Discussion :

[AlfredKr]

Bonjour,

J'avais en win7 un trojan et Mr HACKOOFR m'avait bien renseigné.
Je pensais, hier que j'avais un virus et ai procédé comme la 1ère fois.
J'ai utilisé malwarebyte's et obtenu les fichiers textes suivant (pas d'infection d'après l'anti-virus):
ProcessCmdLine.txt

ListProcess.txt

Mr HACKOOFR comprendra ces 2 fichiers textes obtenus.
Est-ce que mon ordinateur est encore sans virus ?

Merci d'avance,

Fred

[hackoofr]

D’après les logs je crois que c'est mais néanmoins vous pouvez aussi le repasser avec ce nouveau script que j'ai ajouté Les éléments à démarrage automatique

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
'Les éléments à démarrage automatique + ListProcessCmdLine.vbs © Hackoo © 2011
Set fso = CreateObject("Scripting.FileSystemObject")
Set Ws = CreateObject("WScript.Shell")
Set ProcessEnv = Ws.Environment("Process")
NomMachine = ProcessEnv("COMPUTERNAME") 
NomUtilisateur = ProcessEnv("USERNAME") 
NomFichierLog="Liste_Processus.txt"
temp = Ws.ExpandEnvironmentStrings("%temp%")
PathNomFichierLog = temp & "\" & NomFichierLog
Set OutPut = fso.CreateTextFile(temp & "\" & NomFichierLog,2)
strComputer = "."
Set objWMIService = GetObject("winmgmts:" _
& "{impersonationLevel=impersonate}!\\" _ 
& strComputer & "\root\cimv2") 
Set colProcesses = objWMIService.ExecQuery ("Select * from Win32_Process")
count=0 
'Dim StartTime : StartTime = Timer
Call Infosys
OutPut.WriteLine String(14,"*")& "Liste des Processus en cours d'exécution le " & date & " à " & time & " sur Le PC "& NomMachine &" connecté en tant que " & NomUtilisateur & String(14,"*")& vbNewline & String(143,"*")
For Each objProcess in colProcesses
ProcessName = objProcess.Name
ProcessID = objProcess.ProcessID
CommandLine = objProcess.CommandLine	
count=count+1
Texte = "Numéro PID = "& objProcess.ProcessID & VbNewLine & "Nom du Processus = " & objProcess.Name & VbNewLine &"Ligne de Commande = "& objProcess.CommandLine &_
VbNewLine & String(120,"*")
OutPut.WriteLine Texte
Next
 
OutPut.WriteLine  "Il y a "& Count &" Processus en cours d'exécution le " & date & " à " & time & " sur Le PC "& NomMachine &" connecté en tant que " & NomUtilisateur & vbNewline
Call StartupCommand
'OutPut.WriteLine FormatNumber(Timer - StartTime, 0) & " seconds."
Function StartupCommand()
strComputer = "."
resultat=""
Set objWMIService = GetObject("winmgmts:\\" & strComputer & "\root\cimv2")
Set colStartupCommands = objWMIService.ExecQuery ("Select * from Win32_StartupCommand")
 
For Each objStartupCommand in colStartupCommands
resultat=resultat & "Nom: " & objStartupCommand.Name & vbNewline
resultat=resultat & "Description: " & objStartupCommand.Description & vbNewline
resultat=resultat & "Emplacement: " & objStartupCommand.Location & vbNewline
resultat=resultat & "Commande: " & objStartupCommand.Command & vbNewline
resultat=resultat & "Utilisateur: " & objStartupCommand.User & vbNewline
resultat=resultat & String(120,"*") & vbNewline 
Next
OutPut.WriteLine String(50,"*") &" Les éléments à démarrage automatique "& String(50,"*")
OutPut.WriteLine resultat
end Function
 
Explorer(PathNomFichierLog)
 
Function Explorer(File)
    Set ws=CreateObject("wscript.shell")
    ws.run "notepad "& File,1,True
end Function
 
Function InfoSys
strComputer = "."
strMessage=""
Set objWMIService = GetObject("winmgmts:"  & "{impersonationLevel=impersonate}!\\" & strComputer & "\root\cimv2")
Set colSettings = objWMIService.ExecQuery  ("Select * from Win32_ComputerSystem")
Set colSettings2 = objWMIService.ExecQuery ("Select * from Win32_BIOS")
Set colSettings3 = objWMIService.ExecQuery ("Select * from Win32_OperatingSystem")
For Each objBIOS in colSettings2 
      strMessage=strMessage & "BIOS " & objBIOS.Version & vbNewline & vbNewline
Next
For Each objComputer in colSettings 
      strMessage=strMessage & "Nom de l'ordinateur : " & objComputer.Name & vbNewline & "Fabriquant: " & objComputer.Manufacturer & vbNewline & "Modèle : " & objComputer.Model & vbNewline & vbNewline
 
Next
For Each objOperatingSystem in colSettings3
      strMessage=strMessage &  objOperatingSystem.Name & vbNewline
      strMessage=strMessage &  "Version " & objOperatingSystem.Version & vbNewline
      strMessage=strMessage &  "Service Pack " & objOperatingSystem.ServicePackMajorVersion & "." & objOperatingSystem.ServicePackMinorVersion &vbNewline
      strMessage=strMessage &  "Dossier de Windows: " & objOperatingSystem.WindowsDirectory &vbNewline
Next
OutPut.WriteLine strMessage
end Function

et complétez le travail avec : AdwCleaner
AdwCleaner est un outil visant à supprimer :

• Les adware (programmes publicitaires)
• Les PUP/LPIs (programmes potentiellement indésirables)
• Les toolbar (barres d'outil greffées au navigateur)
• Les hijacker (détournement de la page de démarrage)

Il dispose d'un mode recherche et d'un mode suppression. Il se désinstalle très simplement grâce à l'option "Désinstallation".
Il est compatible avec Windows XP, Vista, 7 versions 32 & 64 bits.

Donc télécharge AdwCleaner ( d'Xplode ) sur ton bureau.

• Lance AdwCleaner
• - Sous XP double-clic sur l'icône pour lancer l'outil.
• - Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
• clique sur Recherche
• Patiente le temps du scan, le rapport doit s'ouvrir spontanément à la fin.
• Clique sur Quitter

Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[R1].txt

Poste le rapport

[AlfredKr]

Bonjour HACKOOFR,

Merci pour ta réponse.
Voici le résultat de l'exe que vous m'avez demandé:
Liste_Processus.txt

Pour adwcleaner, est-ce équivalent à ccleaner ou meilleur en ajoutant de la protection ?

Merci pour votre réponse,

Cordialement,

Fred

[hackoofr]

Pour adwcleaner, est-ce équivalent à ccleaner ou meilleur en ajoutant de la protection ?

Chacun d'eux a son propre rôle, exemple pour CCleaner : est destiné à optimiser ainsi qu’à nettoyer le système.
Le logiciel retire les fichiers inutilisés de vos disques durs, les raccourcis sans cible, les contrôles ActiveX, les fichiers d’aide, les entrées dans le registre, etc. afin de libérer de l’espace et améliorer le chargement de Windows. CCleaner est également en mesure d’effacer toute trace de vos navigations sur le Web en quelques secondes. L’application supprime les fichiers temporaires, l’historique des sites visités, les cookies, les formulaires, etc. CCleaner prend en charge Internet Explorer, Opera et Mozilla Firefox. Enfin, le programme peut supprimer les documents temporaires de nombreuses applications, tels que eMule, KaZaA, Google Toolbar, Office, Nero, Acrobat, WinRAR, etc.
Donc en résumé le CCleaner : est conçu pour effacer vos traces mais pas de protection permanente.
Alors pour le logiciel adwcleaner je l'ai déja décrit ci-dessus.
A propos de votre LOG j'ai remarqué qu'il y a une entrée douteuse dans la base des registres:

Nom: Akamai NetSession Interface
Description: Akamai NetSession Interface
Emplacement: HKU\S-1-5-21-1511167850-2735283509-2445657553-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
Commande: "C:\Users\user\AppData\Local\Akamai\netsession_win.exe"

et je l'ai analysé par System Explorer et voila comme résultat obtenu

33,33% des fichiers reçus sont marqués comme sécurisés.
66,67% des fichiers examinés sont marqués comme des menaces

[AlfredKr]

Bonjour HACK00FR,

Alors que dois-je faire pour protéger mon PC ?
Quelle action envisager ?
Dois-je retirer ce fichier ou autre action ?

Merci beaucoup et d'avance,

J'attends votre réponse.

Cordialement,

Fred

[AlfredKr]

Je viens de lire sur le net que ce programme n'est pas un virus et peut être désinstallé par admintool.exe dans un sous répertoire de AKAMAI.
J'ai lu tout ça dans l'URL:
http://www.akamai.com/html/misc/akam...rface_faq.html

Qu'en pensez-vous ?

