PC encore infecté?Avis expert pour rapport

[Résolu/Fermé]
Signaler
Messages postés
100
Date d'inscription
dimanche 16 mars 2008
Statut
Membre
Dernière intervention
5 février 2017
-
 Utilisateur anonyme -
Bonjour,

Après avoir une désinfection de mon PC (grâce aux tutorials de CCM) est-il encore infecté ?
J'ai suivi le mode de ce tutorial pour faire les différents rapports : Méthode préliminaire de désinfection

Voici les rapports :
- Random's System Information Tool (RSIT)
. <a href="http://www.cijoint.fr/cj200906/cijxRqxsb7.txt">Info.txt</a>
. <a href="http://www.cijoint.fr/cj200906/cij5lshHxh.txt">Info.txt</a>

- Malwarebytes' Anti-Malware (MBAM)
<a href="http://www.cijoint.fr/cj200906/cijzmC4RSz.txt">Le rapport MBAM</a>

- BitDefender en ligne
BitDefender Online Scann ne m'a rien détecté : tout a été signalé CLEAN

Merci d'avance pour vos réponses,
Nicolas.

31 réponses


Slt,

Tu as une infecitons USB :

--> Télécharge UsbFix (de Chiquitine29) sur ton Bureau :
http://sd-1.archive-host.com/membres/up/127028005715545653/UsbFix.exe

--> Lance l'installation avec les paramètres par défaut.

--> Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir.

--> Double-clique sur le raccourci UsbFix sur ton Bureau.

--> Le PC va redémarrer.

--> Après redémarrage, poste le rapport UsbFix.txt

Note : le rapport UsbFix.txt est sauvegardé à la racine du disque.

(Si le Bureau ne réapparait pas, presse Ctrl+Alt+Suppr, Onglet "Fichier", "Nouvelle tâche", tape explorer.exe et valide)

Messages postés
100
Date d'inscription
dimanche 16 mars 2008
Statut
Membre
Dernière intervention
5 février 2017
1
Le PC n'a pas redémarré.
Voici le rapport USBFix.txt


############################## [ UsbFix V3.032 ]

# User : X (Administrateurs) # X
# Update on 15/06/09 by Chiquitine29
# Start at: 16:37:20 | 19/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# Intel(R) Atom(TM) CPU N270 @ 1.60GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# C:\ # Disque fixe local # 146,12 Go (43,84 Go free) [Disque principale] # NTFS
# D:\ # Disque amovible # 824,27 Mo (824,27 Mo free) [USB DCN] # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Firebird\Firebird_2_1\bin\fbguard.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\WINDOWS\system32\igfxtray.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Program Files\Firebird\Firebird_2_1\bin\fbserver.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Registre Startup ]

HKCU_Main: "Local Page"="C:\\WINDOWS\\system32\\blank.htm"
HKCU_Main: "Search Page"="http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch"
HKCU_Main: "Start Page"="https://www.google.fr/?gws_rd=ssl"
HKLM_logon: "Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"
HKLM_logon: "DefaultUserName"="X"
HKLM_logon: "AltDefaultUserName"="X"
HKLM_logon: "LegalNoticeCaption"=""
HKLM_logon: "LegalNoticeText"=""

HKLM_Run: UCam_Menu="C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" update "Software\CyberLink\YouCam\1.0"
HKLM_Run: Persistence=C:\WINDOWS\system32\igfxpers.exe
HKLM_Run: ITSecMng=%ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
HKLM_Run: avgnt="C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
HKLM_Run: HotKeysCmds=C:\WINDOWS\system32\hkcmd.exe
HKLM_Run: IgfxTray=C:\WINDOWS\system32\igfxtray.exe
HKLM_Run: Adobe Reader Speed Launcher="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
HKLM_Run: ZoneAlarm Client="C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
HKLM_Run: HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents=
HKCU_Run: ctfmon.exe=C:\WINDOWS\system32\ctfmon.exe
HKCU_Run: SpybotSD TeaTimer=C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

HKLM_expl: "HonorAutoRunSetting"=dword:00000001

################## [ Fichiers # Dossiers infectieux ]

Présent ! C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\061709224451\z4barSpInstall.exe
Présent ! C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\06190900910\z4barSpInstall.exe

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

HKCU\...\Explorer\MountPoints2\{3d804fea-fdda-11dd-b979-00218579b43b}\Shell\AutoRun\Command
HKCU\...\Explorer\MountPoints2\{b3724037-fde0-11dd-b97a-00218579b43b}\Shell\AutoRun\Command

################## [ ! Fin du rapport # UsbFix V3.032 ! ]

Bien,

la suite :

Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

# Double clic sur le raccourci UsbFix présent sur ton bureau

# choisis l'option 2 ( Suppression )

# Ton bureau disparaitra et le pc redémarrera .

# Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

# Ensuite poste le rapport UsbFix.txt qui apparaitra avec le Bureau .

# Note : Le rapport UsbFix.txt est sauvegardé à la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )


Messages postés
100
Date d'inscription
dimanche 16 mars 2008
Statut
Membre
Dernière intervention
5 février 2017
1
Voilà :
Par contre l'icone d'ANTIVIR n'est plus dans la barre des tâches par contre il est en actif.


############################## [ UsbFix V3.032 ]

# User : X (Administrateurs) # X
# Update on 15/06/09 by Chiquitine29
# Start at: 16:49:02 | 19/06/2009
# Website : http://pagesperso-orange.fr/NosTools/usbfix.html

# Intel(R) Atom(TM) CPU N270 @ 1.60GHz
# Microsoft Windows XP Édition familiale (5.1.2600 32-bit) # Service Pack 3
# Internet Explorer 8.0.6001.18702
# Windows Firewall Status : Disabled
# AV : AntiVir Desktop 9.0.1.26 [ Enabled | Updated ]
# FW : ZoneAlarm Firewall[ Enabled ]7.0.483.000

# C:\ # Disque fixe local # 146,12 Go (43,84 Go free) [Disque principale] # NTFS
# D:\ # Disque amovible # 824,27 Mo (824,27 Mo free) [USB DCN] # FAT

############################## [ Processus actifs ]

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Avira\AntiVir Desktop\sched.exe
C:\Program Files\a-squared Free\a2service.exe
C:\Program Files\Avira\AntiVir Desktop\avguard.exe
C:\Program Files\Google\Update\GoogleUpdate.exe
C:\Program Files\Firebird\Firebird_2_1\bin\fbguard.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Firebird\Firebird_2_1\bin\fbserver.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

################## [ Fichiers # Dossiers infectieux ]

Supprimé ! C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\061709224451\z4barSpInstall.exe
Supprimé ! C:\DOCUME~1\NICOLA~1\LOCALS~1\Temp\06190900910\z4barSpInstall.exe

################## [ Registre # Clés Run infectieuses ]


################## [ Registre # Mountpoints2 ]

Supprimé ! HKCU\...\Explorer\MountPoints2\{3d804fea-fdda-11dd-b979-00218579b43b}\Shell\AutoRun\Command
Supprimé ! HKCU\...\Explorer\MountPoints2\{b3724037-fde0-11dd-b97a-00218579b43b}\Shell\AutoRun\Command

################## [ Listing des fichiers présent ]

