ai voulu installer Oracle est l'une des raison qui m'a fait remarquer ce probleme...J'ai donc du installer oracle sur une "partition etendu " (50 Gb) de mon HDD
:oups: J'imagine que ma reponse a la question 1 ne va pas beaucoup m'aider... mais c'a n'est certainement pas un vulnerabiliter dans windows qui a fait que ma machine est compromise...Ca doit etre autre chose je suppose vu que niveau security et comportement sur internet je suis la majorite de conseil prodiguer sur votre site ou meme bleepingcomputer etc...
Permettez moi d'ajouter cette information --> http://up.security-x.fr/file.php?h=Rc4ba67c642bb30876258c449041d6a37
Vous avez la un "print screen" des HDD des mon ordi (avec le C:\ qui a mon avis fait semblant d'etre OK). Remarque en bas Others..
Il y a une sorte de dossier appeler Web Folders je n'ai jamais vu ca et jamais rien configurerpour partager des fichier en reseau ou sur le net...
-
Re,
J'avais donc le choix entre windows non legitime et linux...
Faux ;D
Le pc est livré avec une clé de licence ... (étiquette ou livret d'installation)
Il suffisait (et suffit toujours ;) ) d'installer la même version que celle de la licence, de manière légale :
http://www.microsoft.com/en-us/software-recovery
NOOONNN !!!!!
Je n'ai jamais fais ces changements la.
Ohh lalaaaaa ma machine est compromise alors...??!!!
Par sécurité, il faudra modifier l'ensemble des mots de passe à la fin de la prise en charge
Il y a une sorte de dossier appeler Web Folders je n'ai jamais vu ca et jamais rien configurerpour partager des fichier en reseau ou sur le net...
Il est apparu quand ce dossier ?
:AAN
-
Faux ;D
Le pc est livré avec une clé de licence ... (étiquette ou livret d'installation)
Il suffisait (et suffit toujours ;) ) d'installer la même version que celle de la licence, de manière légale :
http://www.microsoft.com/en-us/software-recovery
ho lalaaa si j'avais su sa a l'epoque....
Il est apparu quand ce dossier ?
Apres avoir regarder dans mon historique (firefox) je dirais que ca fait environ deux semaine que j'ai remarquer ce dossier ( j'ai fai une recherche sur google quand je l'ai vu mais... rien de pertinant a premiere vue)
-
Re,
Je t'explique le problème actuel, et pourquoi nous indiquons que nous ne prenons généralement pas en charge les versions non légale/activée de Windows :
- Le soucis peut être lié à un backdoor installé directement sur le système, de manière transparente, de part l'activation du keygen, cracks ou de la version modifiée de Windows.
Je ne peux donc pas prendre en charge ce cas précis pour des raisons techniques.
Je l'indique et le redis, tu peux toujours à l'heure actuelle récupérer une version de windows 7 légalement via mon lien et le réinstaller convenablement, puis l'activer avec ta clé de licence.
:AAN
-
Oui j'ai vu le lien .... Mais pour vous donner une idee mon ordi est un Toshiba Satellite L 650.... Ca au moins 4 and que je l'ai. Et il y'a a au moins 3 ans que j'ai du changer le disque dur. Donc malheuresement pour moi je n'ai aucun moyen de retouver la "Product key" ; tous les livre de la machine sont perdu .... hmmmm... Si windows pourvait detecter quelque chose sur ma carte mere ou autre chose pour verifier quemon systeme etait legitime a l'origine ca aurait ete super.... Si vous avez un moyen pour m aider a retrouver la key ca serai super....sinon tanpis :(
ps : je vien d'installer linux slackware ... (Windows est tellement encombrant parfois lol )
-
Re,
Normalement, la clé doit être apposée par un autocollant officiel sur le pc lui-même ...
On aurait pu retrouver la clé avant changement du disque, maintenant c'est impossible.
Sans version légitime, il m'est impossible d'intervenir ...
Bon après l'autre solution radicale est de passer à un système GNU/Linux effectivement ;)
-
la clé doit être apposée par un autocollant officiel sur le pc lui-même ...
OUI !!!!!!!!!!!!!! Il y'a effectivement un autocollant au bas de l'ordi (Proof of licence) pratiquement effacer....