Fred

[hackoofr]

je vois aussi que vous n'avez pas encore installer un bon antivirus voila je vous recommande de télécharger Comodo Internet Security :



Il exploite de multiples technologies (y compris le scan des courriers électroniques et le blocage des vers et des logiciels malveillants).
Il vous procure une protection complète contre les menaces internes et externes en combinant un pare-feu avec un antivirus.
La nouvelle interface facilite la recherche et vous permet d'accéder rapidement à tous les paramètres importants.

[hackoofr]

Je viens de lire sur le net que ce programme n'est pas un virus et peut être désinstallé par admintool.exe dans un sous répertoire de AKAMAI.
J'ai lu tout ça dans l'URL:
http://www.akamai.com/html/misc/akam...rface_faq.html
Qu'en pensez-vous ?
Fred

Je n'ai pas dit que c'est un Virus mais j'ai dit c'est un fichier douteux donc il faut bien vérifier voila tout simplement

[AlfredKr]

Merci pour votre info.
J'ai vu qu'il avait une version freeware gratuite.
Est-elle performante ? ou devra-t'on utiliser la version payante, s'il y en a une ?
Aujourd'hui, j'ai Microsoft Security Essential.
Devrais-je éliminer ce dernier avant d'installer Comodo Security ?

Merci pour vos réponses et votre patience avec un sujet (moi) si incompétent en sécurité informatique.

Cordialement,

Fred

[hackoofr]

Merci pour votre info.
J'ai vu qu'il avait une version freeware gratuite.
Est-elle performante ? ou devra-t'on utiliser la version payante, s'il y en a une ?

Oui pour la version Freeware elle est performante.

Aujourd'hui, j'ai Microsoft Security Essential.
Devrais-je éliminer ce dernier avant d'installer Comodo Security ?

Non ,vous pouvez garder Microsoft Security Essentials avec Comodo Internet Security, je crois qu'ils peuvent Cohabiter ensemble
NB: Lors de l'installation, décocher les deux premières options, choisir Installation personnalisée puis décocher :

• Option GeekBuddy
• Option Comodo Dragon

[AlfredKr]

Bonjour et mille fois merci encore pour votre aide.
Juste une dernière question (je l'espère !!):
Si je suis dans un endroit à la campagne sans pouvoir accéder à internet, est-ce que COMODO ou MSE peuvent surveiller par exemple la lecture d'un fichier venant d'une clé USB ou d'un CD étranger ?

Peut-être que cette question est idiote mais je suis souvant déconnecté d'internet.

Cordialement,

Fred

[hackoofr]

Si je suis dans un endroit à la campagne sans pouvoir accéder à internet, est-ce que COMODO ou MSE peuvent surveiller par exemple la lecture d'un fichier venant d'une clé USB ou d'un CD étranger ?

La Réponse est : OUI
Je vous souhaite une Bonne Journée sans Virus

[AlfredKr]

Bonjour Mr HACKOOFR,

Suite à vos explications et recommandations, j'ai installé COMODO INTERNET SECURITY.
IL m'a vérifié mon PC et a trouvé plein de trojans dans des exe que j'ai créé avec DELPHI (seulement dans ces programmes que j'ai créé). Il m'a proposé de les éliminer.
Il fallait payer une somme "modique" mais quand même une somme de 4.95 € pour une année. Ce n'est pas donc un freeware !
De plus je ne pouvais plus re-créer ces exe avec delphi car COMODO le refusait.
J'ai donc enlevé COMODO.
Pensez-vous que malwarebyte's et MSE n'ont pas vu ces trojans ?

Je profite de vos connaissances pour m'aider et surement aussi d'autres développeurs débutants comme moi.

Merci d'avance,

Cordialement,

Fred

[hackoofr]

Vous pouvez alors tester avec :

[AlfredKr]

Bonjour Mr HACKOOFR,

Quand j'étais sur XP, j'avais installé AVAST.
Depuis que je suis sur win 7, le vendeur de PC m'a installé microsoft security essential qui était gratuit.
Pensez-vous qu'AVAST peut travailler avec MSE ou faut-il enlever MSE ?

Merci pour votre réponse,

Fred

[hackoofr]

Quand j'étais sur XP, j'avais installé AVAST.
Depuis que je suis sur win 7, le vendeur de PC m'a installé microsoft security essential qui était gratuit.
Pensez-vous qu'AVAST peut travailler avec MSE ou faut-il enlever MSE ?

OUI