[09/10/2008 05:53|--a------|0] - C:\AUTOEXEC.BAT
[17/06/2009 20:59|-rahs----|211] - C:\boot.ini
[14/04/2008 14:00|-rahs----|4952] - C:\Bootfont.bin
[19/01/2008 01:45|--ahs----|333203] - C:\bootmgr
[09/10/2008 05:53|--a------|0] - C:\CONFIG.SYS
[?|?|?] - C:\hiberfil.sys
[09/10/2008 05:53|-rahs----|0] - C:\IO.SYS
[30/06/2008 08:50|--a------|828] - C:\La r‚cup‚ration TechGuys.lnk
[30/06/2008 08:50|--a------|882] - C:\La sauvegarde de r‚cup‚ration TechGuys.lnk
[09/10/2008 05:53|-rahs----|0] - C:\MSDOS.SYS
[14/04/2008 14:00|-rahs----|47564] - C:\NTDETECT.COM
[14/04/2008 14:00|-rahs----|252240] - C:\ntldr
[?|?|?] - C:\pagefile.sys
[07/03/2009 18:47|--a------|4713] - C:\Program1
[19/06/2009 16:50|--a------|2861] - C:\UsbFix.txt
[01/07/2003 19:30|--a------|89] - C:\Winamp.lks

################## [ Vaccination ]

# C:\autorun.inf ( # Not infected ) -> Folder created by UsbFix.

################## [ ! Fin du rapport # UsbFix V3.032 ! ]

Pas grave pour l'icone, pour l'instant fait ceci :

1/ Telechargement :

# Télécharge Malwarebytes' Anti-Malware

NOTE : S'il te manque COMCTL32.OCX alors télécharge le --> comctl32.ocx


2/ Installation et mise a jour :

# Installe MBAM en double-cliquant sur Mbam-setup.exe ,il se mettra a jour automatiquement.

# Une fois a jour, le programme va se lancer. Clique sur l'onglet Paramètre, et coche la case : "Arrêter internet explorer pendant la suppression".


3/ Recherche :

# Clique a présent sur l'onglet Recherche et coche la case : "exécuter un examen complet".

# Clique ensuite sur "rechercher".

Laisse-le scanner ton PC ...


4/ Suppression :

# Si des éléments on été trouvés ~> Clique sur "Supprimer la selection".

# Si le programme te demande de redemarrer ~> Clique sur "yes".

# A la fin, un rapport va s'ouvrir dans le Bloc-notes ~> Sauvegarde le de manière a le retrouver pour le poster sur le forum.

# Copie (Ctrl + C) et colle (Ctrl + V) le rapport dans ton prochain message stp.


PS : Les rapports sont aussi classés par date et heure du scan dans l'onglet Rapport/Log


Données : Un tutoriel de chez Malekal est disponible ~>

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/


Messages postés
100
Date d'inscription
dimanche 16 mars 2008
Statut
Membre
Dernière intervention
5 février 2017
1
Rien de spéciale, mais le COMCTL32.OCX ? Il sert à quoi, il se place ou ?

Rapport MBAM



Malwarebytes' Anti-Malware 1.38
Version de la base de données: 2304
Windows 5.1.2600 Service Pack 3

19/06/2009 17:50:49
mbam-log-2009-06-19 (17-50-49).txt

Type de recherche: Examen complet (C:\|D:\|)
Eléments examinés: 128667
Temps écoulé: 31 minute(s), 25 second(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)

Tiens lis ceci : http://www.tayo.fr/download/comctl32.ocx


Comment va ton pc ? le penses-tu propre ? pour moi c'est le cas, a toi de me dire si des problemes persistent (lenteurs, pubs, messages d'erreur...)





Messages postés
100
Date d'inscription
dimanche 16 mars 2008
Statut
Membre
Dernière intervention
5 février 2017
1
Un peu lent sur internet je trouve.
Pour ma clé USB, c'est bon ? Est-elle propre ?

De plus , si j'ai Spybot - SD , Spyblaster, et MABM, et A-squared, Ca ne pose pas de problème ?

Reposte moi un nouveau rapport RSIT pour verif.

Je te conseille de garder MBAM, de faire regulierement des mises a jours et des scans, et aussi de garder Spybot s&d ;-)


Pour le probleme de lenteur, ca se produit sur des sites particuliers, ou lorsque tu regarde video en streaming ou autre ?

Messages postés
100
Date d'inscription
dimanche 16 mars 2008
Statut
Membre
Dernière intervention
5 février 2017
1
Le problème de lenteur n'est, je pense pas GRAVISIME, environ 4 secondes. Pb ?
Et c'est sur tous les sites et lorque j'ouvre un nouvel onglet.

Si je garde aussi Spyblaster, ca pose pas de problèmes ?

J'avais également un problème qui , apparament, a disparu depuis les scans. C'était lorsque je fesais un clic droit sur un fichier/icone explorer.exe planté.

Voici les rapports :
- Random's System Information Tool (RSIT)
. [url=http://www.cijoint.fr/cj200906/cijhGvyUI3.txt]Info.txt[/url]
. [url=http://www.cijoint.fr/cj200906/cijvTMC2k2.txt]Log.txt[/url]

re,

Ton fichier Host me fait peur, je vois l'adresse jL.chura.pl , or c'est un iframe infectieux pourrissant tous les executables !

Télécharger HostsXpert http://www.funkytoad.com/download/HostsXpert.zip

* Dézippe ce fichier et enregistre-le sur ton bureau
* Hors connexion navigateur fermé ainsi que toutes les applications en cours
* Double clic sur "hoster.exe"
* Clique sur "Restore MS Hosts File" ensuite sur Ok
Ensuite, retourne dans c:\windows\system32\drivers\etc et vérifie que ton fichier est bien restituer comme à l'origine.

Ensuite :

Télécharge Dr.Web CureIt sur ton Bureau: ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe

Double clique drweb-cureit.exe et ensuite clique sur Commencer le scan ;

Accepte l'analyse de la mémoire et des fichiers de démarrage. Ce scan permet entre autre l'analyse des processus chargés en mémoire ; si il trouve des fichiers infectés, clique le bouton Oui pour tout puis sur Désinfecter.

A la fin de ce premier scan, clique sur la ligne "Analyse complète"

Clique sur le bouton en forme de flèche verte sur la droite, et le scan débutera.

Si des fichiers infectieux sont détectés clique Oui pour tout et ensuite clique sur Désinfecter.

Lorsque le scan sera terminé, clique sur le menu Fichier et choisis Enregistrer le rapport

Sauvegarde le sur ton Bureau puis ferme Dr.Web Cureit

Poste le contenu du rapport dans ta prochaine réponse .



Messages postés
100
Date d'inscription
dimanche 16 mars 2008
Statut
Membre
Dernière intervention
5 février 2017
1
Lorque j'éxécute HOSTEXPERT il me dit que c'est impossible de créer le fichier hots et pourtant quand je vais voir à l'emplacement il y est.

Voici le rapport Dr.web

RegUBP2b-X.reg C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy\Snapshots2 Trojan.StartPage.1505 Supprimé.
Kill_P.exe C:\UsbFix\Tools Tool.Prockill Irréparable.Quarantaine.

Slt,

On va essayer autrement :

-Telecharge R-Hosts de S!ri : http://siri.urz.free.fr/Softs/RHosts.exe

-Double clique sur le programme pour le lancer puis clique sur " Restaurer "

-Valide la modification en appuyant sur OK.

Si Spybot s&d pose probleme :

-Lance Spybot

-Clique sur le menu " Mode " et sélectionne " Avancé " , réponde " Oui " à l'alerte

-Dans la partie gauche de la fenêtre Spybot, clique sur " Outils " puis sur " Ajustements IE ".

-Décoche " Verrouiller le fichier Hosts en lecture seule, comme protection contre les pirates ".

-Quitte Spybot

-Relance R-Hosts et restaure le fichier Hosts.

-Relance Spybot et recoche la case que tu avais décochée.

Messages postés
100
Date d'inscription
dimanche 16 mars 2008
Statut
Membre
Dernière intervention
5 février 2017
1
J'ai fais ça mais il n'y a aucun téléchargement... C'est normal ?

