Pc infecté...

Résolu
Jonathan -  
 gen-hackman -
Bonjour,
Mon pc est infecté mes contacts messenger ont reçu de ma part un mail infecté:
Je vous transmet mes différents rapports :

Rsit :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijxVaba4p.txt

Zhp diag :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijbbJttpn.txt

Merci.

28 réponses

  • 1
  • 2
Résumé de la discussion

Un PC semble infecté et des mails malveillants ont été envoyés aux contacts Messenger, avec des rapports Rsit et ZHPdiag partagés. Des conseils préconisent d'utiliser Ad-Remover en mode NETTOYER et List_Kill'em, puis d'exécuter Kill'em avec l'option CLEAN pour générer un rapport sur le bureau. Certains rappellent de ne pas copier-coller systématiquement les procédures et d'analyser les rapports 2011N2, ainsi que des liens vers d'autres discussions pour orienter le nettoyage. Par ailleurs, des indices évoquent un fichier C:\Windows\System32\ACER.exe et l'obligation de rediriger vers un rapport Kill'em.txt et de transmettre l'archive ZIP via un service externe.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. gen-hackman
     
    bonsoir pour suivre :)

    ton ordinateur n'est pas forcément infécté............

    Fait ceci également :

    1) passes ad-remover mode NETTOYER

    2)passe list_kill'em

    mdr
    3
  2. kalimusic Messages postés 14619 Statut Contributeur sécurité 3 027
     
    Bonsoir à tous,

    Il faudrait arrêter de copié/collé les mêmes procédures au pif quelque soit les rapports 2011N2

    https://forums.commentcamarche.net/forum/affich-20841389-es-ce-que-c-est-bien-nettoye-worm#3
    https://forums.commentcamarche.net/forum/affich-20835521-pc-portable-fonctionne-tres-aleatoirement#8
    etc...
    1
    1. 2011N2 Messages postés 13379 Date d'inscription   Statut Contributeur sécurité Dernière intervention   920
       
      Il faut bien analyser avec ZHPDiag...
      0
  3. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    hello

    ni ad remover
    ni killem
    ni usbfix

    selon moi

    @ +
    0
    1. Utilisateur anonyme
       
      Bonsoir 2011N2

      Tu devrais relire ton canned ici
      2 fois Ad remover ...

      @+

      PS:Coucou moment de grace;-))
      0
  4. Utilisateur anonyme
     
    Yep....j'avais survolé RSIT rapidement....

    Du rootkit... avec ses conséquences ds l'air !

    Mais bon ,c'est le topic de 2011N2
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Jonathan
     
    heu je ne fais pas de killem alors ?
    Ad-Remover je l'ai déjà fait et c'est très propre...
    0
  7. Utilisateur anonyme
     
    Bonsoir Jonathan

    @ kalimusic ;-)

    Reprenons cela sérieusement:
    lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Ou

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

    Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien :

    http://www.cijoint.fr/index.php
    Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    @+
    0
  8. Utilisateur anonyme
     
    Bah ouai LOl !!!!!
    0
    1. Utilisateur anonyme
       
      Hello milarésol ;-)
      0
    2. Utilisateur anonyme
       
      Et bien attendons jonathan.

      @+
      0
  9. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    hello les friends

    on papote

    (sourire)
    0
    1. Utilisateur anonyme
       
      Coucou ;-)
      0
    2. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      hello

      guillaume

      rassure moi

      je vois rien , ni rootkit comme dit plus haut ni choucroute avariée !
      0
    3. Utilisateur anonyme
       
      Oups ;il y a un rapport ZHPDiag dans le premier post ;(
      0
    4. Jonathan
       
      oui j'avais déjà mis le rapport ZHPdiag.. ^^
      0
    5. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
       
      ben j'ai lu aussi

      une clé pourrie et une lecture mbr biaisé par un emulateur
      0
  10. Utilisateur anonyme
     
    Re

    Vérifions cette éventuelle infection MSN.

    # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
    Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
    Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


    Télécharge et installe UsbFix de El Desaparecido , C_XX & Chimay8
    Ici http://www.teamxscript.org/usbfixTelechargement.html

    Tutoriel de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/

    Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir

    # Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau.

    # Choisi Suppression

    # Laisse travailler l outil.

    # Ensuite post le rapport UsbFix.txt qui apparaîtra.

    # Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)

    (CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    @+
    0
    1. Jonathan
       
      Merci pour ton aide Guillaume5188,

      List'em :
      http://www.cijoint.fr/cjlink.php?file=cj201102/cijfwps2ED.txt

      Usbfix:
      http://www.cijoint.fr/cjlink.php?file=cj201102/cij42J2Zm5.txt
      0
  11. Utilisateur anonyme
     
    Re

    Toujours des problèmes avec MSN?

    @+
    0
  12. Jonathan
     
    Visiblement non... J'ai changé au passage mon code.
    Affaire a suivre je passe en résolu en attendant ;)

    Merci encore
    0
    1. Utilisateur anonyme
       
      Re

      Bonne continuation ;)
      @+
      0
  13. moment de grace Messages postés 29099 Date d'inscription   Statut Contributeur sécurité Dernière intervention   2 274
     
    killem a trouvé C:\Windows\System32\ACER.exe

    https://www.broadcom.com/

    Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
    mais cette fois-ci :

    choisis l'option CLEAN

    laisse travailler l'outil.

    en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    colle le contenu dans ta reponse

    envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr
    0
    1. gen-hackman
       
      pourquoi list_kill'em n'a pas fini son scan ?
      0
    2. Jonathan
       
      Voila le zip :
      http://www.cijoint.fr/cjlink.php?file=cj201102/cijI8Y4Qr7.zip

      Car j'avais lancé usbfix par la même occasion et il m'a coupé list'kill a 95% désolé.
      C'est quoi le but de ce programme ?
      0
    3. Jonathan
       
      Quand je lis mon Zhpdiag on voit qu'il y a des restes encore surtout Zugo qui est un peu robuste

      je vous met le rapport :
      http://www.cijoint.fr/cjlink.php?file=cj201102/cijFHrl5RJ.txt

      Après avoir regardé mon rapport Rsit j'ai juste une question ça ne serait pas ça l'infection msn :
      [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ehTray.exe] => Microsoft WMC Tray Applet or Infection MSN


      VIsiblement non ?..
      https://www.bleepingcomputer.com/startups/ehtray.exe-1525.html
      0
  14. gen-hackman
     
    hello qui t'a demandé de lancer tous les logiciels en meme temps ?

    il est possible d'avoir un scan de List_Kill'em complet ?
    0
  15. jonathan
     
    Je l'ai fait tourné hier soir 3h et il est resté sur 95% je peux pas aller a 100%..
    0
  16. gen-hackman
     
    tu as desactivé toutes tes protections ?

    sinon quand il bloque à 95% , tu relances le prog sans l'arreter , puis tu cliques sur le petit "X" en bas de la fenetre ca le debloquera pour finir son sscan

    pourquoi tu le dis pas quand y a un probleme ?
    0
  17. jonathan
     
    ok je vous fais ça ce soir une fois rentré du boulot, désolé j'ai pas voulu faire plein de posts inutiles

    EDIT : oui protections désactivées
    0
  18. Jonathan
     
    Et voila le rapport après avoir cliqué sur la petite croix :

    http://www.cijoint.fr/cjlink.php?file=cj201102/cijnOKLq6S.txt
    0
  19. Jonathan
     
    voilou :

    http://www.cijoint.fr/cjlink.php?file=cj201102/cijZo8BJi6.txt
    0
  • 1
  • 2