Votre question

[Résolu] Session utilisateur infectée sous XP: solutions?

Tags :
  • Sécurité
Dernière réponse : dans Sécurité et virus
19 Février 2011 00:27:53

Bonjour à tous,

je suis administrateur et je me suis rendu compte qu'une session "utilisateur" a semble-t-il été infectée:

quoi que l'on fasse, c'est le thème windows classique qui est au démarrage, et le clavier par défaut est qwerty.
Changer ces paramètres ne sert à rien, car au redémarrage ce n'est pas pris en compte.

J'ai fait un scan avec Spybot qui n'a rien donné.

Que me suggérez-vous de faire? (scan avec un autre anti malware? Démarrage ou scan en mode sans échec?)

Merci beaucoup!

Autres pages sur : resolu session utilisateur infectee solutions

a c 612 8 Sécurité
19 Février 2011 09:41:13

Bonjour,

Spybot est un peu léger pour dire quoi que ce soit, surtout niveau malwares actuel ... tout comme le souci peut-être système et non infectieux.


A faire pour voir (pas besoin de te logguer sur la session infectée )

Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.
    19 Février 2011 09:58:40

    Merci du conseil!

    Je vais lancer l'analyse et je la poste.

    Petit détail: il semble que le problème affecte toute modification des paramètres windows sous cette session: impossible de changer la langue, le fond d'écran, le thème, l'affichage des dossiers...
    Contenus similaires
    a c 612 8 Sécurité
    19 Février 2011 19:36:30

    Re,

    Rien de visible vraiment infectieux, quelques trucs publicitaires c'tout ...
    Pas de blocage visible des paramètres comme tu l'indique ...

    Peut-être ce programme qui a posé souci pour le clavier :
    Citation :
    [2010/12/23 17:54:04 | 000,000,000 | ---D | C] -- C:\Documents and Settings\David\Menu Démarrer\Programmes\Phonetik
    [2010/12/23 17:54:01 | 000,000,000 | ---D | C] -- C:\Program Files\Phonetik


    ou ce truc installé en janvier :
    Citation :
    "cspep_is1" = cspep.0


    Tu dois trouver ce dernier dans les programmes installés, supprime-le.

    Il faut savoir aussi que Spybot à la facheuse tendance à bloquer et réinitialiser certaines clé de registre, cela peut-être lui qui bloque la remise à défaut des paramètres ...

    De toute façon, Antivir comporte un module antispyware, donc tu peux supprimer Spybot.

    Fait déjà ces deux choses (cspep, et spybot), puis modifie de nouveau tes paramètres et regarde s'ils se conservent.

    [:_tom_:7]
    19 Février 2011 23:46:37

    Cela n'a strictement rien changé...même fond bleu uniforme sur le bureau, même thème windows classique par défaut...quand j'ai essayé de changer, un message d'erreur "les styles visuels n'ont pas pu être appliqués" est apparu...

    Peut-être pourrais-je simplement créer une autre session pour cet utilisateur, mais il faudrait qu'il ait accès à ses documents....

    a c 612 8 Sécurité
    20 Février 2011 09:49:50

    Re,

    S'il n'a pas mis de mot de passe à sa session, il pourra y accéder, ou simplement tu recopieras dans la nouvelle session ses documents.

    Faudrait tester quand même depuis sa session le même scan que je t'ai fais faire depuis la tienne pour que je m'assure qu'il n'y ait pas de restriction registre :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous "Registre: approfondi" coche "Avec liste blanche"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
    netsvcs
    msconfig
    drivers32
    /md5start
    explorer.exe
    wininit.exe
    winlogon.exe
    userinit.exe
    /md5stop
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT

  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt. Copie/colle ici l'ensemble des rapports.
    PS : Les rapports sont aussi enregistrés sur le bureau

    Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu.

    a c 612 8 Sécurité
    20 Février 2011 14:39:55

    Re,

    Ok rien de plus, je ne pense toujours pas que ce soit infectieux, surtout que c'est une session non admin, donc peu de chance ...
    Je sais pas d'où est venu le souci, mais pas d'une infection je pense ...

    Tu peux tenter la vérification des fichiers systèmes si tu le souhaite ou essayer sur une nouvelle session.

    Pense cependant à supprimer ces programmes de toutes les sessions :
    - J2SE Runtime Environment 5.0 Update 11
    - Java(TM) SE Runtime Environment 6 Update 1
    - Java(TM) 6 Update 2
    - Java(TM) 6 Update 3
    - Java(TM) 6 Update 5
    - Java(TM) 6 Update 7

    ET met à jour la version actuelle que tu as update 21, vers la dernière update24

    Supprime cette toolbar publicitaire aussi (et son logiciel de mise à jour)
    - pdfforge Toolbar v1.1.2
    - SoftwareUpdate 1.0

    Et met à jour Adobe reader, ta version est obsolète et comporta des failles de sécurité.
    http://get.adobe.com/fr/reader/

    [:_tom_:7]

    20 Février 2011 22:15:37

    Même si ce problème, d'une relative pauvre gravité, n'est pas réglé, un grand MERCI! :hello: 

    Je n'hésiterai pas à re-solliciter votre forum à l'avenir.

    Bonne "pourfission" de Troll! :) 

    NOTA BENE: j'ai décidé de créer un autre compte, de supprimer le compte problématique en sélectionnant "conserver les fichiers", et là, plantage complet, les fichiers ont été effacés en même temps que le compte...blasé!
    a c 612 8 Sécurité
    21 Février 2011 19:40:38

    Re

    WinXP n'a jamais été bon pour gérer la création et la suppression de compte utilisateur ...

    Désolé pour tes fichiers, tu dois pouvoir les récupérer avec des logiciels tel recuva, et regarde bien, le dossier documents and settings de la session à pu être conservée malgré tout ...

    [:_tom_:7]
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS