security tool = ordi lent Résolu/Fermé

Question

Bonjour,
Suite à une attaque de virus (security tool s'était installé), mon ordi est très très lent.
J'ai suivi tous les processus indiqués sur le forum (de malwarebytes jusqu'à l'analyse en ligne par BitDefender et apparemment il n'y a plus d'infection), mais l'ordi est instable et surtout extrêmement lent. L'imprimante ne veut plus imprimer, et impossible de la désinstaller (le programma bloque)
Que faire?
Merci beaucoup pour votre aide!

jfkpresident · Answer

Hello ; Télécharge random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. ==>Double-clique sur RSIT.exe afin de lancer RSIT. ==>Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). ==>Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. ==>Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront : log.txt (<Rend toi sur ce site: http://www.cijoint.fr/index.php ==>Clique sur "parcourir" et sélectionne ces fichiers ,un lien va etre créer . ==>Copie/colle ce lien dans ta prochaine réponse . Aide en images si besoin

jfkpresident · Answer

Est-ce que je peux mettre directement les 2 fichiers dans la réposne ici?

Les rapports sont un peu longs donc je ne préfere pas .

Une fois que tu as choisi le fichier correspondant ,tu clique sur creer le lien ensuite juste en dessous un lien va apparaitre ,tu copie ce lien et me le colle ici (tu fait la meme chose pour info.txt) .

jfkpresident · Answer

Si tu pouvais éfectuer la meme manip avec info.txt ce serait nickel -;)

jfkpresident · Answer

• Télécharge et install UsbFix par El Desaparecido , C_XX & Chimay8 

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau .

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] . 

• Au second menu Choisis l'option " 1 " (recherche) et tape sur [entrée] 

• Laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra.

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) 

• Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
          Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
          Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


• Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html

jfkpresident · Answer

L'essentiel est dans ce rapport ...Par contre il faudra traiter l'autre clé pur éviter la réinfection .

 (!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

• Double clic sur le raccourci UsbFix présent sur ton bureau

• Au menu principal choisis l'option " F " pour français et tape sur [entrée] .

• Au second menu Choisis l'option " 2 " ( Suppression ) et tape sur [entrée]  

• Ton bureau disparaitra et le pc redémarrera .

• Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

• Ensuite post le rapport UsbFix.txt qui apparaitra avec le bureau .

• Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

jfkpresident · Answer

J'ai vu le soucis :

################## | Elements infectieux |

C:\WINDOWS\System32\Autoruns.exe 

Peux tu redémarrer ton pc en mode sans echec ?(en tapotant la touche F8 ou F5 au démarrage )

jfkpresident · Answer

Pendant que j'étais partie il s'est débloqué et là je me suis reconnectée

Tant mieux ,peux tu me poster le rapport de UsbFix qui se trouve ici : C:\UsbFix.txt

jfkpresident · Answer

Télécharge OTM de OldTimer sur ton Bureau en cliquant sur ce lien :

http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

Double-clique sur OTMoveIt3.exe pour le lancer.

Vérifie que la case devant "Unregister Dll's and Ocx's est bien cochée.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".





:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]
[-HKEY_CLASSES_ROOT\CLSID\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{631ac2d4-57b3-42b0-a148-da33b462c1a3}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]       

:files
c:\program files\absolutist_games	babso.dll
C:\WINDOWS\system32\fjhdyfhsn.bat       
:services

:commands
[purity]
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

crapoulou · Answer

Fais moi une capture d'écran stp.

jfkpresident · Answer

C'est normal ou c'est bloqué?

Pas trop normal ...Attend un peu ,si l'outil reste bloqué redémarre ton pc et refait la procédure.

PS: Crapoulou ,je viens de modifier mon canned -;)

Utilisateur anonyme · Answer

tien pour l'aidez a faire une capture d'écran https://forums.cnetfrance.fr/tutoriels-logiciels-et-applis/291-paint-faire-une-capture-ecran

crapoulou · Answer

PS: Crapoulou ,je viens de modifier mon canned -;)
Et ouais :D

****

Marie, fais ceci :
https://forums.commentcamarche.net/forum/affich-16298434-security-tool-ordi-lent#22

crapoulou · Answer

Oups, trompé de topic, je sors.

