[Résolu] Session utilisateur infectée sous XP: solutions?
Dernière réponse : dans Sécurité
Bonjour à tous,
je suis administrateur et je me suis rendu compte qu'une session "utilisateur" a semble-t-il été infectée:
quoi que l'on fasse, c'est le thème windows classique qui est au démarrage, et le clavier par défaut est qwerty.
Changer ces paramètres ne sert à rien, car au redémarrage ce n'est pas pris en compte.
J'ai fait un scan avec Spybot qui n'a rien donné.
Que me suggérez-vous de faire? (scan avec un autre anti malware? Démarrage ou scan en mode sans échec?)
Merci beaucoup!
je suis administrateur et je me suis rendu compte qu'une session "utilisateur" a semble-t-il été infectée:
quoi que l'on fasse, c'est le thème windows classique qui est au démarrage, et le clavier par défaut est qwerty.
Changer ces paramètres ne sert à rien, car au redémarrage ce n'est pas pris en compte.
J'ai fait un scan avec Spybot qui n'a rien donné.
Que me suggérez-vous de faire? (scan avec un autre anti malware? Démarrage ou scan en mode sans échec?)
Merci beaucoup!
Autres pages sur : resolu session utilisateur infectee solutions
Lassé par la pub ? Créez un compte
Bonjour,
Spybot est un peu léger pour dire quoi que ce soit, surtout niveau malwares actuel ... tout comme le souci peut-être système et non infectieux.
A faire pour voir (pas besoin de te logguer sur la session infectée )
Télécharge OTL (de Old Timer) sur ton bureau.
Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Coche en haut la case devant "Tous les utilisateurs"
Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
PS : Les rapports sont aussi enregistrés sur le bureau
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
Spybot est un peu léger pour dire quoi que ce soit, surtout niveau malwares actuel ... tout comme le souci peut-être système et non infectieux.
A faire pour voir (pas besoin de te logguer sur la session infectée )
Télécharge OTL (de Old Timer) sur ton bureau.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
netsvcs
msconfig
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
msconfig
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
PS : Les rapports sont aussi enregistrés sur le bureau
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
Re,
Rien de visible vraiment infectieux, quelques trucs publicitaires c'tout ...
Pas de blocage visible des paramètres comme tu l'indique ...
Peut-être ce programme qui a posé souci pour le clavier :
[2010/12/23 17:54:01 | 000,000,000 | ---D | C] -- C:\Program Files\Phonetik
ou ce truc installé en janvier :
Tu dois trouver ce dernier dans les programmes installés, supprime-le.
Il faut savoir aussi que Spybot à la facheuse tendance à bloquer et réinitialiser certaines clé de registre, cela peut-être lui qui bloque la remise à défaut des paramètres ...
De toute façon, Antivir comporte un module antispyware, donc tu peux supprimer Spybot.
Fait déjà ces deux choses (cspep, et spybot), puis modifie de nouveau tes paramètres et regarde s'ils se conservent.
![[:_tom_:7]]( "[:_tom_:7]")
Rien de visible vraiment infectieux, quelques trucs publicitaires c'tout ...
Pas de blocage visible des paramètres comme tu l'indique ...
Peut-être ce programme qui a posé souci pour le clavier :
Citation :
[2010/12/23 17:54:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\David\Menu Démarrer\Programmes\Phonetik[2010/12/23 17:54:01 | 000,000,000 | ---D | C] -- C:\Program Files\Phonetik
ou ce truc installé en janvier :
Citation :
"cspep_is1" = cspep.0Tu dois trouver ce dernier dans les programmes installés, supprime-le.
Il faut savoir aussi que Spybot à la facheuse tendance à bloquer et réinitialiser certaines clé de registre, cela peut-être lui qui bloque la remise à défaut des paramètres ...
De toute façon, Antivir comporte un module antispyware, donc tu peux supprimer Spybot.
Fait déjà ces deux choses (cspep, et spybot), puis modifie de nouveau tes paramètres et regarde s'ils se conservent.
![[:_tom_:7]](http://m.bestofmedia.com/sfp/design/usr/fr/smilies/bd/ec/_tom_:7.gif "[:_tom_:7]")
Cela n'a strictement rien changé...même fond bleu uniforme sur le bureau, même thème windows classique par défaut...quand j'ai essayé de changer, un message d'erreur "les styles visuels n'ont pas pu être appliqués" est apparu...
Peut-être pourrais-je simplement créer une autre session pour cet utilisateur, mais il faudrait qu'il ait accès à ses documents....
Peut-être pourrais-je simplement créer une autre session pour cet utilisateur, mais il faudrait qu'il ait accès à ses documents....
Re,
S'il n'a pas mis de mot de passe à sa session, il pourra y accéder, ou simplement tu recopieras dans la nouvelle session ses documents.
Faudrait tester quand même depuis sa session le même scan que je t'ai fais faire depuis la tienne pour que je m'assure qu'il n'y ait pas de restriction registre :
Télécharge OTL (de Old Timer) sur ton bureau.
Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
Coche en haut la case devant "Tous les utilisateurs"
Sous "Registre: approfondi" coche "Avec liste blanche"
Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
PS : Les rapports sont aussi enregistrés sur le bureau
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
S'il n'a pas mis de mot de passe à sa session, il pourra y accéder, ou simplement tu recopieras dans la nouvelle session ses documents.
Faudrait tester quand même depuis sa session le même scan que je t'ai fais faire depuis la tienne pour que je m'assure qu'il n'y ait pas de restriction registre :
Télécharge OTL (de Old Timer) sur ton bureau.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
netsvcs
msconfig
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
msconfig
drivers32
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
CREATERESTOREPOINT
PS : Les rapports sont aussi enregistrés sur le bureau
Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
Re,
Ok rien de plus, je ne pense toujours pas que ce soit infectieux, surtout que c'est une session non admin, donc peu de chance ...
Je sais pas d'où est venu le souci, mais pas d'une infection je pense ...
Tu peux tenter la vérification des fichiers systèmes si tu le souhaite ou essayer sur une nouvelle session.
Pense cependant à supprimer ces programmes de toutes les sessions :
- J2SE Runtime Environment 5.0 Update 11
- Java(TM) SE Runtime Environment 6 Update 1
- Java(TM) 6 Update 2
- Java(TM) 6 Update 3
- Java(TM) 6 Update 5
- Java(TM) 6 Update 7
ET met à jour la version actuelle que tu as update 21, vers la dernière update24
Supprime cette toolbar publicitaire aussi (et son logiciel de mise à jour)
- pdfforge Toolbar v1.1.2
- SoftwareUpdate 1.0
Et met à jour Adobe reader, ta version est obsolète et comporta des failles de sécurité.
http://get.adobe.com/fr/reader/
![[:_tom_:7]]( "[:_tom_:7]")
Ok rien de plus, je ne pense toujours pas que ce soit infectieux, surtout que c'est une session non admin, donc peu de chance ...
Je sais pas d'où est venu le souci, mais pas d'une infection je pense ...
Tu peux tenter la vérification des fichiers systèmes si tu le souhaite ou essayer sur une nouvelle session.
Pense cependant à supprimer ces programmes de toutes les sessions :
- J2SE Runtime Environment 5.0 Update 11
- Java(TM) SE Runtime Environment 6 Update 1
- Java(TM) 6 Update 2
- Java(TM) 6 Update 3
- Java(TM) 6 Update 5
- Java(TM) 6 Update 7
ET met à jour la version actuelle que tu as update 21, vers la dernière update24
Supprime cette toolbar publicitaire aussi (et son logiciel de mise à jour)
- pdfforge Toolbar v1.1.2
- SoftwareUpdate 1.0
Et met à jour Adobe reader, ta version est obsolète et comporta des failles de sécurité.
http://get.adobe.com/fr/reader/
Même si ce problème, d'une relative pauvre gravité, n'est pas réglé, un grand MERCI! ![:hello:]( ":hello:")
Je n'hésiterai pas à re-solliciter votre forum à l'avenir.
Bonne "pourfission" de Troll!![:)]( ":)")
NOTA BENE: j'ai décidé de créer un autre compte, de supprimer le compte problématique en sélectionnant "conserver les fichiers", et là, plantage complet, les fichiers ont été effacés en même temps que le compte...blasé!
Je n'hésiterai pas à re-solliciter votre forum à l'avenir.
Bonne "pourfission" de Troll!
NOTA BENE: j'ai décidé de créer un autre compte, de supprimer le compte problématique en sélectionnant "conserver les fichiers", et là, plantage complet, les fichiers ont été effacés en même temps que le compte...blasé!
Lassé par la pub ? Créez un compte
- Contenus similaires :
- ForumDemarrage lent xp résolu
- ForumOuverture session impossible xp
- ForumSupprimer session windows xp
- ForumCreer une session windows xp
- ForumSession xp
- ForumXp 10mn- fermeture session
- ForumXp session
- ForumProbleme ouverture session sur xp
- ForumActiver session administrateur xp
- ForumXp supprimer session
- Voir plus
