Pc infecté... Résolu/Fermé

Question

Bonjour, 
Mon pc est infecté mes contacts messenger ont reçu de ma part un mail infecté:
Je vous transmet mes différents rapports  :

Rsit :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijxVaba4p.txt

Zhp diag :
http://www.cijoint.fr/cjlink.php?file=cj201102/cijbbJttpn.txt

Merci.

Configuration: Windows Vista / Firefox 3.6.13

gen-hackman · Accepted Answer

bonsoir pour suivre :)

ton ordinateur n'est pas forcément infécté............

Fait ceci également :

1) passes ad-remover mode NETTOYER

2)passe list_kill'em 

mdr

Utilisateur anonyme · Answer

Salut à vs deux....

Un petit USBfix non?

moment de grace · Answer

hello

ni ad remover
ni killem
ni usbfix

selon moi

@ +

Utilisateur anonyme · Answer

Yep....j'avais survolé RSIT rapidement....


Du rootkit... avec ses conséquences ds l'air !

Mais bon ,c'est le topic de 2011N2

Jonathan · Answer

heu je ne fais pas de killem alors ?
Ad-Remover je l'ai déjà fait et c'est très propre...

kalimusic · Answer

Bonsoir à tous,

Il faudrait arrêter de copié/collé les mêmes procédures au pif quelque soit les rapports 2011N2

https://forums.commentcamarche.net/forum/affich-20841389-es-ce-que-c-est-bien-nettoye-worm#3
https://forums.commentcamarche.net/forum/affich-20835521-pc-portable-fonctionne-tres-aleatoirement#8
etc...

Utilisateur anonyme · Answer

Bonsoir Jonathan

@ kalimusic ;-)

Reprenons cela sérieusement:
lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, dé zippe le fichier obtenu et place ZHPDiag.exe sur ton Bureau.

Double-clique sur l'icône pour lancer le programme. Sous Vista ou Seven clic droit «  exécuter en tant que administrateur »


Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien : 

http://www.cijoint.fr/index.php
Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag). 

Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

Utilisateur anonyme · Answer

Bah ouai LOl !!!!!

moment de grace · Answer

hello les friends

on papote

(sourire)

Utilisateur anonyme · Answer

Re

Vérifions cette éventuelle infection MSN.

 # Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


Télécharge et installe UsbFix de El Desaparecido , C_XX & Chimay8
Ici http://www.teamxscript.org/usbfixTelechargement.html

Tutoriel de Malekal_Morte si besoin, merci à lui : https://www.malekal.com/usbfix-supprimer-virus-usb/ 

 Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
 

#  Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau. 

# Choisi  Suppression 

# Laisse travailler l outil. 

# Ensuite post le rapport UsbFix.txt qui apparaîtra. 

# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt) 

(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


@+

Utilisateur anonyme · Answer

Super ce topic....

Si 2011N2 le sait....

Utilisateur anonyme · Answer

Re

Toujours des problèmes avec MSN?

@+

Jonathan · Answer

Visiblement non... J'ai changé au passage mon code.
Affaire a suivre je passe en résolu en attendant ;)

Merci encore

moment de grace · Answer

killem a trouvé C:\Windows\System32\ACER.exe

https://www.broadcom.com/

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse


envoie le zip Upload_ta-session_List_Kill'em.zip via cijoint.fr

gen-hackman · Answer

hello qui t'a demandé de lancer tous les logiciels en meme temps ?

il est possible d'avoir un scan de List_Kill'em complet ?

jonathan · Answer

Je l'ai fait tourné hier soir 3h et il est resté sur 95% je peux pas aller a 100%..

gen-hackman · Answer

tu as desactivé toutes tes protections ?

sinon quand il bloque à 95% , tu relances le prog sans l'arreter , puis tu cliques sur le petit "X" en bas de la fenetre ca le debloquera pour finir son sscan

pourquoi tu le dis pas quand y a un probleme ?

jonathan · Answer

ok je vous fais ça ce soir une fois rentré du boulot, désolé j'ai pas voulu faire plein de posts inutiles

EDIT : oui protections désactivées

gen-hackman · Answer

ok à te lire :)

Jonathan · Answer

Et voila le rapport après avoir cliqué sur la petite croix :

http://www.cijoint.fr/cjlink.php?file=cj201102/cijnOKLq6S.txt

gen-hackman · Answer

salut

more.txt aussi stp

Jonathan · Answer

voilou :

http://www.cijoint.fr/cjlink.php?file=cj201102/cijZo8BJi6.txt

gen-hackman · Answer

tu as attendu combien de temps avant de cliquer sur le "X" en bas de la fenetre ?

gen-hackman · Answer

&#9654 Télécharge Defogger (de jpshortstuff) sur ton Bureau

&#9654 Lance le

Une fenêtre apparait : clique sur "Disable"

&#9654 Fais redémarrer l'ordinateur si l'outil te le demande

Note : Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable" 

=============================

ATTENTION !! ce script est réservé uniquement à cette machine , ne pas reproduire !!!!!

&#9654 Relance List&Kill'em,avec le raccourci sur ton bureau.

mais cette fois-ci :

&#9654 choisis l'option Tools puis Script

une fenêtre noire va s'ouvrir brievement , et List_Kill'em va se fermer

un nouveau document texte s'ouvre , copie/colle ce en gras si dessous :


KLOOK:HKEY_CURRENT_USER\software\admin      
REM:HKEY_CURRENT_USER\software\Zugo
FILE:C:\Windows\System32\404Fix.exe    
FILE:C:\Windows\System32\Agent.OMZ.Fix.exe 
SIGN:C:\Windows\System32\ALLFSAF7a.ocx 
SIGN:C:\Windows\System32\Acer.scr
SIGN:C:\Windows\System32\cis-2.4.dll      
SIGN:C:\Windows\System32
vdispco322090.dll      
SIGN:C:\Windows\System32
vgenco322040.dll      
FILE:C:\Windows\System32\drivers\etc\hosts.txt      

&#9654 enregistre le document texte avec l'onglet fichier (enregistrer) de ce dernier , puis ferme-le

laisse travailler l'outil

&#9654 poste le resultat
 
&#9654 Ferme List_Kill'em

Note : le rapport est sur ton bureau : Script_(4 chiffres).txt

Jonathan · Answer

http://www.cijoint.fr/cjlink.php?file=cj201102/cijsl34wCI.txt

gen-hackman · Answer

recommence en desactivant toutes protections parefeu windows compris

Jonathan · Answer

C'est fait je te redonne le nouveau rapport :

http://www.cijoint.fr/cjlink.php?file=cj201102/cijnjXsjxx.txt

Pourquoi m'avoir supprimé mon fichier hosts ?
LIst'kill c'est un peu comme otm non ?

gen-hackman · Answer

pourquoi conserver un fichier host sous format txt dans le dossiers drivers ?