Utilisateur anonyme · Answer

crapoulou comment on fais pour mettre un lien dans un mot par ???

jfkpresident · Answer

Crapoulou comment on fais pour mettre un lien dans un mot par ???

ça te dérangerais pas de poser ton probleme ailleurs ? t'as pas l'impression de flooder un peu ?

Marie : est ce que tu suis une autre désinfection sur un autre forum ?

jfkpresident · Answer

Je veux dire: je TE fais confiance! mais j'espère que tu as des idées parce que là j'en peux plu!

Je n'ai pas pour habitude de laisser tomber les internautes que j'aide .


1. Télécharge The Avenger par Swandog46 sur le Bureau
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/
http://www.geekstogo.com/forum/files/file/393-the-avenger-by-swandog46/

2.Clique sur Avenger.zip pour ouvrir le fichier
Extraire avenger.exe sur le bureau



3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.



4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

jfkpresident · Answer

Peux tu redémarrer en mode sans echec avec le pc infecté ?

jfkpresident · Answer

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Files to delete:
c:\program files\absolutist_games	babso.dll
C:\WINDOWS\system32\fjhdyfhsn.bat   
Registry keys to delete:
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]
[-HKEY_CLASSES_ROOT\CLSID\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]   
Registry values to delete:
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{631ac2d4-57b3-42b0-a148-da33b462c1a3}"=-



IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

jfkpresident · Answer

C'est de ma faute :(

Prend ce script:

2. Copier tout le texte en gras ci-dessous : mettre en surbrillance et appuyer sur les touches(Ctrl+C):

Begin copying here:

Files to delete:
c:\program files\absolutist_games	babso.dll
C:\WINDOWS\system32\fjhdyfhsn.bat   
Registry keys to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{631ac2d4-57b3-4­2b0-a148-da33b462c1a3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi­on\Explorer\Browser Helper Objects\{631ac2d4-57b3-42b0-a148-da33b462c1a3}
HKEY_CLASSES_ROOT\CLSID\{631ac2d4-57b3-42b0-a148-da33b462c­1a3}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{631ac2d4-57b3-4­2b0-a148-da33b462c1a3}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersi­on\Explorer\Browser Helper Objects\{631ac2d4-57b3-42b0-a148-da33b462c1a3}
Registry values to delete:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar
"{631ac2d4-57b3-42b0-a148-da33b462c1a3}"





IMPORTANT: Le code ci-dessus a été intentionnellement rédigé pour CET utilisateur.
si vous n'êtes pas CET utilisateur, NE PAS appliquer ces directives : elles pourraient endommager votre système.

Ferme toutes les applications et ton navigateur

3. Maintenant, lance The Avenger en cliquant sur son icône du bureau.

Vérifie que la case devant "Automatically disable any rootkits found" n'est pas cochée.


Cclique sur l'icone de droite (en rose et bleu). Le texte va se copier dans la fenêtre.

Clique sur Execute

4. The Avenger va automatiquement faire ce qui suit:


Il va Re-démarrer le système.
Pendant le re-démarrage, il apparaitra brièvement une fenêtre de commande de windows noire sur le bureau, ceci est NORMAL.
Après le re-démarrage, il crée un fichier log qui s'ouvrira, faisant apparaitre les actions exécutées par The Avenger. Ce fichier log se trouve ici : C:\avenger.txt
The Avenger aura également sauvegardé tous les fichiers, etc., que tu lui as demandé de supprimer, les aura compactés (zipped) et tranféré l'archive zip ici C:\avenger\backup.zip.

5. Pour finir copier/coller le contenu du ficher c:\avenger.txt dans ta réponse

jfkpresident · Answer

C'est bizarre ton histoire ..

Recolle moi un nouveau log RSIT .

jfkpresident · Answer

Run by J-LUC at 2010-01-25 10:55:06 

C'est un ancien rapport ^^

Relance RSIT et colle moi le nouveau rapport généré .

jfkpresident · Answer

Tu démarres en mode sans échec 

Tu cliques sur Démarrer, puis Exécuter.

Tu tapes cmd dans la fenêtre de saisie puis tu cliques sur OK.

