PC encore infecté

Question

Bonsoir à toutes et à tous, une amie m'a filé son portable pour tenter de le nettoyer.
J'ai fait un scan avec son antivirus, lancé CCleaner et lancé Malwareytes (en renommant l'exécutable sinon pas moyen de le lancer). Les 2 combinés ont trouvé environ 80-90 infections mais mbam ne se lance toujours pas sans le renommer et donc il reste du boulot et c'est là que je fais appel à vous n'étant pas assez calé sur le sujet.
J'ai vu sur ce forum un certain nombre de topic parlant du même genre d'infection cependant je ne veux pas foncer tête baissée et je compte sur vous pour me guider dans la marche à suivre.

Le rapport de ZHPDiag : http://www.cijoint.fr/cjlink.php?file=cj201010/cijnyLqCqt.txt

Merci d'avance.



Configuration: Windows XP / Firefox 3.5.13

littlejo · Answer

Quelqu'un aurait un autre moyen ?

Utilisateur anonyme · Answer

Hello littlejo 

        *  Télécharge OTM (OtmoveIT de Old_Timer) sur ton Bureau
ou
        *  http://www.itxassociates.com/OT-Tools/OTM.exe
    * Double-clique sur OTM.exe pour le lancer.
    * Copie la liste qui se trouve en gras dans la citation ci-dessous et colle-la dans le cadre de gauche de OTM sous Paste Instructions for Items to be Moved.


-----------------------------


:files
c:\program files\fast browser search\ie\fbstoolbar.dll

:reg
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{F0626A63-410B-45E2-99A1-3F2475B2D695}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F0626A63-410B-45E2-99A1-3F2475B2D695}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
[-HKEY_CLASSES_ROOT\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1BB22D38-A411-4B13-A746-C2A4F4EC7344}"=-
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FCBCCB87-9224-4B8D-B117-F56D924BEB18}]
[-HKEY_CLASSES_ROOT\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}]
[-HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1BB22D38-A411-4B13-A746-C2A4F4EC7344}]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]
"{1BB22D38-A411-4B13-A746-C2A4F4EC7344}"=-

:commands
[emptytemp]
[purity]
[start explorer]
[reboot]


-----------------------------

    * clique sur MoveIt! puis ferme OTM.
    * Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer.
    * Accepte en cliquant sur YES.
    * Poste le rapport situé dans C:\_OTM\MovedFiles.
    * Le nom du rapport correspond au moment de sa création : date_heure.log

Utilisateur anonyme · Answer

A faire dans l'ordre. 

1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
O42 - Logiciel: Fast Browser Search (My Tattoons) - (.Make The Web Better, LLC.) [HKLM] -- TBSB07183.TBSB07183Toolbar     
[HKCU\Software\TBSB07183]     
[HKCU\Software\Winsudate]     
O43 - CFD:Common File Directory ----D- C:\Program Files\Fast Browser Search     
O43 - CFD:Common File Directory ----D- C:\Program Files\SGPSA     
O20 - Winlogon Notify: igfxcui . (.Intel Corporation - igfxdev Module.) -- C:\Windows\System32\igfxdev.dll 
[HKCU\Software\AppDataLow\Software\MegauploadToolbar]     
[HKLM\Software\Amazon] 
O43 - CFD:Common File Directory ----D- C:\Program Files\Amazon 
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard Co. - Hewlett-Packard Product Assistant.) -- C:\Program Files\Hp\HP Software Update\HPWuSchd2.exe     
OPT:O4 - HKLM\..\Run: [Cpqset] . (.Pas de propriétaire - Pas de description.) -- C:\Program Files\Hewlett-Packard\Default Settings\cpqset.exe     
OPT:O4 - HKLM\..\Run: [Reminder] . (.SoftThinks - Application Remind_XP.) -- C:\Windows\CREATOR\Remind_XP.exe     
OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe     
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\qttask.exe     




----------------------------------------------------------
* Clique sur"ok" (Tu dois avoir seulement les lignes copiées sur le forum)
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse 

===================================================
Désinstalles malwarebytes et fais ce qui suit.

Lances CCcleaner et mets le a jour.
 Clique sur Nettoyeur ? Analyse ? Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
* Enfin, clique sur Registre ? corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

===================================================
Télécharges Malwarebytes a cette adresse.
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/ 

Installes le programme et met le a jour.fais un scan complet et post le rapport.