Je clique sur Restaurer, Ok et ca revient directement à la page de démarrage.

Bien,

Vas voir directement ton fichier host, ouvre-le (bloc-note) te sis moi ce qu'il y a dedans ?


Messages postés
100
Date d'inscription
dimanche 16 mars 2008
Statut
Membre
Dernière intervention
5 février 2017
1
Voilà
Fichier HOSTS

# Copyright (c) 1993-1999 Microsoft Corp.
#
# Ceci est un exemple de fichier HOSTS utilisé par Microsoft TCP/IP
# pour Windows.
#
# Ce fichier contient les correspondances des adresses IP aux noms d'hôtes.
# Chaque entrée doit être sur une ligne propre. L'adresse IP doit être placée
# dans la première colonne, suivie par le nom d'hôte correspondant. L'adresse
# IP et le nom d'hôte doivent être séparés par au moins un espace.
#
# De plus, des commentaires (tels que celui-ci) peuvent être insérés sur des
# lignes propres ou après le nom d'ordinateur. Ils sont indiqué par le
# symbole '#'.
#
# Par exemple :
#
# 102.54.94.97 rhino.acme.com # serveur source
# 38.25.63.10 x.acme.com # hôte client x

XXX.X.X.X localhost

Re,

ok, passe ceci :

•Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe


•Clique sur Recherche et laisse le scan se terminer.



•Clique, sur Suppression pour finaliser.



•Tu peux, si tu le souhaites, te servir des Options facultatives.



•Clique sur Quitter, pour que le rapport puisse se créer.



•Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).

Si tu as Ccleaner :

->Lance CCleaner.

*Suppression des fichiers temporaires

Va dans la section "Options" situé dans la marge gauche.
Décoche "Avancé"
Retourne ensuite dans la section "Nettoyeur"
Fais bien attention de cocher toutes ces cases dans la marge gauche (Internet Explorer/Windows Explorer/Système)
• Clique sur [Analyse]
• Patiente le temps du scan, qui peut prendre un peu de temps si c'est la première fois.
• Une fois le scan terminé, clique sur [Lancer le Nettoyage]

*Clique sur l'icône [Registre] situés dans la marge à gauche
• Puis clique sur [Analyser les erreurs]
• Patiente pendant que CCleaner scan ton registre.
• Une fois le scan terminé, coche toutes les entrèes qu'il t'aura trouvée.
• Tu peux cliquer ensuite sur [Corriger les erreurs].


Messages postés
100
Date d'inscription
dimanche 16 mars 2008
Statut
Membre
Dernière intervention
5 février 2017
1
Si j'ai CCleaner, pas besoin de faire ceci ?

•Télécharge ToolsCleaner par A.Rothstein & dj QUIOU sur ton Bureau.

http://pc-system.fr/
http://a-rothstein.changelog.fr/TC/ToolsCleaner2.exe
http://pagesperso-orange.fr/AceRothstein/ToolsCleaner2.exe


•Clique sur Recherche et laisse le scan se terminer.



•Clique, sur Suppression pour finaliser.



•Tu peux, si tu le souhaites, te servir des Options facultatives.



•Clique sur Quitter, pour que le rapport puisse se créer.



•Poste moi le rapport (TCleaner.txt) qui se trouve à la racine de ton disque dur( C:\).


????

Si il faut le faire !

Il va enlever les fix utilisée pendant la desinfection (usbfix etc....)

Messages postés
100
Date d'inscription
dimanche 16 mars 2008
Statut
Membre
Dernière intervention
5 février 2017
1
Ok ba je vais commencer là.

Sinon j'ai fais CCleaner par contre j'ai oublié d'enlever AVANCE enfin je l'avais pas trouvé.
Du coup ca a éffacé toutes ce qu'il y a dans les cases de la rubrique AVANCE. C'est grave ?