Une fenêtre DOS s'ouvre.

Si tu vois C:
om_complet_du_répertoire, tu es là où il faut.

Sinon tu tapes cd C:
om_complet_du_répertoire puis tu cliques sur "enter"

Tu tapes

del  C:\WINDOWS\system32\fjhdyfhsn.bat  /F

et tu cliques sur "enter"

Il va te demander une confirmation. Tu cliques sur "enter" pour confirmer.

Tu tapes exit puis tu cliques sur "enter" pour fermer la fenêtre de DOS.

Tu redémarres en mode normal.

jfkpresident · Answer

C:\documents and Settings\Administrateur 

C'est bon ^^ Colle a la suite la commande que je t'ai indiqué puis tape "entrée" .

jfkpresident · Answer

Grrrrr........

télécharge Killbox ici : http://www.killbox.net/

sélectionne entièrement la liste ci-dessous : 

c:\program files\absolutist_games	babso.dll
C:\WINDOWS\system32\fjhdyfhsn.bat   



---> et tu fais clic droit / copier

Ouvres killbox
- Sélectionne "delete on reboot"
- Coche la case "Unregister .dll Before Deleting"
- Clique sur le menu "File" -> "Past from clip board"
- Clique sur All Files
- Clique sur la croix rouge  et blanche
- Répond yes et laisse redémarrer ton pc.
N'hésite pas à consulter l'aide killbox

jfkpresident · Answer

Ouvre Killbox ,regarde ici : "File" -> "Logs" -> "Actions History Log"

Tu dois avoir un petit rapport de suppression .

Regarde égalerment si Avast a détecté quelquechose ? Si c'est le cas ,donne moi le chemin d'acces du fichier infecté .

jfkpresident · Answer

Peut être que je pourrais le relancer avec la 2ème ligne (WINDOWS system32)?

Oui parceque c'est lui : C:\WINDOWS\system32\fjhdyfhsn.bat  qui nous fout la m****e ......:(

jfkpresident · Answer

la case "unregister.dll before deleting" n'est plus cochable comment çà se fait? je lance quand même?

Oui c'est une case a cocher pour supprimer les fichiers dll mais comme celui ci a déja été supprimé ,la case n'est plus dispo .

Continu ainsi -;)

jfkpresident · Answer

Histoire de vérifier que le fichier n'est plus présent :

"Démarrer" ,"Recherche" ,tape : fjhdyfhsn. bat et dis moi si le fichier est toujours présent ?

Ensuite tu va relancer OTM :

Double-clique sur OTMoveIt3.exe pour le lancer.

Copie la liste qui se trouve en gras ci-dessous,

et colle-la dans le cadre de gauche de OTMoveIt : "Paste instructions for item to be moved".




:Reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]
[-HKEY_CLASSES_ROOT\CLSID\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{631ac2d4-57b3-42b0-a148-da33b462c1a3}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{631ac2d4-57b3-42b0-a148-da33b462c1a3}]       

:commands
[emptytemp]
[start explorer]
[reboot]



Clique sur "MoveIt!" pour lancer la suppression.

Le résultat apparaitra dans le cadre "Results".

Clique sur "Exit" pour fermer.

Poste le rapport situé dans C:\_OTMoveIt\MovedFiles sous le nom xxxxxx_xxxxxxxxxx.log .

Il te sera peut-être demander de redémarrer le pc pour achever la suppression. Si c'est le cas accepte par Yes.

jfkpresident · Answer

Oki ,maintenant on va sortir l'artillerie lourde pour déloger notre hote indésirable :

Télécharge ComboKill

Et important, enregistre le sur le bureau.

Avant d'utiliser ComboKill :

? Déconnecte toi d'internet et referme les fenêtres de tous les programmes en cours.

? Désactive provisoirement et seulement le temps de l'utilisation de ComboKill,
la protection en temps réel de ton Antivirus et de tes Antispywares,
qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.


Une fois fait, sur ton bureau double-clic sur ComboKill.exe.

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.

- En fin de scan il est possible que ComboKill ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.

- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt,.
est automatiquement sauvegardé et rangé à C:\Combofix.txt)

? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares,
avant de te reconnecter à internet.

? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

jfkpresident · Answer

çà me faire rire, on a l'impression d'être en temps de guerre, mon ordi commence à ressembler à une véritable armurerie. 

Ne t'inquietes pas pour ça ,tous les outils utilisés seront supprimer en fin de désinfection -;)

En éspérant que combofix veuille bien se lancer ..

jfkpresident · Answer

Bonjour Marie ^^

J'ai un autre gros souci: il me demande d'insérer le CD de Windonw XP pour restaurer les fichiers d'origine et je ne l'ai pas!!!! 

Il te l'a demandé pour l'installation de la console de récup ou alors pour réinstaller des fichiers systeme qui a mon avis sont patchés 'infectés par un malware) ?

jfkpresident · Answer

Redémarre le pc en tapotant la touche F8 ,tu dois avoir "Console de récupération windows xp" .

Lance la console de récuperation puis tape chkdsk devant C:\Windows puis entrée .

Windows va vérifier ton disque dur et ainsi réparer les fichiers systeme endommagés ou corrompus .

jfkpresident · Answer

Peux tu redémarrer en mode normal et me dire si le pc va mieux avant tout ?

jfkpresident · Answer

Fait plusieurs essais ,attend un peu et dis moi si il refonctionne comme il faut ?

jfkpresident · Answer

Y a du mieux mais c'est pas encore ça ...Allez on va pas baisser les bras maintenant apres tout ce qu'on a fait ?!

Télécharge ZhpDiag en cliquant sur ce lien : https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
  
    Une fois le téléchargement achevé, double clique sur ZHPDiag.exe(clic droit ,"éxécuter en tant qu'administrateur" pour Vista).

    Une fois installé le programme s'ouvre automatiquement .

    Clique sur "options"(icone petit tournevis) puis cocher toutes les cases mis a part les 045 et 061 (décoché par défaut).

    Clique sur la loupe pour lancer l'analyse.

    A la fin de l'analyse, clique sur la "disquette" (enregistrer sous..) .

    Rend toi sur ce site : http://www.cijoint.fr/index.php
     
    Clique sur parcourir et sélectionne le fichier ZhpDiag.txt .

    Un lien va etre créer ,poste ce lien dans ta prochaine réponse.


ZhpDiag nous permettra de controler également les signatures des fichiers afin de repérer ceux quiu seraient éventuellement patchés .

jfkpresident · Answer

Donc il manque bien des fichiers systeme ...

Au démarrage si tu choisis Microsoft Windows recovry Console  qui est la console de récup ,est ce qu'il te demande le cd original ?

jfkpresident · Answer

Donc il te faudrait un cd original pour réparer les fichiers manquants ou endommagés ..

jfkpresident · Answer

Ceci dit, il vient juste de se débloquer. Est ce que je tente de télécharger ZHPDiag? (est ce que çà vaut le coup?)

ça m'avancerais ,meme si c'est pas pour toi puisqu'il existe d'autres cas de ce type d'infections ...

jfkpresident · Answer

tu veux que je le lance?

Non ,ne touche pas a ZhpFix ..

jfkpresident · Answer

Et pour ZHPDiag je le lance avec moins de cases cochées?

Non sinon le résultat voulu ne sera pas au rendez vous :)

jfkpresident · Answer

Peux-tu juste me dire si je n'ai plus du tout d'infection?

Pour moi tu es toujours infecté et des fichiers systeme ont du etre supprimés mais le soucis c'est que tu ne peux les réparer sans le cd original :(

jfkpresident · Answer

Bonsoir ;

Surtout ne l'amene pas chez un réparateur alors que tu pourrais faire soi par toi meme ^^

Sauvegarde tes données les plus importantes sur USB ,Disques externes...

Au démarrage de ton pc tu dois appuyer sur une touche (cela dépend des marques) F2 ,F9 [echap] pour changer l'ordre de boot du BIOS afin de démarrer sur ton lecteur cd .

Une fois fait ça il ne reste plus qu'a démarrer dessus ,formater ton disque puis installer de nouveau Windows .

Si tu as des questions n'hésites pas .

Security tool = ordi lent

42 réponses

Discussions similaires