Ordi Zombies...Résolu/Fermé

Question

Bonjour, 

J'aimerais savoir si il existe un moyen de vérifier si mon ordi est un "zombie". Après avoir vu une émission sur les spams ça m'a rendu un peu parano. :)

J'aimerais aussi que vous m'aidiez pour ceci;

Dans un premier temps Avast a trouvé deux fichiers infectés dans Win 32 , et lorsque je les ai supprimés il m'a demandé si je voulais redémarrer mon ordi en le laissant refaire un nouveau scan. Et là il restait bloqué à 9% pendant des heures et me trouvais plus d'une cinquantaine de fichiers infectés.
Je me suis demandé si il ne retrouvais pas tout le temps les deux ou trois mêmes en boucle...
J'ai donc ré-ouvert windows et refais un scan minutieux, et il semblait ne plus rien trouver
Merci de m'éclairer, je suis un parfait novice!!!



Windows XP Service Pack 3. Pentium(R) D CPU 2.80GHz

Utilisateur anonyme · Answer

Salut,
-	- >Télécharge ZHPDiag sur ton bureau : 

ici


ici

ou : 
ici


- >Laisse toi guider lors de l'installation, coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag". 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag (parchemin), « Exécuter en tant qu'Administrateur » 

->Clique sur l'icône représentant une loupe (« Lancer le diagnostic »).  
-	- >Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette.  
- >Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum désinfection : 

http://www.cijoint.fr

juju666 · Answer

bonjour, alan ne pourra plus t'aider, il me demande de continuer avec toi

&#9654  Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Scanner » 
&#9654 Confirme lancement du scan 
&#9654 Laisse travailler l'outil. 
&#9654 Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-Report-SCAN[1].txt) 

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

juju666 · Answer

c'est ok relance ad-remover clique sur Nettoyer

accepte le redémarrage

reviens ici poste le rapport c:\ad-report-clean[1]

==============

relance ad-remover clique sur désinstaller 

==============

refais zhpdiag : https://forums.commentcamarche.net/forum/affich-21818908-ordi-zombies#1

juju666 · Answer

de rien lol ^^

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified  
O43 - CFD: 10/03/2011 - 0:55:38 - [0] ----D- C:\Program Files\JMHL Loader   
O43 - CFD: 14/08/2009 - 2:12:12 - [3] ----D- C:\Documents and Settings\All Users\Application Data\Temporary    
O64 - Services: CurCS - (.not file.) - QuestBrowse Service (QuestBrowse Service)  .(...) - LEGACY_QUESTBROWSE_SERVICE   
[HKCR
ctaudiofile2.audiofile2]
[HKCR
ctaudiofile2.audiofile2.2]
[HKCR
ctaudiofile2.audiofile2lameenc]
[HKCR
ctaudiofile2.audiofile2lameenc.1]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\settings\{258c9770-1713-4021-8d7e-1f184a2bd754}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\ext\stats\{BDEA95CF-F0E6-41E0-BD3D-B00F39A4E939}]
O43 - CFD: 22/02/2011 - 5:45:32 - [0] ----D- C:\Documents and Settings\HP_Propriétaire\Application Data\BabylonToolbar    
O43 - CFD: 24/06/2009 - 15:42:14 - [2296212] ----D- C:\Program Files\Winamp Toolbar
O43 - CFD: 24/06/2009 - 15:27:06 - [433698] ----D- C:\Documents and Settings\All Users\Application Data\Winamp Toolbar
O43 - CFD: 24/06/2009 - 15:56:26 - [17502] ----D- C:\Documents and Settings\HP_Propriétaire\Local Settings\Application Data\Winamp Toolbar
emptytemp
emptyflash
firewallraz


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur et refais une analyse avec zhpdiag 


 --
 .::. Contributeur Sécurité .::.

juju666 · Answer

y'a un truc qui veut pas bouger on dirait ^^

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


O64 - Services: CurCS - (.not file.) - QuestBrowse Service (QuestBrowse Service)  .(...) - LEGACY_QUESTBROWSE_SERVICE   

&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

juju666 · Answer

&#9654 &#9654 DÉSACTIVE TES PROTECTIONS DURANT LA PROCÉDURE (avast et windows defender)    

&#9654 Télécharge Combofix SUR TON BUREAU ET PAS AILLEURS !!! 

NE le lance pas ! 



&#9654 Crée un nouveau document texte : clic droit de souris sur le bureau > Nouveau > Document Texte, et copie dedans les lignes suivantes :  



KillAll:: 

Driver:: 

QuestBrowse Service 


Reboot:: 


&#9654 Enregistre ce fichier sous le nom CFScript  

&#9654 Fait un glisser/déposer de ce fichier CFScript sur le fichier ComboFix.exe comme sur la capture :http://i261.photobucket.com/albums/ii49/Malekal_morte/CFScript-2.gif  

&#9654 Combofix se lance, laisse toi guider..  

&#9654 Patiente le temps du scan. Le bureau va disparaître à plusieurs reprises: c'est normal!  
Ne touche à rien tant que le scan n'est pas terminé.  
&#9654 Une fois le scan achevé, un rapport va s'afficher: poste son contenu, en précisant où en sont tes soucis  

&#9654 Si le fichier ne s'ouvre pas, il se trouve ici > C:\ComboFix.txt   


 .::. Contributeur Sécurité .::.

juju666 · Answer

re, désolé de l'attente...

Merci Al'

Refais ZHPDiag : https://forums.commentcamarche.net/forum/affich-21818908-ordi-zombies#1

N'oublie pas d'héberger son rapport !

A+

juju666 · Answer

Au fait, désolé, je ne répond même pas à tes questions...

Au fait, j'avais installé le "Zune Style" pour windows et maintenant le style est revenu à Windows XP classique. C'est normal ou zune posait problème? si je peux pas le ré-installer ma foi c'est pas un drame, mais si c'est inoffensif j'aimerais autant garder "Zune Style"... 

==> Je ne sais pas ce qu'est Zune Style, il faudrait que je me renseigne là dessus. Depuis quelle manipulation est-il parti ? 

==> Désolé pour les contre temps avec ComboFix. Je ne t'ai pas mis un tutoriel complet... Tu as très bien fait d'installer la console de récupération.

Ceci risque de durer un certain temps... :

&#9654 Télécharge Malwarebytes' Anti-Malware  et enregistre le sur ton bureau.  

&#9654 &#9654 Miroir 1 si inaccessible  

&#9654 &#9654 Miroir 2 si inaccessible 

&#9654 &#9654 /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »  

&#9654 Double clique sur le fichier téléchargé pour lancer le processus d'installation.  
&#9654 Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour  
&#9654 si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte  
&#9654  Une fois la mise à jour terminée  
&#9654 rends-toi dans l'onglet Recherche 
&#9654 Sélectionne Exécuter un examen complet 
&#9654 Clique sur Rechercher  
&#9654 &#9654 Le scan démarre.  
&#9654 A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.  
&#9654 Clique sur Ok pour poursuivre.  
&#9654 Si des malwares ont été détectés, cliques sur Afficher les résultats 
&#9654 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
&#9654 Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

&#9654 &#9654  Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!  
&#9654 Une fois le PC redémarré, rends toi dans l'onglet rapport/log  
&#9654 Tu clique dessus pour l'afficher, une fois affiché  
&#9654 Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller) 

Si tu as besoin d'aide regarde ce tutoriel :  
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/   

&#9654 &#9654 Si tu n'arrive pas à le mettre à jour, télécharge ce fichier

juju666 · Answer

Décidément ...

On va voir ce qui a causé ce crash :

&#9654 Télécharge Blue screen View :

ouvre ce lien http://www.nirsoft.net/utils/blue_screen_view.html

&#9654 Clique sur Download BlueScreenView with full install/uninstall support

&#9654 Enregistre le fichier sur ton Bureau.

&#9654 Clic droit sur l'exe choisir Executer en tant qu'administrateur pour le lancer.

&#9654 A la fin du scan, , clique sur Edit puis Select All.
&#9654 Puis : File et Save Selected Items.

&#9654 Sauve le rapport sous BSOD.txt.

&#9654 Ouvre BSOD.txt dans le Bloc-notes, copie son contenu et poste le dans ta réponse.

juju666 · Answer

re ^^'

ma legacy est enfin partie :P 

refais ad-remover [recherche] : https://forums.commentcamarche.net/forum/affich-21818908-ordi-zombies#4 en mode sans échec stp

c'est à dire depuis le mode normal tu télécharge ad-remover, tu redémarre en mode sans échec et tu lance le scan.

A+

juju666 · Answer

Reeee :D

Très bien dormi ^^ et toi? :P

ça s'annonce bien ce scan moi je dis ^^'

C'est ok, tu peux revenir en mode normal et refaire un zhpdiag pour contrôler le tout (voir procédure : https://forums.commentcamarche.net/forum/affich-21818908-ordi-zombies#1)

:-))))

juju666 · Answer

c'est bon on fait la teuf, la legacy a bel et bien sauté ^^'

oui tu peux désinstaller ad-remover ;-)

vas dans ton panneau de configuration/désinstaller un programme
tu supprime:

- adobe reader 5
- adobe reader 8
- java 5
- tout ce qui contient le mot "toolbar" (softonic, winamp toolbar, facemood, google, ...)

juju666 · Answer

Mouais, c'est que des traces, on va nettoyer tout ça lol

Attention des désinstallations te seront proposées lors de l'exécution du script, accepte les.

