Aide PC infecté

Fermé
Fontan42 Messages postés 63 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 25 septembre 2017 - 20 sept. 2010 à 08:47
nanard4700 Messages postés 11228 Date d'inscription mardi 17 juillet 2007 Statut Contributeur sécurité Dernière intervention 27 décembre 2015 - 23 sept. 2010 à 16:25
Bonjour,
Je crois que je me suis fait infecter
Mon PC rame ++ (XP/IE7), j'ai des pages de pub qui s'ouvrent en permanence et je n'arrive plus à atteindre ma page de démarrage...
J'ai scanné avec Antivir et Malwarebytes-Antimalware mais ça n'a rien donné
J'ai aussi voulu utiliser Spybot, mais après l'install et les MàJ, pas myen de lancer le programme...
Pouvez-vous m'aider?
Merci



A voir également:

21 réponses

nanard4700 Messages postés 11228 Date d'inscription mardi 17 juillet 2007 Statut Contributeur sécurité Dernière intervention 27 décembre 2015 835
20 sept. 2010 à 08:56
Bonjour

On va faire une analyse de ton systéme.


* Télécharge ftp://zebulon.fr/ZHPDiag.exe ZHPDiag ( de Nicolas coolman ).
ou
http://www.premiumorange.com/zeb-help-process/zhpdiag.html (En bas de page).
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, " exécuter en tant qu'Administrateur /!\
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
0
Fontan42 Messages postés 63 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 25 septembre 2017
20 sept. 2010 à 09:10
Bonjour et merci pour ton aide
J'ai lancé le diagnostique, je le poste dès que terminé
Je dois m'absenter par intermittence (le boulot...), mais je serai là régulièrement pour suivre les directives que tu me laisseras
A toute
0
Fontan42 Messages postés 63 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 25 septembre 2017
20 sept. 2010 à 10:03
salut
je viens de vérifier l'état du diagnostique et apparemment le prog s'est bloqué à 67%...
je le relance ou j'en essaie un autre?
merci
0
nanard4700 Messages postés 11228 Date d'inscription mardi 17 juillet 2007 Statut Contributeur sécurité Dernière intervention 27 décembre 2015 835
20 sept. 2010 à 10:15
Ok

On va mettre de coté zhpdiag et utiliser un autre programme.

* Télécharge OTL sur ton bureau.

* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"


netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT



* Cliques sur l'icône "Analyse" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).
* Héberge le ou les rapports sur le site cijoint.fr, puis copie/colle le ou les liens fournit dans ta prochaine réponse sur le forum

PS:Tu peux retrouver les rapports dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Fontan42 Messages postés 63 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 25 septembre 2017
20 sept. 2010 à 10:26
ok, je lance le scan
0
Fontan42 Messages postés 63 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 25 septembre 2017
20 sept. 2010 à 10:47
Ok, voici le lien du résultat du scan:
http://www.cijoint.fr/cjlink.php?file=cj201009/cij73GUULT.txt
0
nanard4700 Messages postés 11228 Date d'inscription mardi 17 juillet 2007 Statut Contributeur sécurité Dernière intervention 27 décembre 2015 835
20 sept. 2010 à 11:10
relançe OTL , clic droit executer en tant qu'administrateur , Copies et colles le contenue de cette citation (en commençant bien à :OTL , les : inclus devant OTL) dans la partie inférieure d'OTL sous "Personalisation" et cette fois ci clic CORRECTION:

:OTL
PRC - C:\Program Files\Syncrosoft\POS\H2O\cledx.exe (Team H2O)
SRV - (SSHNAS) -- C:\WINDOWS\system32\sshnas21.dll (Alexander Roshal)
O2 - BHO: () - {472348FE-B773-46FD-88B8-E5595B0744F4} - C:\WINDOWS\System32\dlo8.dll ()
O4 - HKLM..\Run: [H2O] C:\Program Files\Syncrosoft\POS\H2O\cledx.exe (Team H2O)
O4 - HKCU..\Run: [ASH24SXZ9S] C:\Documents and Settings\François Scodellari\Local Settings\Temp\Br1.exe (Alexander Roshal)
NetSvcs: vspwbode - C:\WINDOWS\System32\dlo8.dll ()
NetSvcs: SSHNAS - C:\WINDOWS\system32\sshnas21.dll (Alexander Roshal)
[2010/09/19 22:14:08 | 000,218,112 | ---- | C] (Alexander Roshal) -- C:\WINDOWS\System32\sshnas21.dll
[2010/09/19 22:21:08 | 000,173,056 | ---- | C] (Alexander Roshal) -- C:\WINDOWS\Btujya.exe
[2010/09/19 22:19:11 | 000,186,368 | ---- | C] (Alexander Roshal) -- C:\WINDOWS\Bludob.exe
[2010/09/19 22:14:47 | 000,186,368 | ---- | C] (Alexander Roshal) -- C:\WINDOWS\Bludoa.exe
[2010/09/20 10:25:08 | 000,000,274 | -H-- | M] () -- C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job
[2010/09/20 10:25:01 | 000,000,316 | -H-- | M] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2010/09/20 10:24:07 | 000,000,274 | -H-- | M] () -- C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2010/09/19 22:14:08 | 000,218,112 | ---- | M] (Alexander Roshal) -- C:\WINDOWS\System32\sshnas21.dll
[2010/09/19 22:20:49 | 000,000,274 | -H-- | C] () -- C:\WINDOWS\tasks\{62C40AA6-4406-467a-A5A5-DFDF1B559B7A}.job
[2010/09/19 22:14:38 | 000,000,316 | -H-- | C] () -- C:\WINDOWS\tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job
[2010/09/19 22:14:23 | 000,000,274 | -H-- | C] () -- C:\WINDOWS\tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job



:commands
[emptytemp]
[Reboot]


Post le rapport.
0
Fontan42 Messages postés 63 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 25 septembre 2017
20 sept. 2010 à 12:20
ok j'ai lancé la réparation
Il m'a demandé de redémarrer pour finaliser en cliquant sur ok, mais j'ai du le faire via le menu démarrer (...)
Je trouve le PC toujours très long à redémarrer
OTL ne m'a pas placé de rapport sur le bureau, mais j'ai trouvé dans C/OTL le fichier texte suivant: 09202010_113627.log
"Ci-joint.fr "refuse d'héberger les fichiers portant l'extension.log
Faut-il que je copie ce fichier ici ou le rapport de correction se trouve-t-il ailleurs?
0
nanard4700 Messages postés 11228 Date d'inscription mardi 17 juillet 2007 Statut Contributeur sécurité Dernière intervention 27 décembre 2015 835
20 sept. 2010 à 12:39
Tu peux retrouver les rapports dans le dossier C:\OTL ou sur ton bureau .
Si tu ne trouves pas le rapport relances OTL avec la même personnalisation.
C'est a dire.

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
CREATERESTOREPOINT
0
Fontan42 Messages postés 63 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 25 septembre 2017
20 sept. 2010 à 13:10
ok j'ai bien un fichier OTL sur le bureau
Voici le lien :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijhMOA2Qd.txt
0
nanard4700 Messages postés 11228 Date d'inscription mardi 17 juillet 2007 Statut Contributeur sécurité Dernière intervention 27 décembre 2015 835
20 sept. 2010 à 13:25
Ce n'est pas le bon.lol

Fais directement OTL comme ici
0
Fontan42 Messages postés 63 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 25 septembre 2017
20 sept. 2010 à 15:53
well
Je lance un nouveau scan et je poste le résultat...
0
Fontan42 Messages postés 63 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 25 septembre 2017
20 sept. 2010 à 16:04
Voici le résultat du dernier scan :
http://www.cijoint.fr/cjlink.php?file=cj201009/cijSMyLEaz.txt

PS: ça bug encore ++...
0
nanard4700 Messages postés 11228 Date d'inscription mardi 17 juillet 2007 Statut Contributeur sécurité Dernière intervention 27 décembre 2015 835
20 sept. 2010 à 16:43
/!\ A l'attention de ceux qui passent sur ce sujet /!\
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.

/!\ Désactive tous tes logiciels de protection (Antivirus, Antispywares) /!\

* Télécharge combofix(de sUBs) sur ton Bureau.
* Double-clique sur ComboFix.exe afin de le lancer.
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème)
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\
* Lorsque la recherche sera terminée, un rapport apparaîtra.
* Héberge le rapport C:\Combofix.txt sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec .
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix
0
Fontan42 Messages postés 63 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 25 septembre 2017
20 sept. 2010 à 20:10
Salut

J'ai du relancer Combofix, il restait bloqué à l'étape 32 (plus d'une demi-heure...)
Là, il en est à l'étape 38 et je pense qu'il est bloqué à nouveau...
A chaque démarrage, il a détecté une "activité rootkit" et m'a demandé de redémarrer
Je vais le laisser tourner, là il faut que je parte au boulot
Je reprendrai contact demain en rentrant
Merci pour ton aide
A+
0
Fontan42 Messages postés 63 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 25 septembre 2017
22 sept. 2010 à 19:32
Bonsoir
Je reprends contact pour mon PC toujours infecté ++
J'ai essayé à de nombreuses reprises de faire tourner Combofix mais je n'arrive à rien
Soit il bug au niveau de l'étape 32 ou 38 du scan, soit il me demande de redamarrer après avoir détecté une activité rootkit et, que ce soit en mode sans échec ou non, je n'arrive pas à faire tourner durablement le programme...

Quelqu'un a-t-il une idée pour m'éviter le reformatage?
Merci
0
nanard4700 Messages postés 11228 Date d'inscription mardi 17 juillet 2007 Statut Contributeur sécurité Dernière intervention 27 décembre 2015 835
22 sept. 2010 à 20:11
/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

* Rends toi a cette adresse : http://www.gmer.net/ et cliques sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
* Lance Gmer:
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le fichier téléchargé " exécuter en tant qu'Administrateur /!\
* Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
* A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
* Héberge le rapport Gmer sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum
0
Fontan42 Messages postés 63 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 25 septembre 2017
22 sept. 2010 à 21:05
Salut et merci d'être toujours là ...
J'avais déjà désactivé le pare-feu Windows et carrément désisnstallé Antivir
Je vais suivre tes nouvelles instructions
A +
0
Fontan42 Messages postés 63 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 25 septembre 2017
23 sept. 2010 à 09:13
Salut
J'ai lancé GMER hier soir mais comme le scan est super long, je l'ai laissé tourner sur la nuit et ce matin le PC était planté, programme bloqué, pas moyen de sauvegarder le résultat du scan...
Du coup, je l'ai relancé ce matin
S'il plante pas dans l'intervalle, je posterai le résulata dès que terminé
A +
0
Fontan42 Messages postés 63 Date d'inscription vendredi 21 septembre 2007 Statut Membre Dernière intervention 25 septembre 2017
23 sept. 2010 à 13:05
Bon, ben pas moyen
Je viens de découvrir le scan terminé mais pas moyen de sauvegarder le résultat, le prog "ne répond pas"
Quoi faire, svp?
0