Avast: Menace Win32:Dracur-C [Crypt] Résolu/Fermé

Question

Bonsoir,
Je me permets de faire appel à vous car je pense avoir récuprer un virus qui ne peut pas se supprimer.

Lors de mon analyse Avast, j'ai un bilan de 64 fichiers infectés et lorsque je souhaite les supprimer Avast me signale un message d'erreur comme quoi je ne peux supprimer ou mettre en quarantaine mon fichier infecté.

Je ne suis pas très doué en matière d'anti-virus donc avant de faire des bétises j'aimerai voir comment supprimer ou nettoyer ces fichiers.

Merci par avance de votre aide,
Cordialement,
Mathieu.



Configuration: Windows 7 / Internet Explorer 7.0

sKe69 · Answer

hello, 


fait ce qui suit pour voir de quoi il retourne : 



Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau : 

-> https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


!! déconnecte toi et ferme toutes tes applications en cours !!  


> Double-clique sur "ZHPDiag.exe" ( avec Vista/Seven faire clique droit / "executer en tant qu'admin..." ) pour lancer l'installation de l'outil et laisse toi guider. Ne modifie pas les paramètres d'installe et coche bien la case "créer une icone sur le bureau" afin d'avoir les raccourcis "ZHPDiag" et "ZHPFix" .   

> A la fin de l'installe , laisse bien la case "executer ZHPDiag" cochée et clique sur "Terminer " > l'outil se lancera donc automatiquement . 

> Une fois ZHPDiag ouvert, clique sur le bouton "option" en haut sur la droite . 
( celui avec le tournevis ) 

Une liste apparait dans l'encadré principal > coche toutes les lignes sauf les 045 et 066 ( important ! ) . 

> clique sur le bouton "calendrier" qui est en haut à droite : choisis 15 days 

> Puis clique sur le bouton de "la loupe" ( en haut à gauche ) pour lancer le scan . 


Laisses travailler l'outil ... ( cela peut-être relativement long . Si ton antivirus tilte lors du scan , ignore les alertes pour le moment , ne mets rien en quarantaine ) 


> Une fois terminé, le rapport obtenu ( ZHPDiag.txt ) est sauvegardé sur ton bureau.  

Ferme le programme ...  



-> Pour me faire parvenir ce rapport, rends toi sur ce site : http://www.cijoint.fr/  

* Clique sur "parcourir" et va jusqu'au rapport ZHPDiag.txt qui est sauvegardé sur le bureau .  
* Clique ensuite sur "cliquer ici pour déposer le fichier" et patiente ...  
* Une fois l'upload finit , un lien apparait > copie/colle le dans ta prochaine réponse stp ....  


  
"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

m.anton11 · Answer

Voilà le lien : http://www.cijoint.fr/cjlink.php?file=cj201006/cijwH9xgnv.txt 

J'ai tout fait comme il était indiqué donc normalement pas de fausse manip !

Merci pour l'aide.

sKe69 · Answer

re,


avec Seven 64 bits , on est pas dans la m**de ... ^^"

pas grand chose de compatible avec .... j'espère qu'on pourra faire quelque chose ...



Ton rapport ne montre rien ... t'es sûr qu'Avast n'a rien pu mettre en quarantaine ? 



Commence par faire ceci dans l'ordre :



1- Désactiver le "contrôle des comptes utilisateurs" ou" UAC" (le réactiver seulement à la fin de la désinfection) :

regarde ici pour le faire > http://pagesperso-orange.fr/NosTools/uac_win7.html


* Important :
Pour installer ou pour lancer les outils, que tu utiliseras au court de la désinfection, fais toujours ainsi :
clique DROIT ( sur le setup d'installe ou sur l'outil ) -> choisis " Exécuter entant qu'administrateur " .
Fais ceci systématiquement ! ...


une fois ceci fait et pris en compte , enchaine ...


==========================

2- Télécharges Malwarebytes' : 
ici https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
ou ici : http://www.malwarebytes.org/mbam.php
ou ici : http://www.malwarebytes.org/mbam/program/mbam-setup.exe

 
* Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'instale ) et mets le à jour . 

(NB : S'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ )

* Potasse le tuto pour te familiariser avec le prg : 
https://forum.pcastuces.com/sujet.asp?f=31&s=3
( cela dis, il est très simple d'utilisation ).

! Déconnecte toi et ferme toutes applications en cours ! 

* Lance Malwarebytes' .

Fais un examen dit "RAPIDE" .

--> Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ). 
--> à la fin tu cliques sur "résultat" . 
--> Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes', le dernier en date) pour analyse ...

m.anton11 · Answer

Re, 

Non Avast ne peut pas agir, voilà un petit screen de mon résultat Avast quand je veux mettre en quarantaine :
http://img28.imageshack.us/img28/7250/avaste.jpg

- Pour me rapport d'analyse, le voilà, en revanche ce logiciel ne me trouve que 29 fichiers "infectés" contrairement à Avast.
http://www.cijoint.fr/cjlink.php?file=cj201006/cijf16axms.txt 

Voilà ce qu'il en est ... eh oui désolé j'ai la totale ^^ Seven et en 64 !

sKe69 · Answer

bon .... 



tu as rédémarré le PC comme MBAM te l'as demandé ? ... 

Si tu ne l'as pas fait , fait le de suite ! .... 




1- Puis relance de nouveau un scan " rapide "avec Malwarebytes. 

Poste le nouveau rapport obtenu .... 


=========================== 

2- Refais un scan ZHPDiag " en tant qu'admin..." . 

* coche bien toutes les options ( sauf la 045 et 061 ),  

* au niveau du bouton "calendrier" choisis > 30 days 

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...   

"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

m.anton11 · Answer

En effet, comme  demandé par le logiciel j'ai rédemarré mon PC à chaque fois ... 

Je n'avais plus que 8-9 virus sur cette analyse ! 

Voici le rapport de l'analyse: http://www.cijoint.fr/cjlink.php?file=cj201006/cijlEpbZaz.txt 

Voici celui de ZHPDiag: http://www.cijoint.fr/cjlink.php?file=cj201006/cij9j0cu6b.txt  

Merci du temps que tu m'accordes.

sKe69 · Answer

arf ...


l'infection se relance ... -_-



on va faire autrement .... 



mais une vérif avant ...dans l'ordre :


1- Va dans Menu Démarrer->panneau de config.("affichage classique")-> Options des dossiers
--> vas sur l'onglet " Affichage " .
* "Afficher les fichiers et dossiers cachés" ---> coché 
* "Masquer les extensions des fichiers dont le type est connu" ---> décoché 
* "masquer les fichiers du système" ---> décoché
-> valide la modif ( "appliquer" puis "ok" ).
( tu remetteras les paramètres de départ une fois la désinfection terminée , pas avant ... ) 



2- Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
C:\Windows\system32\d3d10_132.dll

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses


Fais de même pour :

C:\Windows\system32\capiprovider32.dll
C:\Windows\system32\D3DCompiler_3532.dll
C:\Windows\system32\D3DX9_4132.dll
C:\Windows\system32\BWUnpairElevated3.dll

Poste moi donc ces 5 rapports ( surtout le début avec le listing des AV , et en précisant bien au début de chacuns à quel fichier ils correspondent ) et attends la suite ...


============================

3- Télécharge OTL de OLDTimer sur ton bureau : 

http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

! Déconnecte toi et ferme toutes applications en cours !
 
> Clique droit / "executer en tant qu'admin..." sur OTL.exe pour le lancer . 

* Coche les 2 cases Lop et Purity .

* Coche la case devant "scan all users" 

Ne touche à rien d'autre .

> Clique sur Run Scan et laisse travailler l'outil ... 

A la fin du scan, 2 rapports s'ouvrent avec le Bloc-Notes et sont sauvegardés sur le bureau :"OTL.txt" et "Extras.txt"

>  poste le contenu de chaqu'un d'eux via "Cijoint" dans ta prochaine réponse et attends la suite ...

m.anton11 · Answer

Je n'aurai pas le temps de faire ça avant demain midi, je n'abandonne pas le sujet ^^ 

Merci encore pour ton aide, je te tiens au jus demain donc ;)

m.anton11 · Answer

Bon petit problème... Je ne peux réaliser la première étape !

Impossible d'ouvrir le fichier car il contient un virus .

m.anton11 · Answer

Voilà mes résultats :

Pour capiprovider32.dll:
http://www.cijoint.fr/cjlink.php?file=cj201006/cij4WMVzBL.txt

Pour d3d10_132.dll:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijHc9Bgix.txt

Pour D3DCompiler_3532.dll:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijC8pnAH0.txt

Pour D3DX9_4132.dll:
http://www.cijoint.fr/cjlink.php?file=cj201006/cij0PLpnTj.txt

Et enfin pour BWUnpairElevated3.dll:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijFNkefK5.txt

Concernant OTL voici les deux rapports:

Fichier Extras.txt : http://www.cijoint.fr/cjlink.php?file=cj201006/cijSDDpn5O.txt
Fichier OTL.Txt : http://www.cijoint.fr/cjlink.php?file=cj201006/cijqQ9J9Wn.txt

sKe69 · Answer

bien ... 



la suite dans l'ordre : 



1- Relance OTL " en tant qu'admin ..."  

* Coche les 2 cases Lop et Purity . 

* Coche la case devant "tous les utilisateurs"  

* Copie / colle le texte en citation ci-dessous dans l'encadré blanc " Personnalisation " ( et rein d'autre ! ) : 


:OTL 
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found. 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - No CLSID value found. 
O20 - AppInit_DLLs: (C:\Windows\system32\d3d10_132.dll) - C:\Windows\SysWOW64\d3d10_132.dll () 
O20 - AppInit_DLLs: (C:\Windows\system32\BttnCmn32.dll) - C:\Windows\SysWOW64\BttnCmn32.dll () 
O20 - AppInit_DLLs: (C:\Windows\system32\d3d932.dll) - C:\Windows\SysWOW64\d3d932.dll () 
O20 - AppInit_DLLs: (C:\Windows\system32\D3DX9_3932.dll) - C:\Windows\SysWOW64\D3DX9_3932.dll () 
O20 - AppInit_DLLs: (C:\Windows\system32\capiprovider32.dll) - C:\Windows\SysWOW64\capiprovider32.dll () 
O20 - AppInit_DLLs: (C:\Windows\system32\D3DCompiler_3532.dll) - C:\Windows\SysWOW64\D3DCompiler_3532.dll () 
O20 - AppInit_DLLs: (C:\Windows\system32\D3DX9_4132.dll) - C:\Windows\SysWOW64\D3DX9_4132.dll () 
O20 - AppInit_DLLs: (C:\Windows\system32\BWUnpairElevated32.dll) - C:\Windows\SysWOW64\BWUnpairElevated32.dll () 
O20 - AppInit_DLLs: (C:\Windows\system32\d3d10_13232.dll) - C:\Windows\SysWOW64\d3d10_13232.dll () 
O20 - AppInit_DLLs: (w77mhqvmfn732.dll) -  File not found 
O20 - AppInit_DLLs: (C:\Windows\system32\capisp32.dll) - C:\Windows\SysWOW64\capisp32.dll () 
O20 - AppInit_DLLs: (w77mhqvmfn732.dllgtkc1k632.dll) -  File not found 
O20 - AppInit_DLLs: (C:\Windows\system32\cngaudit32.dll) - C:\Windows\SysWOW64\cngaudit32.dll () 
O20 - AppInit_DLLs: (C:\Windows\system32\d3d10_1core32.dll) - C:\Windows\SysWOW64\d3d10_1core32.dll () 
O20 - AppInit_DLLs: (w77mhqvmfn732.dllgtkc1k632.dllrpm43m732.dll) -  File not found 
O20 - AppInit_DLLs: (C:\Windows\system32\cngaudit32.dlln1azvy2s932.dll) - C:\Windows\SysWOW64\cngaudit32.dlln1azvy2s932.dll () 
O20 - AppInit_DLLs: (C:\Windows\system32\catsrvps32.dll) - C:\Windows\SysWOW64\catsrvps32.dll () 
O20 - AppInit_DLLs: (w77mhqvmfn732.dllgtkc1k632.dllrpm43m732.dlld248z32.dll) -  File not found 
O20 - AppInit_DLLs: (C:\Windows\system32\cngaudit32.dlln1azvy2s932.dllrunar632.dll) - C:\Windows\SysWOW64\cngaudit32.dlln1azvy2s932.dllrunar632.dll () 
O20 - AppInit_DLLs: (C:\Windows\system32\cngaudit32.dlln1azvy2s932.dllrunar632.dlla2y0rfxd32.dll) - C:\Windows\SysWOW64\cngaudit32.dlln1azvy2s932.dllrunar632.dlla2y0rfxd32.dll () 
O20 - AppInit_DLLs: (0zm375crvluho32.dll) -  File not found 
O20 - AppInit_DLLs: (C:\Windows\system32\cngaudit32.dlln1azvy2s932.dllrunar632.dlla2y0rfxd32.dll32kd2gh32.dll) - C:\Windows\SysWOW64\cngaudit32.dlln1azvy2s932.dllrunar632.dlla2y0rfxd32.dll32kd2gh32.dll () 
O20 - AppInit_DLLs: (0zm375crvluho32.dllw387w32.dll) -  File not found 
O20 - AppInit_DLLs: (0zm375crvluho32.dllw387w32.dll30m21wq32.dll) -  File not found 
O20 - AppInit_DLLs: (0zm375crvluho32.dllw387w32.dll30m21wq32.dlljluvx6nu32.dll) -  File not found 

:Files 
C:\Windows\iun6002.exe 
C:\Windows\SysWow64\cngaudit32.dlln1azvy2s932.dllrunar632.dlla2y0rfxd32.dll32kd2gh32.dll 
C:\Windows\SysWow64\cngaudit32.dlln1azvy2s932.dllrunar632.dlla2y0rfxd32.dll 
C:\Windows\SysWow64\cngaudit32.dlln1azvy2s932.dllrunar632.dll 
C:\Windows\SysWow64\catsrvps32.dll 
C:\Windows\SysWow64\cngaudit32.dlln1azvy2s932.dll 
C:\Windows\SysWow64\d3d10_1core32.dll 
C:\Windows\SysWow64\cngaudit32.dll 
C:\Windows\SysWow64\capisp32.dll 
C:\Windows\SysWow64\d3d10_13232.dll 
C:\Windows\SysWow64\BWUnpairElevated32.dll 
C:\Windows\SysWow64\D3DX9_4132.dll 
C:\Windows\SysWow64\D3DCompiler_3532.dll 
C:\Windows\SysWow64\capiprovider32.dll 
C:\Windows\SysWow64\D3DX9_3932.dll 
C:\Windows\SysWow64\d3d932.dll 
C:\Windows\SysWow64\BttnCmn32.dll 
C:\Windows\SysWow64\d3d10_132.dll  

:Commands 
[purity] 
[emptytemp] 
[Reboot] 


* Ne touche à aucun autre réglage. 

! Déconnecte toi, désactive ton antivirus et ferme toutes tes applications en cours ! ( navigateurs compris ) 

> clique sur le bouton [correction] pour lancer le nettoyage . 

> laisse travailler l'outil et ne touche à rien . 
lors qu'un petite fenêtre s'ouvrira : clique sur " Yes " pour que le PC redémarre de lui même et ainsi finir la suppression ... 

Note : Lors du redémarrage , si on te demande d'autoriser l'exécution d' OTL , accepte ( pour que l'outil finisse son boulot ... ). 

A la fin , le rapport appaitra , poste le dans ta prochaine réponse pour > analyse ... 

Ce rapport est en aoutre sauvegardé dans le dossier "C:\_OTM\MovedFiles"   
( " xxxx2010_xxxxxx.log "  où les "x" correspondent au jour et à l'heure de l'utilisation  ). 


Pense a réactiver tes défenses !  


=========================== 

2- Télécharge CCleaner : 
https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/ 
ou https://www.pcastuces.com/logitheque/ccleaner.htm  
Ce logiciel va permettre de supprimer tous les fichiers temporaires et de corriger ton registre .  
Lors de l'installation:  
-choisis bien "français" en langue .  
-avant de cliquer sur le bouton "installer", décoche toutes les "options supplémentaires" sauf les 2 premières.  

Un tuto ( aide ):  
http://perso.orange.fr/jesses/Docs/Logiciels/CCleaner.htm  


---> Utilisation: 
*Décocher dans le menu Options - sous-menu Avancé :  
Effacer uniquement les fichiers, du dossier temp de Windows, plus vieux que 48 heures . 

! déconnecte toi et ferme toutes applications en cours ! 

* va dans "nettoyeur" : fais -analyse- puis -nettoyage-  
* va dans "registre" : fais -chercher les erreurs- et -réparer toutes les erreurs-  
( plusieurs fois jusqu'à ce qu'il n'y est plus d'erreur ) .  

( CCleaner : soft à garder sur son PC , super utile pour de bons nettoyages ... )  

========================= 

3- Relance un scan OTL ( "en tant qu'admin..." ) : 

* Coche les 2 cases Lop et Purity . 

* Coche la case devant "scan all users"  

Ne touche à rien d'autre . 

> Clique sur Analyse et laisse travailler l'outil ...  

>  poste ( via "Cijoint" ) le nouveau "OTL.txt" obtenu pour analyse ...  


========================== 

4- Refais un scan ZHPDiag" en tant qu'admin..." . 

* coche bien toutes les options ( sauf la 045 et 061 ),  

* au niveau du bouton "calendrier" choisis > 30 days 

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ...  


  





"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

m.anton11 · Answer

Alors,

Pour OTL fichier correction : http://www.cijoint.fr/cjlink.php?file=cj201006/cijFcffG52.txt
Pour OTL 2ème scan : http://www.cijoint.fr/cjlink.php?file=cj201006/cij20fbQyR.txt

scan ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201006/cijvZ2SDfC.txt

sKe69 · Answer

impec ...


dis moi comment va le PC .... du mieux ?



puis fait ceci stp :


1- relance un scan "rapide" avec MBAM ( n'oublit pas de le mettre à jour avant )

> supprime bien tout ce qu'il peu trouver

> poste moi le nouveau rapport obtenu ....

=======================

2- dis moi à quoi correspond ce dossier stp :

C:\Program Files (x86)\Bhelpuri


? ... quel est prg concerné ,qu' y a-t-il à l'intérieur ....


===================

3-  Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Copies ce qui suit et colles le dans l'espace pour la recherche ( ou clique sur "parcourir" et va jusqu'au fichier demandé )  : 
C:\Program Files (x86)\LeaguePad\leaguepad.exe  

Clique sur Send File ( = " Envoyer le fichier " ). 

Un rapport va s'élaborer ligne à ligne. 

Attends bien la fin ... Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta prochaine réponse ... 

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )

petit tuto > https://www.commentcamarche.net/faq/8633-legitimite-d-un-fichier-ou-processus-douteux#les-bonnes-adresses

======================

4- Télécharge SEAF ( de C__XX ) sur ton bureau :

ici http://pagesperso-orange.fr/NosTools/C_XX/SEAF.exe
ou ici https://www.androidworld.fr/

! Ferme toutes applications en cours !

* clique droit / "executer en tant qu'admin..." sur "SEAF.exe" ( clique droit et "Exécuter en tant qu'administrateur" pour Vista / 7 ) pour lancer l'outil. 

* Dans l'encardré blanc " Entrez ci dessous...." copie/colle ceci :


Pcftmlncem


* Au niveau des " options des fichiers ", fait les réglages suivant :
> A "Calculer le checksum" , choisis : MD5 
> Coche la case devant " Info. supplémentaire ".
> Coche la case devant  " Afficher les ADS "

* Au niveau  des " options du registre " :
> coche " chercher également dans le registre "

( ne touche à aucun autre réglage ) 

* Clique sur " Lancer la recherche " et laisse travailler l'outil ...
( cela peut-être plus ou moins long suivant les cas ). 

--> Une fois terminé, une fenêtre avec un log .txt va s'afficher. Enregistre ce rapport de façon à le retrouver facilement ( sur le bureau par exemple ). Sinon il sera en outre sauvegardé à la racine de ton disque dur ( ici > C:\SEAFLog.txt ) 

--> Copie/colle le contenu de ce rapport dans ta prochaine réponse. Si le rapport est trop long, utilise le site d'uplaod "Cijoint" pour me le faire parvenir > http://www.cijoint.fr/

m.anton11 · Answer

Bah ça à l'air je ferai une analyse avec Avast quand tout sera terminé voir si tout est bien delete.

Juste un problème avec mon WMP 12 mais je pense pas que ça ai un rapport avec le virus ^^

Je fais ça et je te poste le nécessaire en tout cas un grand merci ;)

m.anton11 · Answer

Voici le rapport MBAM:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijrcIgyYX.txt

-> Le dossier: C:\Program Files (x86)\Bhelpuri 
Ca correspond à un module Firefox dedans il y a un fichier en .js (script)

Pour l'analyse du fichier liguepad voici le resultat:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijR3FGtux.txt

Et enfin pour l'analyse SEAF, le .txt et court donc je te le mets directement ici:

1. ========================= SEAF 1.0.0.7 - C_XX
2. 
3. Commencé à: 18:09:56 le 09/06/2010
4. 
5. Valeur(s) recherchée(s):
6. 
7. Pcftmlncem
8. 
9. (!) --- Calcul du Hash "MD5"
10. (!) --- Affichage des ADS
11. (!) --- Informations supplémentaires
12. (!) --- Recherche registre
13. 
14. ====== Fichier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
15. 
16. "c:\Users\Mathieu\Desktop\pcftmlncem.tmp" [ ----AH---- | 0 ]
17. TC: 31/05/2010,23:45:47 | TM: 31/05/2010,23:45:47 | DA: 02/06/2010,00:12:31
18. MD5: d41d8cd98f00b204e9800998ecf8427e
19. 
20. 
21. 
22. =========================
23. 
24. ====== Dossier(s) (TC: Date de création, TM: Date de modification, DA, Dernier accès) ======
25. 
26. Aucun dossier trouvé
27. 
28. 
29. ====== Entrée(s) du registre ======
30. 
31. Aucune entrée du registre trouvée
32. 
33. =========================
34. 
35. Fin à: 18:12:26 le 09/06/2010 ( E.O.F )

sKe69 · Answer

très bien ...


cela comment à sentir meilleur ... ^^



fait ceci maintenant :


Télécharge Ad-remover ( de C_XX ) sur ton bureau : 

ici http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe
ou ici https://www.androidworld.fr/ 

! Déconnecte toi, désactive ton anti-virus et ferme toutes applications en cours (Navigateur compris) ! 

* Clique droit / "executer en tant qu'admin..." sur Ad-remover.exe qui est sur ton bureau pour lancer l'outil .
 
* Une fois l'outil ouvert, clique sur le bouton [Scanner] .

* Laisse travailler l'outil et ne touche à rien ... 


--> Poste le rapport qui apparait à la fin dans ta prochaine pour analyse ...


( Le rapport est sauvegardé aussi sous C:\Ad-report-SCAN.log ) 
( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

m.anton11 · Answer

Et voilà ^^

http://www.cijoint.fr/cjlink.php?file=cj201006/cij392u8PA.txt

sKe69 · Answer

bon ...


possible FP dans la détection ... ne lance pas de suppression pour le moment !



fait ceci stp :


* clique droit sur ce lien > http://pagesperso-orange.fr/NosTools/C_XX/Query.cmd

* choisis "enregistré la cible sous..." et télécharge le fichier sur ton bureau .

* Clique droit / "executer en tant qu'admin..." sur Query.cmd que tu viens de télécharger et laisse faire ...

* Une fois terminé , poste le rapport obtenu ( via "Cijoint" ) qui se trouve ici > C:\Query.txt et attends la suite ...

m.anton11 · Answer

http://www.cijoint.fr/cjlink.php?file=cj201006/cijRPnrgfN.txt 

Qu'est-ce un/une FP ? ^^

sKe69 · Answer

bien ...

quelque chose ne tourne pas rond ...


refait un scan "en tant qu'admin..."  avec Ad-Remover ( surtout pas une supression ! ) 

poste le nouveau rapport obtenu stp ....

m.anton11 · Answer

Voilà ^^

http://www.cijoint.fr/cjlink.php?file=cj201006/cijDxZz707.txt

sKe69 · Answer

bon ...


un soucis avec l'outil ...

on laisse tomber > relance le et clique sur le bouton "désinstaller" ...


puis fait ce qui suit dans l'ordre ( si le dernier rapport est clean , on pourra finaliser ) 


( ne saute pas d'étape ! si tu rencontres un soucis lors de cette manipe , tu stoppes et tu m'en fais part )


1- Utilisation de l'outil ZHPFix :

> Lance ZHPFix ( "en tant qu'admin..." ) depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert :

!! ferme tes autres applications en cours !!


A- Clique sur le bouton " Nettoyeur de tools " ( le grand A rouge ) . Des lignes pré-cochées apparaissent alors dans l'encadré principal .

Là tu décoches la case devant ZHPDiag ! 


> Enfin clique en bas sur "Nettoyer" . 


laisse travailler l'outil ... une fois terminé , un nouveau rapport apparait dans l'encadré principal .

-> Copie/colle le contenu de ce rapport pour analyse ... 

( il est également sauvegardé ici : C:\Program files\ZHPFix\ZHPFixReport.txt) 

Note : si il t'est demandé de redémarrer le PC pour finir le nettoyage , fait le ! 



B- Clique sur le bouton en haut à droite " Vider la quarantaine " ( la poubelle vide ). 

Au message de confirmation , clique sur "Ok" .


Puis ferme ZHPFix ...


=====================

2- Refais un coup de CCleaner ( registre compris ) .

=====================

3- Télécharge et installe le logiciel HijackThis : 

> https://www.clubic.com/telecharger-fiche17891-hijackthis.html

-> Clique sur le setup pour lancer l'installe : laisse toi guider et ne modifie pas les paramètres d'installation . 
A la fin de l'installe , le prg ce lance automatiquement : ferme le en cliquant sur la croix rouge . 
Au final, tu dois avoir un raccourci sur ton bureau et aussi un cheminement comme : 
"C:\ program files\Trend Micro\HijackThis\HijackThis.exe " .

( ne fais pas de scan pour le moment ) 

=====================

4- Important :
Purge de la restauration système 

Pour le fair, il faut 
a- désactiver la restauration système / rebooter le PC .
b- réactiver la restauration système  / rebooter le PC .

Suit les indications de ce tuto > https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/ 

=====================


5- Lance un scan complet de ton PC avec ton antivirus .


* Mets le bien à jour avant le scan .

* Mets tout ce qu'il peut trouver en quarantaine .

Poste moi si possible le rapport de scan .

m.anton11 · Answer

Alors,

Pour ZHPfix:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijotzqzsW.txt

Pour le scan avast:
http://img256.imageshack.us/img256/4156/avast2.jpg

c'est le rapport, j'ai 17 fichiers que j'ai mit en 40ene

sKe69 · Answer

arf ... 


c'est la zone de quarataine de OTL qu'il a détecté ...  

ZHPFix (nettoyeur de tools) n'as pas viré le dossier .... ^^ 

Donc c'est OK ... 


il y a encore deux trois petites choses à faire avant de conclure .... 




1- Pour contrôle, refais un scan ZHPDiag .

* coche bien toutes les options ( sauf la 045 et 061 ), 

* au niveau du bouton "calendrier" choisis > 30 days

> poste le nouveau rapport obtenu ( via Cijoint ) pour analyse et attends la suite ... 

============================= 


2- Des modifes ont été faites au niveau de AD-R suite au prb que l'on a rencontré ... 


* télécharge la dernière version disponible en ligne sur ton bureau : 
> http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe 

* Clique droit / "executer en tant qu'admin..." sur Ad-R.exe pour lancer l'installation de l'outil. 

* Une fois l'installe faite , ferme l'outil ! On va le lancer d'une autre façon ... 

* Va sur "démarrer" / cliques sur la commande "Exécuter" : 
Ou appuie simultanement sur la touche "Windows" et sur R > la boite de commande "Executer" va s'ouvrir... 

Là tu tapes ou copies/colles exactement ceci : 

%programfiles%\Ad-remover\main.exe /debug  ---> puis tapes sur [Entrée] 

> l'outil s'ouvre à nouveau , clique sur le bouton " Scanner " et laisse travailler ... 

> poste le contenu du rapport qui apparait à la fin . 

( Note : ce rapport sera également sauvegardé ici > C:\DEBUG_LOG_ADR_xxxxx .log  ) 


"Baby, I'm going on an airplane, And I don't know if I'll be back again" 
IMPORTANT : ne vous croyez pas tiré d'affaire tant qu'on ne  
vous l'a pas dit !

m.anton11 · Answer

Re :)

Alors pour le rapport ZHPdiag:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijlJwC8os.txt 

Et pour le AD-R:
http://www.cijoint.fr/cjlink.php?file=cj201006/cijWmFK4E8.txt

sKe69 · Answer

bien ...


le FP se situe au niveau de Live TV



on va nettoyer le reste ainsi :


Utilisation de l'outil ZHPFix :

* Copie le tout le texte présent dans l'encadré ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


[HKLM\Software\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}]
[HKCU\Software\AppDataLow\Software\Conduit]
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}]
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}] 


Puis Lance ZHPFix" en tant qu'admin..." depuis le raccouci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) . 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

* Puis clique sur le bouton [ OK ] .
> à ce moment là , il apparaitra au début de chaque ligne une petite case vide . 

Ne touche plus à rien !

!! Déconnecte toi, désactive tes défenses ( anti-virus,anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!


* Clique sur le bouton [ Tous ] . Vérifies que toutes les lignes soient bien cochées .

* Enfin clique sur le bouton [ Nettoyer ] .


-> laisse travailler l'outil et ne touche à rien ...


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage , fais le !

Une fois terminé , un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt )
 
 Pense à réactiver tes défenses !...

m.anton11 · Answer

Voile le rapport : 

ZHPFix v1.12.3104  by Nicolas Coolman - Rapport de suppression du 10/06/2010 22:58:57
Fichier d'export Registre : C:\ZHPExportRegistry-10-06-2010-22-58-58.txt
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Contact : nicolascoolman@yahoo.fr

Processus mémoire :
(Néant)

Module mémoire :
(Néant)

Clé du Registre :
HKLM\Software\Classes\Interface\{813A22E0-3E2B-4188-9BDA-ECA9878B8D48}  => Clé supprimée avec succès
HKCU\Software\AppDataLow\Software\Conduit  => Clé supprimée avec succès
HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}  => Clé supprimée avec succès
HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}  => Clé supprimée avec succès

Valeur du Registre :
(Néant)

Elément de données du Registre :
(Néant)

Préférences navigateur :
(Néant)

Dossier :
(Néant)

Fichier :
(Néant)

Logiciel :
(Néant)

Script Registre :
(Néant)

Master Boot Record :
(Néant)

Autre :
(Néant)


Récapitulatif :
Processus mémoire : 0
Module mémoire : 0
Clé du Registre : 4
Valeur du Registre : 0
Elément de données du Registre : 0
Dossier : 0
Fichier : 0
Logiciel : 0
Master Boot Record : 0
Préférences navigateur : 0
Autre : 0


End of the scan

sKe69 · Answer

bien ...



on finalise ... dans l'ordre :



Mets à jour ce qui suit, c'est important ( des versions pas à jours = 1- failles de sécurité ) :


Version Console Java à jour > 6 Update 20
Version FireFox à jour > v 3.6.3


* pour la console Java :
-> désinstalle toutes les versions antérieurs  via le panneau de config./"Ajout et suppression de programmes" (pour XP) ou " Programmes et fonctionnalités " (pour Vista/Seven).

ton ancienne version : Java(TM) 6 Update 19 

-> Puis télécharge et installe la dernière version ici :
https://www.commentcamarche.net/telecharger/developpement/12917-java-runtime-environment/
ou https://www.java.com/fr/
( prends bien la bonne version - 64 bit )

-> Enfin contrôle ceci : 
Démarrer > Panneau de configuration > Icône Java > onglet Mise à jour > cocher la case "Automatiser la détection des mises à jour".




 * FireFox :
Télécharge et installe la dernière version ici > http://www.mozilla-europe.org/fr/
 


=============================

2- Une fois tout ceci fait, utilise hijackthis ainsi :

tuto pour utilisation :
Regarde ici, c'est parfaitement expliqué en images (merci balltrap34), 
http://perso.orange.fr/rginformatique/section%20virus/demohijack.htm 
( Ne fixe encore AUCUNE ligne, cela pourrait empêcher ton PC de fonctionner correctement )

>  !! Déconnecte toi et ferme toutes tes applications en cours !! 

Clique sur le raccourci du bureau pour lancer le prg : 
fais un scan HijackThis en cliquant sur : "Do a system scan and save a logfile" 

---> Poste le rapport généré pour analyse ...

m.anton11 · Answer

Donc pour Java j'ai installé la version 32bits car j'utilise IE en 32 et pas en 64 ^^

Pour le rapport hijackthis, le voici :

http://www.cijoint.fr/cjlink.php?file=cj201006/cijp8QCQs3.txt

sKe69 · Answer

hello,



suite et fin dans l'ordre :


1- désinstalle proprement ZHPDiag en utilisant l'utilitaire de désinstalle Unins000.exe présent dans le dossier C:\Program Files (x86)\ZHPDiag .
Supprime ensuite ce dossier .


Vire également Hijackthis en suppriment ce dossier C:\Program Files (x86)\Trend Micro 


========================

2- Refait un coup de CCleaner ( registre compris ) 


========================


3- Fait ce check-up pour finir :


Attention : ne pas toucher au PC pendant qu'il travaille !


A-Nettoyage et Défragmentation de tes Disques 
 
* Vérifications des erreurs 
fait cette vérif en suivant ce qui est indiqué sur ce tuto > https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

* Défragmentation 
suit ce tuto > https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US

Note : si tu as un utilitaire pour défragmenter , utilise le à la place ...
( attention , cela peut durer assez longtemps )


B-Créer un point de restauration de ton PC :

Tout est expliqué ici > https://support.microsoft.com/en-us/windows/back-up-and-restore-your-pc-ac359b36-7015-4694-de9a-c5eac1ce9d9c






---> une fois terminé, dis moi ce que cela a donné et comment va le PC ... =)

m.anton11 · Answer

Ca à l'air d'être pas mal :) ! 

Je te remercie bcp, j'étais à deux doigts de tout reboot....

Tu m'as filer un bon coup de main, merci aussi pour le tps que tu m'as accordé ;)


Bonne continuation :)

sKe69 · Answer

hello,


content d'avoir pu te rendre service ...


Potasse ces quelques recommandations :


=> Comportement à adopter avec son PC : http://assiste.com.free.fr/p/abc/a/safe_cex.html 
et pourquoi ( exemple ) : http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html

=> Surveillance : 
Effectue des scan réguliers de surveillance (une fois tous les 15 jours, par exemple) avec ton antivirus puis avec ton anti-spyware (après les avoir mis à jour bien sur !) et supprime ce qu'ils peuvent trouver (où mets en quarantaine, en pensant à la vider ultérieurement). 

=>  Il faut absolument tenir à jour régulièrement Windows:

Via Internet Explorer ( impératif ), rends toi sur Microsoft Update
http://www.update.microsoft.com/windowsupdate/v6/default.aspx

Effectue toutes les mise à jour critiques proposées.
Tu seras obligé de faire redémarrer ton PC et de retourner à la fonction de mise à jour jusqu'à ce qu'il n'y ait plus rien de signalé.

Par la suite, vérifie que les mises à jours de Windows soient bien en automatiques, pour cela :
Démarrer / Panneau de configuration et dans Centre de sécurité, clique sur Mises à jour automatiques, puis coche Installation automatique (recommandé), en dessous indique une heure où tu es connecté habituellement, puis clique sur Appliquer puis sur OK

==================================================

=> Il faut mettre a jour la console Java régulièrement aussi : 

( Pourquoi : http://www.secuser.com/vulnerabilite/2008/080305-java.htm )

Donc pour se faire, rends toi sur https://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour) ou ici https://filehippo.com/download_jre_32/?ex=CORE-116.0 
Après avoir installé la dernière version, désinstalle les anciennes versions (de Java) afin d'éliminer les failles de sécurité présentes dans ces anciennes versions. 
via Démarrer / Paramètres / Panneau de config / et dans Ajout/Suppression de programmes navigue jusqu'aux anciennes versions de la console Java qui s'y trouvent, puis clique sur « Supprimer », suis les invites de commandes dans la boite de dialogue qui va s'ouvrir afin d'amener la désinstallation à son terme. 
Fais cela pour chacune d'elles, une à une, fais redémarrer ton PC quand cela te sera demandé . 
Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre. 

Autre astuce : https://www.commentcamarche.net/faq/15645-supprimer-les-anciennes-versions-de-java-avec-javara

==================================================

=> Afin d'éviter les autres failles de sécurité des différents programmes présents sur ton PC : 

Vérifie tes mises à jours des différents softs régulièrement ici et mets à jour ce qui ne l'est pas. https://www.flexera.com/products/operations/software-vulnerability-management.html 
- Tuto https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/ 
- Autre possibilité, t'abonner gratuitement a "la lettre hebdomadaire de secuser.com" ici http://www.secuser.com/ a gauche en bas de page. 

-> autre très bon soft similaire dans cette astuce : 
https://www.commentcamarche.net/faq/9908-filehippo-app-manager-vos-logiciels-sont-ils-a-jour
 
==================================================

* teste l'efficacité de ton pare-feu ici ( à titre indicatif ):
http://www.zebulon.fr/outils/scanports/test-securite.php

* tests firewall: http://www.matousec.com/index.html 

=> Un complément au pare-feu pour fermer les ports risqués (dangereux, s'ils restent ouverts) : 

ZebProtect (application ne nécessitant pas d'installation à lancer et paramétrer une unique fois) http://telechargement.zebulon.fr/123.html 

-Tuto https://www.zebulon.fr/dossiers/autres/40-zebprotect.html 

==================================================

Pour une meilleur sécurité lorsque tu surfes : 

* Je te conseille d'utiliser le navigateur " FireFox " :
télécharge le ici -> http://www.mozilla-europe.org/fr/
ou -> https://www.commentcamarche.net/telecharger/web-internet/9879-firefox/

( Attention : toujours garder IE sur son PC ! Il est indispensable pour les mises à jour de ton système ainsi que pour pas mal de choses, comme les scan d'antivirus en ligne, ect... )

-> Tutorial pour sécuriser Firefox :
https://www.malekal.com/securiser-le-navigateur-web-firefox-2/
https://forum.zebulon.fr/topic/69628-s%C3%A9curiser-un-peu-plus-firefox/ 

* tu peux installer cet Add-ons : WOT ( gratuit / compatible IE et FireFox )
-> Firefox https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp - IE https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp
-> Démo : http://www.mywot.com/fr/demo
Très simple et léger , WOT permet d'avoir un aperçu sur la dangerosité et la fiabilité des sites donnés par les moteurs de recherche tel que Google ou Live Search .
> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

* Noscript est un autre "Add-ons" ( pour Firefox ) qui empêche l'exécution de scripts en provenance des sites Web. 
Il stoppe l'installation de logiciels infectieux via flash, java, javascript et d'autres points d'entrée : 
http://www.geekstogo.com/forum/redirect.php?url=http%3A%2F%2Fwww.noscript.net
https://addons.mozilla.org/fr/firefox/addon/noscript/

==================================================

=> Rappel sur les principales causes d'infection : 

A lire > https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware.pdf
( merci aux auteurs de ce pdf )

* L'utilisation de cracks ou keygens est à proscrire, de même que le surf sur les sites de téléchargement de ceux-ci : 

Les dangers des cracks : 
https://forum.malekal.com/viewtopic.php?t=893&start=

-> Le crack dans toute sa splendeur, journal d'une infection attendue : 
https://forum.zebulon.fr/topic/93281-pr%C3%A9vention-le-crack-dans-toute-sa-splendeur/ 

-> Fléaux du moment par le biais de pseudo crack sur réseau P2P : Virut/Scrible !
> https://www.futura-sciences.com/tech/actualites/informatique-virut-scribble-retour-infection-redoutable-18310/


* Le P2P ( l'utilisation de logiciels comme eMule, Sharazaa, LimeWire, Bit torrent): 

Les conséquences du P2P : https://forum.zebulon.fr/topic/85544-pr%C3%A9vention-le-p2p-et-ses-cons%C3%A9quences/ 

Pourquoi éviter le P2P (emule ,Shareaza, kazza ... ect):
> http://www.libellules.ch/... 
> http://www.speedweb1.org/forum-tesgaz/viewtopic.php?t=1793 
> https://lexpansion.lexpress.fr/actualite-economique/
 

* Faire attention avec les ActiveX :
http://assiste.com.free.fr/p/abc/a/activex_dangers.html
et comment : 
http://assiste.com.free.fr/p/abc/c/anti_activex.html


* Prévention sur deux autres types d'infection d'actualité : 

MSN prévention : 
https://forum.zebulon.fr/topic/130590-infection-par-msn-ou-wlm/
-> autre danger grandissant , le " phishing " (= hameçonnage ) :
http://msnfix.changelog.fr/index.php/2008/05/18/32-alerte
 

Infection par supports amovibles (clefs usb, flash, DD externes ..) :
https://forum.zebulon.fr/topic/131959-infections-par-supports-amovibles/ 
https://forum.malekal.com/viewtopic.php?f=45&t=5544 

* Rappel sur l'utilisation d'une version piratée de Windows :
https://www.commentcamarche.net/faq/2981-j-utilise-une-version-piratee-de-windows

==================================================

Bon à savoir :

* La "Console de récupération" ( XP ): 
face aux nouvelles menaces (attaque du secteur de boot par exemple), la Console de récupération peut être la seule solution pour pallier à un système très endomagé et particulièrement instable. 
tutoriels ici : 
https://www.pcastuces.com/pratique/windows/xp/console_recuperation/page1.htm .
https://www.informatruc.com

Equivalent Vista : http://www.forum-vista.net/forum/

* Conserve une sauvegarde des fichiers importants ( Sur CD/DVD rom ,DD externe ,ect ...). 

* Ne pas telecharger n'importe quoi, éviter les programes gratuits genre smileys, Macrogaming\SweetIM, Boonty games, ...ect

* Analyser les fichiers reçus/téléchargés :
Pour les adeptes du Peer 2 Peer ( que je déconseille fortement ),toujours analyser les fichiers telechargés avec l'antivirus, l'anti-spyware/malaware du PC avant de les executer ... Cela minimise les risques ( mais ceux-ci restent tout de même présents ! ) 
Ne pas ouvrir les pieces jointes d'un expediteur inconnu et toujours les analyser avant de les ouvrir .
Toujours analyser les fichiers reçus via MSN ou autre avec ton antivirus .

* Utiliser un "compte limité" > http://b.marlow.free.fr/compte_limite.html

* Idées reçus en sécurité informatique ( très instructif ) > 
http://www.libellules.ch/idees_recues_securite.php

==================================================



Voilà ...


bonne suite à toi également ... =)


A+

Avast: Menace Win32:Dracur-C [Crypt]

32 réponses

Discussions similaires