WinLSD, vérole ? Résolu/Fermé

Question

Salut, 

je suis sur l'ordi dune copine qui a l'air d'avoir chopé un truc hier.

au démarrage de windows, 2 petites fenêtres "impossible de charger vos paramètres personnels (...)" et "windows ne trouve pas vos paramètres personnels"
ensuite, il reste coincé presque 5 minutes sur "chargement de vos paramètres".

il finit par démarrer, mais le bureau est quasi vide, le fond d'écran a changé, et une nouvelle fenêtre en lignes de commandes nommée "WinLSD SP3" pose des questions indiscrètes : utilisez-vous une imprimante ? utilisez-vous du wifi ?
j'ai pas répondu à celle-là, yen a ptêt d'autres derrière ...

en tous cas ça a l'air plutôt néfaste que méchant, on peut se connecter sans soucis.
j'ai lu sur ce forum que WinLSD était une version pirate de windows, mais on n'a pas touché au système, Laurence fait que des utilisations plutôt basiques de son PC ...

Je ne sais pas si elle avait un autre antivirus que Microsoft Sécurity Essential, là j'en trouev pas d'autre, j'espère que ça l'a pas désactivé ...

merci d'avance de votre aide !

(j'ai testé le log hijackthis sur http://www.hijackthis.de/fr , rien vu de frémissant ...)

rapport hijjackthis : https://www.cjoint.com/?CDtklIur0aY 


Configuration: Windows XP / Firefox 20.0

lilidurhone · Answer

Hello

Désolé de te contredire mais ton amie possède bien une version non légale 


O4 - HKUS\.DEFAULT\..\RunOnce: [WinLSD_SP3] %systemroot%\LSD\end.cmd (User 'Default user')
 O4 - HKUS\S-1-5-19\..\RunOnce: [WinLSD_SP3] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SERVICE LOCAL') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')



Pas d'aide

Utilisateur anonyme · Answer

Salut


A lire (merci Regis)

https://forum.malekal.com/viewtopic.php?t=18872&start=


Je cite :


III) Les Windows Crackés\Piratés\allégés\modifiés sans le système d'activation :

Je parle ici des Windows Crackés où l'on a retiré le système d'activation, des Windows Trust, LSD, Titanium, Ultimate, ...
Généralement ce sont des versions de Windows XP bridées qui sont faites comme les Windows de la partie II) avec le logiciel nLite.
Ces Windows sont d'une part illégaux (pas d'activation), souvent infectés, en ajoutant à cela les Propriétés des Windows non activés et des Windows allégés/modifiés.
Si vous avez essayé d'installer des mises à jour sur ce genre de Windows, vous pouvez également avoir les pop-up de WGA comme sur les Windows non activés.

A lire : Le danger des cracks !

Avec un log HijackThis on arrive à repérer ce genre de Windows, exemple d'une ligne HijackThis montrant que WGA a été cracké et qui en plus montre que l'utilisateur se tape une infection intégrée :


(....)

Windows LSD :

    O4 - HKUS\S-1-5-19\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SERVICE LOCAL')
    O4 - HKUS\S-1-5-20\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SERVICE RÉSEAU')
    O4 - HKUS\S-1-5-18\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\RunOnce: [LSD_III] %systemroot%\LSD\end.cmd (User 'Default user')



@ bthieriot : Donc lili a raison : votre système n'est pas légal.

Ce forum ne vous aidera pas.

A lire : 
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows