Le Pc semble infecté par un certain John Sina - Page 4

Précédent
  • 1
  • 2
  • 3
  • 4
  1. Berni13
     
    j'ai essayé sans succés.

    Est ce vraiment un problème ?

    le pc semble stable

    Merci
    Berni
    0
  2. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    un fonctionnement anormal est toujours un problème.

    Là on en a 2 : la suppression des comptes, la suppression de la ligne O17.

    Tu fais bien comme c'est dit dans le point 1 ici (avec le Panneau de configuration, pas avec la commande DOS) :

    http://www.kachouri.com/tutoriel-186-supprimer-un-compte-utilisateur-windows-xp.html
    0
  3. berni13
     
    Bon je viens de me connecter sur de cpt administrateur et j'ai relancé zhpdiag, vois tu une différence ?

    http://www.cijoint.fr/cjlink.php?file=cj201101/cij2M4rM2n.txt

    Depuis le début je pense que j'étais sur un compte pas admin
    0
  4. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Bonjour,

    non, ce rapport ne change rien.

    Mais il y a quelque chose que je ne comprends pas.

    Quand tu démarres Windows, tu dois avoir à choisir un compte sur lequel tu te connectes.

    Donne moi la totalité des choix possibles (en mode normal).
    0
    1. mOe
       
      Salut

      Lyonnais, ces comptes sont spéciaux et ils n'apparaîtront ni dans le panneau des comptes d'utilisateurs, ni pendant la phase de loggin pour ouvrir une session.
      Tu as quelques infos sur les deux derniers liés à microsoft, ici : http://www.toggit.com/290/290kguide6.asp
      Quant à SUPPORT_3f151ab9 il est lié à DELL et a surement une fonction propre au support à distance par la marque.
      Logiquement les trois doivent être déjà inactifs (ou désactivés) sur sa machine.

      Si tu veux les informations relatives à ces comptes :

      Via un *.bat et la commande NET :
      SET LogFile="%USERPROFILE%\bureau\net.txt"
      FOR %%A IN (SUPPORT_3f151ab9 SUPPORT_388945a0 HelpAssistant) DO NET USER %%A>>%LogFile%
      NOTEPAD %LogFile%

      Le rapport sera ouvert dans le bloc notes et sera situé sur le bureau avec le nom net.txt.


      Ou alors manuellement via berni13 en allant dans :

      Démarrer > Exécuter > lusrmgr.msc
      La console 'Utilisateurs et Groupes Locaux' s'ouvre.
      Clic sur la rubrique Utilisateurs.
      Dans le volet droit, il sera alors possible de visualiser les propriétés de ces comptes et accessoirement d'y affecter des actions comme l'activation/désactivation ainsi que la suppression.
      A manipuler avec précaution toutefois...

      Bonne continuation.
      ++
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    merci mOe, je pense que je n'avais encore jamais vu ce type de compte dans un rapport. Je pensais, à tort, qu'ils étaient liés aux anciennes utilisations de cet ordi.

    berni13, dans ces conditions, on refait un scan avec Malwarebytes (après mise à jour).

    Si il n'y a rien, on finalisera.

    Si tu as un peu de temps et d'énergie, mais c'est seulement pour mon info, tu peux faire ce que propose mOe :

    ouvre le Bloc-Notes; copie ces lignes dans un nouveau documents :

    SET LogFile="%USERPROFILE%\bureau\net.txt"
    FOR %%A IN (SUPPORT_3f151ab9 SUPPORT_388945a0 HelpAssistant) DO NET USER %%A>>%LogFile%
    NOTEPAD %LogFile%


    Sauvegarde le sur ton Bureau sous le nom utilisateur.bat

    Fais un double clic dessus pour le lancer.

    Copie dans ta réponse le contenu du fichier qui va se créer.
    0
  7. berni13
     
    voici le rapport

    Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Database version: 5531

    Windows 5.1.2600 Service Pack 3
    Internet Explorer 8.0.6001.18702

    16/01/2011 15:09:27
    mbam-log-2011-01-16 (15-09-27).txt

    Scan type: Quick scan
    Objects scanned: 147542
    Time elapsed: 13 minute(s), 41 second(s)

    Memory Processes Infected: 0
    Memory Modules Infected: 0
    Registry Keys Infected: 0
    Registry Values Infected: 0
    Registry Data Items Infected: 0
    Folders Infected: 0
    Files Infected: 0

    Memory Processes Infected:
    (No malicious items detected)

    Memory Modules Infected:
    (No malicious items detected)

    Registry Keys Infected:
    (No malicious items detected)

    Registry Values Infected:
    (No malicious items detected)

    Registry Data Items Infected:
    (No malicious items detected)

    Folders Infected:
    (No malicious items detected)

    Files Infected:
    (No malicious items detected)
    0
  8. berni13
     
    Nom d'utilisateur SUPPORT_3f151ab9
    Nom complet CN=Dell Computer Corporation,L=Round Rock,S=Texas,C=US
    Commentaire Ceci est le compte d'un fournisseur pour les service Aide et support
    Commentaires utilisateur
    Code du pays 000 (Valeur par d'faut du systSme)
    Compteÿ: actif Non
    Le compte expire Jamais

    Mot de passeÿ: dernier changmt. 12/16/2004 4:14 PM
    Le mot de passe expire Jamais
    Le mot de passe modifiable 12/16/2004 4:14 PM
    Mot de passe exig' Oui
    L'utilisateur peut changer de mot de passe Non

    Stations autoris'es Tout
    Script d'ouverture de session
    Profil d'utilisateur
    R'pertoire de base
    Dernier accSs Jamais

    Heures d'accSs autoris' Tout

    Appartient aux groupes locaux *HelpServicesGroup
    Appartient aux groupes globaux *Aucun
    La commande s'est termin'e correctement.

    Nom d'utilisateur SUPPORT_388945a0
    Nom complet CN=Microsoft Corporation,L=Redmond,S=Washington,C=US
    Commentaire Ceci est le compte d'un fournisseur pour les service Aide et support
    Commentaires utilisateur
    Code du pays 000 (Valeur par d'faut du systSme)
    Compteÿ: actif Non
    Le compte expire Jamais

    Mot de passeÿ: dernier changmt. 3/30/2004 1:12 AM
    Le mot de passe expire Jamais
    Le mot de passe modifiable 3/30/2004 1:12 AM
    Mot de passe exig' Oui
    L'utilisateur peut changer de mot de passe Non

    Stations autoris'es Tout
    Script d'ouverture de session
    Profil d'utilisateur
    R'pertoire de base
    Dernier accSs Jamais

    Heures d'accSs autoris' Tout

    Appartient aux groupes locaux *HelpServicesGroup
    Appartient aux groupes globaux *Aucun
    La commande s'est termin'e correctement.

    Nom d'utilisateur HelpAssistant
    Nom complet Compte Assistant de l'aide sur le Bureau ... distance
    Commentaire Compte d'assistance ... distance
    Commentaires utilisateur
    Code du pays 000 (Valeur par d'faut du systSme)
    Compteÿ: actif Non
    Le compte expire Jamais

    Mot de passeÿ: dernier changmt. 12/30/2004 11:42 AM
    Le mot de passe expire Jamais
    Le mot de passe modifiable 12/30/2004 11:42 AM
    Mot de passe exig' Oui
    L'utilisateur peut changer de mot de passe Non

    Stations autoris'es Tout
    Script d'ouverture de session
    Profil d'utilisateur
    R'pertoire de base
    Dernier accSs Jamais

    Heures d'accSs autoris' Tout

    Appartient aux groupes locaux
    Appartient aux groupes globaux *Aucun
    La commande s'est termin'e correctement.
    0
  9. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    merci pour le rapport;

    MBAM ne trouve rien.

    On désinstalle :

    Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

    Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
    puis sélectionne 'Exécuter en tant qu'administrateur'.

    Clique sur le A rouge (Nettoyeur de Tools).

    Clique sur Nettoyer.

    Fais redémarrer l'ordi pour terminer le nettoyage.

    Tu vérifies que Adobe Reader 9 figure dans la liste des logiciels supprimables par Panneau de configuration, Ajout Suppression de programmes.

    Si oui, tu désinstalles Acrobat reader 5.

    On désinstalle le 5 et on garde le 9.
    0
  10. Lyonnais92 Messages postés 25708 Statut Contributeur sécurité 1 537
     
    Re,

    si l'ordi fonctionne normalement, on en restera là.
    0
Précédent
  • 1
  • 2
  • 3
  • 4