Si malwarebytes ne veut pas se lancer fais ceci.
Télécharger  Eset Nod32 : 
http://download.eset.com/special/eos/esetsmartinstaller_fra.exe 
*	Lancer le fichier
*	Accepter les conditions
*	Autoriser le programme à accéder à Internet
*	Cliquer sur paramètre avancées pour ouvrir le menu et sélectionner les options (par défaut le scanner analyse votre ordinateur entièrement)
*	Téléchargement des signatures


Il est recommander de désactiver votre antivirus afin de ne pas ralentir le scan et d'afficher des message d'alerte ! 

*	Le scan débute dés la fin du téléchargement
*	Générer le rapport
*	Cliquer sur liste des menaces détectées puis sur exporter dans un fichier texte... 



Vous pouvez l'enregistrer sur le bureau en lui donnant un nom. Poster le rapport sur le forum. 

Pour vous aider voici un tuto rédigé par dorgane :
https://www.commentcamarche.net/faq/29643-scanner-en-ligne-avec-eset-nod32

Utilisateur anonyme · Answer

Tu dois avoir Mbrcheck sur ton bureau.

=>Relance l'outil MBRCheck.exe cette fois ci enregistrer sous | Bureau:

Tu verras ceci :
Found non-standard or infected MBR.



Enter 'Y' and hit ENTER for more options, or 'N' to exit:
Tape la lettre Y puis valide avec la touche [Entrée]

Ensuite, tu auras ceci :
Options:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.


Choisis l'option 2 (tape le chiffre) et appuie sur [Entrée]


Ensuite, tu verras ceci :
Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel):


Tape le chiffre 0 puis valide avec [Entrée]


Tu auras maintenant un choix à faire, avec des codes de MBR :
Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel

Vous devez choisir votre version de Windows à partir de la liste. 
Pour exemple: 
Entrer 0 ou 1 pour XP ou entrer 3 pour Vista.....etc.  Appuyez sur Entrée. 

Ensuite, tu verras ceci :
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue:


Ici, tu dois taper YES (en minuscules ça va aussi) puis valide avec [Entrée]

En principe, tu devrais maintenant voir ceci (ajouté au bout de la ligne) :
Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!

...suivi de "Please reboot your computer to complete the fix."

Maintenant, je vais te demander d'éteindre la machine (via le bouton "Démarrer") et de patienter 3 minutes. Après les 3 minutes, démarre la machine normalement, puis colles le contenu du rapport de l'outil (du même fichier texte, qui se trouve sur ton Bureau).

Utilisateur anonyme · Answer

/!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

*Téléchargez mbr.exe de Gmer sur le Bureau : mbr.exe
*Désactivez vos protections et coupez la connexion.
*Sous Windows XP : double-cliquez sur mbr.exe / Sous Windows Vista ou Seven, faites un clic-droit sur mbr.exe et choisissez "Exécuter en temps qu'administrateur"
*Un rapport sera généré : mbr.log

*En cas d'infection, le message MBR rootkit code detected va apparaître dans le rapport. Si c'est le cas, cliquez sur le Menu démarrer --> Exécuter, et tapez la commande suivante :
Ne pas poster ce passage

Utilisateur anonyme · Answer

Pour ton probléme de "Generic host process for Win32" fais ceci 

Aller dans "demarrer" ===> "panneau de configuration" ===> "performances et maintenances"(basculer votre affichage de façon à ce que ce choix apparaisse dans "affichage des categories"), 
Aller dans "outils d'administration" ===> "services", puis en bas, cliquer sur l'onglet " étendu" ou "standard" peu importe, ensuite une fois à l'intérieur d'un de ces 2 onglets sélectionner "client DNS", cliquer sur bouton droit de la souris et aller dans "propriétés" de ce service. 
Si , ce qui est sûrement votre cas, ce service est signalé "démarré" , dans la zone " statut de service", cliquez sur "ARRETER" et haut dessus dans "type de démarrage" selectionner dans le menu déroulant :"DESACTIVER" 

puis, en bas cliquer "appliquer", et "OK".

===================================================



1/ Copie/colle les lignes suivantes et place les dans ZHPFix :
2/Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag)
3/Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

----------------------------------------------------------
O42 - Logiciel: Fast Browser Search (My Tattoons) - (.Make The Web Better, LLC.) [HKLM] -- TBSB07183.TBSB07183Toolbar     




----------------------------------------------------------
* Clique sur"ok" (Tu dois avoir seulement les lignes copiées sur le forum)
* Clique sur « Tous », puis sur « Nettoyer »
* Copie/colle la totalité du rapport dans ta prochaine réponse   
Le cerveau a des capacités tellement étonnantes qu'aujourd'hui pratiquement tout le monde en a un.

Utilisateur anonyme · Answer

* Télécharge :https://www.superantispyware.com/
* Choisis "enregistrer" et enregistre-le sur ton bureau.
* Double-clique sur l'icône d'installation qui vient de se créer et suis les instructions.
* Créé une icône sur le bureau.
* Double-clique sur l'icône de SAS (une tête dans un cercle rouge barré) pour le lancer.
* Si l'outil te demande de mettre à jour le programme ("update the program definitions", clique sur yes.
* Sous Configuration and Preferences, clique sur le bouton "Preferences"
* Clique sur l'onglet "Scanning Control "
* Dans "Scanner Options ", assure toi que la case devant lles lignes suivantes est cochée :
* Close browsers before scanning
* Scan for tracking cookies
* Terminate memory threats before quarantining
* Laisse les autres lignes décochées.
* Clique sur le bouton "Close" pour quitter l'écran du centre de contrôle.
* Dans la fenêtre principale, clique, dans "Scan for Harmful Software", sur "Scan your computer".
* Dans la colonne de gauche, coche C:\Fixed Drive.
* Dans la colonne de droite, sous "Complete scan", clique sur "Perform Complete Scan"
* Clique sur "next" pour lancer le scan. Patiente pendant la durée du scan.
* A la fin du scan, une fenêtre de résultats s'ouvre . Clique sur OK.
* Assure toi que toutes les lignes de la fenêtre blanche sont cochées et clique sur "Next".
* Tout ce qui a été trouvé sera mis en quarantaine. S'il t'es demandé de redémarrer l'ordi ("reboot"), clique sur Yes.
* Pour recopier les informations sur le forum, fais ceci :
* après le redémarrage de l'ordi, double-clique sur l'icône pour lancer SAS.
* Clique sur "Preferences" puis sur l'onglet "Statistics/Logs ".
* Dans "scanners logs", double-clique sur SUPERAntiSpyware Scan Log.
* Le rapport va s'ouvrir dans ton éditeur de texte par défaut.
* Copie son contenu dans ta réponse.
* Regarde bien le tuto SUPERAntiSpyware il est très bien expliqué.
* https://www.malekal.com/?s=SUPERAntiSpyware

Utilisateur anonyme · Answer

Si tu ne trouves plus rien après cette dernière analyse je te conseil la réinstallation car tu perd trop de temps moi perso dés que j'ai un soucis sur mes PC je réinstalle directement.

Pour les fichiers ils sont tous sur un second DD sur chacun d'eux. Et même les programmes.

Utilisateur anonyme · Answer

/!\ A l'attention de ceux qui passent sur ce sujet /!\  
Le logiciel qui suit n'est pas à utiliser à la légère et peut faire des dégâts s'il est mal utilisé ! Ne le faites que si un helpeur du forum qui connait bien cet outil vous l'a recommandé.  

/!\ Désactive tous tes logiciels de protection  (Antivirus, Antispywares)  /!\  

* Télécharge combofix(de sUBs) sur ton Bureau.  
* Double-clique sur ComboFix.exe afin de le lancer.  
* Il va te demander d'installer la console de récupération : accepte. (important en cas de problème) 
/!\ Ne touche ni à la souris, ni au clavier durant le scan /!\  
* Lorsque la recherche sera terminée, un rapport apparaîtra.  
*  Héberge le rapport C:\Combofix.txt  sur le site cijoint.fr, puis copie/colle le lien fournit dans ta prochaine réponse sur le forum  
#Si combofix ne veut pas se lancer renommes le en ccm.exe et éxécutes le en mode sans échec . 
Tutoriel officiel de Combofix : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser¬-combofix

Utilisateur anonyme · Answer

Pourquoi tu écris le Mbr est encore infecté?
Tu te fais aider par un autre helpeur?J'ai trouvé ca dans ton rapport==>List_Kill'em   
Plusieurs intervenants sur un sujet peux être néfaste pour le bon fonctionnement de ton ordi. 

 Lances Mbam et fais un scan complet.Post le rapport

a++

littlejo · Answer

Pour le mbr, si je lance mbrcheck pour voir, il me remet "found non-standard or infected mbr".
Sinon non il n'y a que toi qui m'aide, j'ai juste testé le logiciel (je sais j'aurais pas dû puisque tu ne me l'as pas demandé, désolé je recommencerais pas).
Je lance Mbam.

littlejo · Answer

J'ai dû rendre son pc à l'amie de ma copine (elle en pouvait plus d'attendre et a estimé qu'il était plus clean qu'avant... Bref -_-), tout allait bien wifi compris, pas sûr qu'il était complètement clean mais il était en bien meilleure santé que quand elle me l'a refilé.
Donc un grand merci nanard parce que tout seul je serais pas allé bien loin, merci pour le temps que tu m'as accordé et pour ta patience.
Bonne continuation

PC encore infecté

12 réponses

Newsletters