Mais bon ...figurer vous que je viens de retrouver tous me recovery disk y compris celui de windows....
Bon evidemment je l'ai mis dans mon lecteur disque mais apparament il n'est meme pas detecter alors...
J'ai essayer un microsoft fix it ...le resultat est que "the media is not readable" (je me souviens les avoir utiliser une fois et ils avaient tous marche) les CD de music et de film marche sans soucis
Qu'est ce que je peux faire maintenant ?
Il y a 4 DVD-R ... 3 disk de recovery toshiba et 1 disk de recovery windows... Ils ont ete creer si je me souvien bien avec un logiciel de toshiba..
-
Re,
Pour lancer une restauration usine, il faut parfois démarrer sous un mode spécifique, mais sachant que le disque dur a été changé, je ne sais pas si cela fonctionnera.
Normalement, on démarre le pc et on tapote la touche "F 10" pour accéder à un mode spécifique, sinon, faut juste démarrer sur les DVD recovery en tapotant "F 12" et en choissisant le mode de démarrage :
http://www.commentcamarche.net/faq/17839-restaurer-un-ordinateur-toshiba-a-son-etat-d-usine
Tu as sur ce sujet d'autres manière de faire aussi, à tester.
Le disque recovery windows est plus probablement l'environnement de récupération, il faut tenter ceux de Toshiba ;)
/!\ Dans tous les cas, tu perdras toutes les données de ton disque, donc pense à sauvegarder avant /!\
-
http://www.commentcamarche.net/faq/17839-restaurer-un-ordinateur-toshiba-a-son-etat-d-usine
Tu as sur ce sujet d'autres manière de faire aussi, à tester.
Aucune des methodes suggeree ne semble reconnaitre mes disques. Que ca soit recovery, systeme image, boot DVD/CD etc.... :'(
Que faire ?
-
Re,
Il est tout à fait possible que les DVD soient endommagé
De même certains constructeurs appliquent encore le tatouage matériel, ce qui voudrait dire qu'en changeant le disque dur, le PC ne reconnaisse plus le recovery comme son système originel
Là, on ne peut plus faire grand chose.
Reste que si tu arrives à lire ta clé de licence, tu peux tout à fait réinstaller un système légitime via le lien donné ;)
-
certains constructeurs appliquent encore le tatouage matériel
Hahah vous en savez des choses vous.... c rigolo comment il on verouiller mon lecteur DVD contre la lecture de ces CD
Alors donc j'ai place les DVD dans un autre lecteur sur un autre machine...ils ont TOUS ete detecter correctement.
Alors je suis sur qu'il ne sont pas endommages...
un aspect bizzard c'est que le CD contenant windows ne contient que 156 Mo de donnee .... les autres contiennet 3 GB et plus
Je pourrais echanger les disques durs et mettre le mien dans la machine que reconnais les CD. N'est ce pas ?
j'ai fais des recherche...si les information sont correct apparament il s agit de CD de la recovery partition qui n'exite plus. Donc plus de Toshiba Recovery Wizard en mode Repair your system de windows......
hmmm Que me conseiller vous de faire ?
-
Re,
Il reconnait d'autres DVD ton lecteur ? de Type .Iso (image disque)
Je vois pas pourquoi il lancerait pas au moins le DVD WinRE (celui de 156 Mo), puisqu'il n'a rien à voir avec Toshiba normalement ...
L'autre solution est de se rapprocher de Toshiba pour voir s'il y a une solution ...
http://www.toshiba.fr/innovation/generic/SUPPORT_PORTAL/
-
Il reconnait d'autres DVD ton lecteur ?
Bon j'ai pas d'autre DVD sous la main donc je peux rien dire... Il reconnait en tous cas les CD de musique
Finallement j'ai mis mon disque dur dans une autre machine et essayer de faire la restauration mais il y a eu un probleme avec Toshiba Recovery Wizard ; une erreur appellee : 03-FFFF-0001 --> http://up.security-x.fr/file.php?h=Re0c85cd13b0580226e2189e1470baefe
Je sais pas pkoi...Il n y a pas beaucoup d'info sur internet pour ca...
Ca devrait etre simple pourtant c de l'informatique plug and play ... je paris que c'est le tatouage materiel...(c'est quoi la notion de tatouage materiel en anglais ?)
