Infection et portable qui plante

Résolu
Fraf -  
 Utilisateur anonyme -
Bonjour,

J'ai un pc portable qui montre des problèmes de performance depuis un certain temps. Hier, Avast m'a signalé la présence de trojan, et d'autres fichiers dangereux qu'il ne pouvait effacer ; j'ai constaté la présence de plusieurs fichiers douteux, donc Djn.exe, que je ne parviens pas à effacer du disque, sous Vista.

J'utilise régulièrement CCleaner ; j'ai fait un scan sous ZHPDiag, mais je ne parviens pas à l'héberger sur ci-joint.fr

Est-ce que quelqu'un peut m'aider?

Merci!

32 réponses

  • 1
  • 2
  1. Utilisateur anonyme
     
    désinstalle symentec, spybot et AVG 9 de ton pc :
    jamais conserver plus d'un antivirus sur ton pc !!!

    fais de la place sur ton pc, ton disque dure est pratiquement plein !!!

    ceci empêche le fonctionnement correcte de ton pc !

    Rootkit TDSS en vu !!!

    * Télécharge de AD-Remover sur ton Bureau. (Merci à l'équipe TeamXscript)
    http://www.teamxscript.org/adremoverTelechargement.html
    ( Lien officiel )

    https://www.androidworld.fr/
    ( Miroir )
    /!\ Ferme toutes applications en cours /!\

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    - Sur la page, clique sur le bouton « Nettoyer »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    * /!\Avertissement :
    Ce logiciel n'est à utiliser que prescrit par un helper qualifié.
    Ne pas utiliser en dehors de ce cas de figure : dangereux!


    /!\ Utilisateur de Vista : Ne pas oublier de désactiver l'UAC juste le temps de désinfection de ton pc, il sera à réactiver plus tard :
    Tuto : https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac

    ► Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau :
    https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm
    ou ici :
    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    A lire
    https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

    Avant d'utiliser ComboFix :

    ► ferme les fenêtres de tous les programmes en cours.

    ► Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.
    Une fois fait, sur ton bureau double-clic sur Combofix.exe.
    /!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur »

    - Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc.

    - il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser.

    /!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes.


    - En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.
    - Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\Combofix.txt)
    ► Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.
    ► Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message.

    0
  2. Fraf
     
    J'ai supprimé AVG et Spybot. Spybot n'est pourtant pas un antivirus? Je n'ai pas Symantec sur mon pc.

    Je vais lancer AD-Remover et je posterai le rapport après.
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. Utilisateur anonyme
     
    désinstalle ce que tu peux, on s'occupera du reste plus tard,

    dans l'ordre,

    ADR en mode suppression

    puis combofix :-)

    j'attends les rapports ;-)

    @ ++
    0
  5. Fraf
     
    Pas moyen de finir le scan avec Combofix. Ça doit faire la 11ème fois consécutive (j'ai arrêté de compter) que le PC plante pendant le scan, et reboote.

    RunDLL m'affiche au démarrage le message d'erreur suivant :

    RunDLL

    Erreur de chargement de C:\Windows\system32\sshnas21.dll

    Le module spécifié est introuvable

    Je vais essayer de nouveau... ^^'
    0
  6. Utilisateur anonyme
     
    redemarre ton pc en mode sans echec avec la prise en charge du réseau, puis lance combofix
    0
  7. Utilisateur anonyme
     
    bonjour,
    ton rapport n'est pas accessible !

    réessaie de l'herberger sur Cijoint cette fois ci

    je file bosser @ ++
    0
  8. Fraf
     
    OK :

    http://www.cijoint.fr/cjlink.php?file=cj201102/cijei2sl0I.txt

    Merci.
    0
  9. Utilisateur anonyme
     
    re,

    au passage et vite fait :-)

    redemarre ton pc en mode normal,

    * Télécharge TDSSKiller sur ton bureau :

    https://support.kaspersky.com/downloads/utils/tdsskiller.exe

    * Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " )

    * Clique sur [Start Scan] pour démarrer l'analyse.

    * Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now]

    * Un rapport s'ouvrira au redémarrage du PC.

    * Copie/Colle son contenu dans ta prochaine réponse.

    Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

    @++
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      salut l élect :P
      juste pour suivre! :D
      bonne chasse ;)
      0
  10. Fraf
     
    Merci.

    Voici le rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201102/cijZcddMm2.txt
    0
  11. Utilisateur anonyme
     
    redemarre ton pc,

    relance zhpdiag,

    clique sur la flèche verte pour lancer une mise à jour de l'outil, sin ton parfeu te demande lautorsation, accèpte le,

    clique sur la loupe,

    une fois le scan finit, enregistre le rapport sur ton bureau,

    héberge le sur Cijoint, ciopie et colle le lien sur ton prochain message :-)

    0
  12. Fraf
     
    Oki, voici le rapport :

    http://www.cijoint.fr/cjlink.php?file=cj201102/cijzWa0IWm.txt
    0
  13. Utilisateur anonyme
     
    * Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
    Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
    Copie/colle les lignes suivantes en gras et place les dans ZHPFix :

    ----------------------------------------------------------
    O43 - CFD: 16/10/2010 - 15:45:18 - [0] ----D- C:\ProgramData\eMule
    O87 - FAEL: "TCP Query User{DA6D6D46-2A69-4097-B124-25623FC59FAD}C:\program files\emule\emule.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\emule\emule.exe (.not file.)
    O87 - FAEL: "UDP Query User{5B0EC1A1-37A3-4401-BB2A-40807648C5A0}C:\program files\emule\emule.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\emule\emule.exe (.not file.)
    O87 - FAEL: "TCP Query User{406EB721-F111-440A-BADE-7DC965B00DE1}C:\program files\emule\emule.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\emule\emule.exe (.not file.)
    O87 - FAEL: "UDP Query User{DB573DA6-BDA4-4A7B-953C-C2C996BAF104}C:\program files\emule\emule.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\emule\emule.exe (.not file.)
    SS - | Auto 28/02/2011 0 | (CLTNetCnService) . (.Pas de propriétaire.) - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
    O4 - Global Startup: C:\Users\Christèle\Desktop\Le Sphinx (version d'évaluation)-V5.lnk . (...) -- C:\SphinxV5demo\Sphinx.exe (.not file.)
    O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - (.not file.) => Fichier absent
    [MD5.00000000000000000000000000000000] [APT] [{D65AD7B2-D6A3-4F51-BE6B-040887F3B875}] (.Pas de propriétaire.) -- c:\users\christŠle\appdata\local\susaw.bat (.not file.)
    O44 - LFC:[MD5.3AA4FDE398FF9A2D462E0B32520B03A7] - 27/02/2011 - 20:00:01 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt [9732]
    O64 - Services: CurCS - (.not file.) - 6e0711e8 (6e0711e8) .(...) - LEGACY_6E0711E8
    O87 - FAEL: "{16D5701E-10AB-445D-B301-0927CE07B751}" |In - Public - P6 - TRUE | .(...) -- C:\Users\Christèle\Desktop\VideoConverter_Setup.exe (.not file.)
    O87 - FAEL: "{9045BAAE-711A-4633-BC85-E7CAF339A88B}" |In - Public - P17 - TRUE | .(...) -- C:\Users\Christèle\Desktop\VideoConverter_Setup.exe (.not file.)
    [HKCU\Software\·ÃZÃ"Ãf ÀÀ¿ë Ã#à ·ÃZ±Ã--·¥ ¸¶¹ý»ç¿¡¼­ »ý¼ºµÃ^ ÀÀ¿ë Ã#à ·ÃZ±Ã--·¥] O43 - CFD: 27/02/2011 - 19:28:22 - [2321584] ----D- C:\Program Files\Spybot - Search & Destroy
    [MD5.00000000000000000000000000000000] [APT] [{22116563-108C-42c0-A7CE-60161B75E508}] (.Pas de propriétaire.) -- C:\Users\ChristŠle\AppData\Local\Temp\Djn.exe (.not file.)
    [HKCU\Software\LdShih] => Infection Diverse (Trojan Horse)
    O44 - LFC:[MD5.7B03E1EBB68588ADC97A3E570F70902A] - 28/02/2011 - 00:15:00 ---A- . (...) -- C:\Windows\System32\GnuHashes.ini [12628]
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe


    ----------------------------------------------------------

    - Clique sur « Tous », puis sur « Nettoyer »
    - Copie/colle la totalité du rapport dans ta prochaine réponse
    Tuto :
    http://www.premiumorange.com/zeb-help-process/zhpfix.html

    Rends toi sur ce site :
    https://www.virustotal.com/gui/
    clique sur parcourir et cherche ce fichier :

    C:\Windows\system32\authui.exe

    clique sur send file
    un rapport va s'élaborer ligne à ligne
    attends un peu, il doit comprendre la taille du fichier envoyé
    une fois le rapport complet, copie et colle le lien du rapport sur ton prochain message.

    0
  14. Fraf
     
    Rapport ZHPFix :

    Rapport de ZHPFix 1.12.3256 par Nicolas Coolman, Update du 23/02/2011
    Fichier d'export Registre : D:\ZHPExportRegistry-28-02-2011-16-34-12.txt
    Run by Christèle at 28/02/2011 16:34:12
    Windows Vista Home Basic Edition, 32-bit (Build 6000)
    Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
    Contact : nicolascoolman@yahoo.fr

    ========== Clé(s) du Registre ==========
    SS - | Auto 28/02/2011 0 | (CLTNetCnService) . (.Pas de propriétaire.) - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe => Clé supprimée avec succès
    O64 - Services: CurCS - (.not file.) - 6e0711e8 (6e0711e8) .(...) - LEGACY_6E0711E8 => Clé supprimée avec succès

    ========== Valeur(s) du Registre ==========
    TCP Query User{DA6D6D46-2A69-4097-B124-25623FC59FAD}C:\program files\emule\emule.exe => Valeur supprimée avec succès
    UDP Query User{5B0EC1A1-37A3-4401-BB2A-40807648C5A0}C:\program files\emule\emule.exe => Valeur supprimée avec succès
    TCP Query User{406EB721-F111-440A-BADE-7DC965B00DE1}C:\program files\emule\emule.exe => Valeur supprimée avec succès
    UDP Query User{DB573DA6-BDA4-4A7B-953C-C2C996BAF104}C:\program files\emule\emule.exe => Valeur supprimée avec succès
    O24 - Default MHTML Editor: Last - .(.Pas de propriétaire - Pas de description.) - (.not file.) => Fichier absent => Valeur absente
    {16D5701E-10AB-445D-B301-0927CE07B751} => Valeur supprimée avec succès
    {9045BAAE-711A-4633-BC85-E7CAF339A88B} => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprimée avec succès
    O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

    ========== Dossier(s) ==========
    C:\ProgramData\eMule => Supprimé et mis en quarantaine

    ========== Fichier(s) ==========
    c:\program files\common files\symantec shared\ccsvchst.exe => Fichier absent
    c:\users\christèle\desktop\le sphinx (version d'évaluation)-v5.lnk => Supprimé et mis en quarantaine
    c:\sphinxv5demo\sphinx.exe => Supprimé et mis en quarantaine
    c:\users\christÅ le\appdata\local\susaw.bat (.not file.) => Fichier absent
    c:\ad-report-clean[1].txt => Supprimé et mis en quarantaine
    c:\users\christÅ le\appdata\local\temp\djn.exe (.not file.) => Fichier absent
    c:\windows\system32\gnuhashes.ini => Supprimé et mis en quarantaine

    ========== Tache planifiée ==========
    Task : {D65AD7B2-D6A3-4F51-BE6B-040887F3B875} => Tâche supprimée avec succès
    Task : {22116563-108C-42c0-A7CE-60161B75E508} => Tâche supprimée avec succès

    Je passe à virustotal.

    Merci!
    0
  15. Fraf
     
    Par contre, je n'ai pas tout saisi, mais il y a un souci avec Le Sphinx? Il faudrait que je le désinstalle et réinstalle?
    0
  16. Utilisateur anonyme
     
    il n'y a pas de csoucis, juste à vérifier si le fichier n'est pas infecté :-)

    0
  • 1
  • 2