En tous cas merci pour votre aide ;)
-
Re,
Il est fortement possible sur l'autre PC que l'erreur soit lié à ce que le BIOS ne soit pas "tatoué" Toshiba, donc qu'il ne puisse pas réinstaller un système à partir des recovery Toshiba.
Pour le reste, tant qu'on aura pas tester ton lecteur DVD pour les DVD, difficile de conclure ...
-
Pour le reste, tant qu'on aura pas tester ton lecteur DVD pour les DVD, difficile de conclure ...
Apparament c'est mon lecteur qui est TRES bizzard.... la derniere fois que je l'ai utiliser c'a doit etre il y a 2 ans pour ecouter de la musique et regarder des dvd video et il marchait bien. J 'ai essayer sur deux machines (la mienne et une autre) 1 DVD video ; dans ma machine il n'est meme pas detecter dans l'autre oui. J'ai essayer https://support.microsoft.com/en-us/mats/cd_dvd_drive_problems de microsoft ...le resultat c'est : " MEDIA not readable"... J'ai regarder la date d' intallation du driver du lecteur et ca correspond a 2013 et c vrai car j'ai restaure mon systeme a cette date la (avec le windows non legitime)
voici mon lecteur http://teac-ipd.com/dvw-28sv/
Est ce un probleme logiciel ou materiel ? (comment je peux faire pour savoir si c'est l'un ou l'autre )
En tous cas pour windows "the device is working properly" (devmgmt.msc) et "the driver is up to date"
FINALLEMENT j'ai mis un disque de Compaq (Compaq Restore CD Windows XP home <-- C'est un CR ROM) ET CELUI LA EST DETECTE !!!!!!!!!!!!! Il marche....SANS PROBLEME .... Aussi les CD Audio (CD de musique <-- des annee 90s) marche sans soucis.
Hahaha qu'est ce qui se passe ? Apparament les VIEUX CD (Win XP , Audio) marche mais pas les nouveau (DVD-R)..... Les nouveaux
CD-R qui fonctionnent (ca arrive que certain ne soient pas detecter) affichent qu'il sont vide (comme si il etaient vierge) alors que ce n'est pas le cas -->http://up.security-x.fr/file.php?h=Ra6eaf0faa5c34c0daa9f35e224d1dda2
l'erreur soit lié à ce que le BIOS ne soit pas "tatoué" Toshiba
Si je met mon disque dur dans une autre machine toshiba vous pensez que ca peut marcher ?
en tous cas le bios detecte le lecteur dvd... mais malheuresement ne boot pas sur les dvd non reconnus
solutions trouvees
http://answers.microsoft.com/en-us/windows/forum/windows_xp-hardware/dvdcd-rom-drive-reads-cds-but-does-not-read-dvds/a2e8ed49-0c67-4ab9-b5fe-33d767bca3a4
Il propose de modifier the "currencontrolset" registry ...je sais que c'est potentiellement dangereux de modifier ce genre de cle registre.
Est ce que je peux faire ca ? En plus dans mon ordi il n'y a pas "upperfilter / lowerfilter" pour la cle {4D36E965-E325-11CE-BFC1-08002BE10318} correspondante a DVD/CR-ROM --> http://up.security-x.fr/file.php?h=R1d35bd65e00d8164770cab31d6e4b780
-
Re,
T'as probablement juste un souci de lecture des support DVD ou des supports "inscriptible" (CD gravé)
Après y'a la solution de chercher un lecteur DVD portable usb ;)
Je pense que c'est un souci matériel, donc tu ne pourras pas "réparer" via le système, registre, ou en réinstallant pilote ou autre ...
:AAN
-
Je pense que c'est un souci matériel, donc tu ne pourras pas "réparer" via le système, registre, ou en réinstallant pilote ou autre ...
C'est vrai j'ai essayer rien n'a fonctionner
Après y'a la solution de chercher un lecteur DVD portable usb ;)
Merci. Je vais essayer cette methode si j'en trouve.
MERCI pour le support. J'espere que je ne vous ai pas trop ennuyer. Je vous donnerai des nouvelles si je reussis finalement a tout reinstaller.
:AAN :AAC
thumbs up security-x
-
Re,
Pas de souci, on est toujours là pour la suite au besoin ;)
:AAN