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )   


O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Pas de propriétaire - Pas de description.) --  (.not file.)     
OPT:O4 - HKLM\..\Run: [NeroFilterCheck] . (.Ahead Software Gmbh - NeroCheck.) -- C:\WINDOWS\system32\NeroCheck.exe     
OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe     
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe     
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe     
OPT:O4 - HKLM\..\Run: [Google Desktop Search] . (.Google - Google Desktop.) -- C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe     
O42 - Logiciel: Facemoods - (.Secure Digital Services.) [HKLM] -- {D0198889-7766-424B-AB81-F16F8EDDFEF4}     
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Pas de propriétaire.) [HKLM] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F}     
O42 - Logiciel: J2SE Runtime Environment 5.0 Update 5 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0150050}     
[HKCU\Software\Softonic] 
O43 - CFD: 24/06/2009 - 15:27:06 - [51708] ----D- C:\Documents and Settings\All Users\Application Data\Winamp Toolbar 


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .  

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .  

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .  

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.  

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message  

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)   

&#9654 Redémarre ton ordinateur, refais une analyse avec ZHPDiag et héberge son rapport

juju666 · Answer

oups pas vu ta réponse désolé :o( 
j'ai du mal avec toi lol ^^ 

sandboxie c'est pas mal comme truc, tu peux le garder ça protège ton navigateur en effet :) 

============================== 

un dernier zhpfix: 

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )    


O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Acrobat Reader 5.0.lnk . (.Adobe Systems Incorporated.)  -- C:\Program Files\Adobe\Acrobat 5.0\Reader\AcroRd32.exe 
O4 - Global Startup: C:\Documents And Settings\All Users\Menu Démarrer\Programmes\Adobe Reader 8.lnk . (...)  -- C:\WINDOWS\Installer\{AC76BA86-7AD7-1036-7B44-A81000000003}\SC_Reader.exe    
O43 - CFD: 24/06/2009 - 15:27:06 - [51708] ----D- C:\Documents and Settings\All Users\Application Data\Winamp Toolbar 
emptytemp 
emptyflash 
firewallraz 



&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .   

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .   

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .   

&#9654 Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.   

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage 

&#9654 Copie/Colle le rapport à l'écran dans ton prochain message   

&#9654 (le rapport se trouve aussi dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport.txt)    

&#9654 Redémarre ton ordinateur 

========================================== 

nettoyage de printemps ^^ 

&#9654 télécharge Ccleaner et enregistre le sur le bureau  

&#9654 double-clique sur le fichier pour lancer l'installation  

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'administrateur »  

&#9654 sur la fenêtre de l'installation langage bien choisir français et OK  
&#9654 clique sur suivant  
&#9654 lis la licence et j'accepte  
&#9654 cliques sur suivant  
&#9654 là tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner  
&#9654 cliques sur installer  
&#9654 cliques sur fermer  
&#9654 double-cliques sur l'icône de Ccleaner pour l'ouvrir  
&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé  
&#9654 tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures  
&#9654 &#9654 cliques sur nettoyeur  
&#9654cliques sur windows et dans la colonne avancé  
&#9654coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
&#9654 cliques sur analyse une fois l'analyse terminé  
&#9654 cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vérifs en appuyant de nouveau sur analyse pour être sur qu'il n'y est plus rien  
&#9654 &#9654 cliques maintenant sur registre et puis sur rechercher les erreurs  
&#9654 laisses tout cochées et cliques sur réparer les erreurs sélectionnées  
&#9654 il te demande de sauvegarder OUI  
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre  
&#9654 cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK  
&#9654 il supprime et fermer tu vérifies en relançant rechercher les erreurs  
&#9654 tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
&#9654 tu peux fermer Ccleaner  

------  

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :  

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme 


------  

Mise à jour Windows (comble les failles de sécurité) :  

Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/thanks.aspx?ln=fr&&thankspage=5 

----- 

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp   
Tu clique sur vérifier ma version de java et tu accepte le téléchargement/installation si nouvelle version proposée 

&#9654 Désinstaller les anciennes versions de Java :   

&#9654 Télécharge JavaRa.zip   

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)   

&#9654 Double-clique sur le répertoire JavaRa obtenu.   

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher)   

&#9654 Clique sur Remove Older Versions.   

&#9654 Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.   

&#9654 Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse.   

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )   

&#9654 Tu peux fermer l'application    

&#9654 &#9654 Met à jour Adobe :  

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/ 
&#9654 &#9654 Décocher le scan Macàfric 

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr 

----- 

&#9654 &#9654 pour supprimer les outils de désinfection : 

&#9654 Télécharge Delfix sur ton bureau :  

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message  
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.  

------  

Tu peux garder Malwarebytes pour un scan de temps à autres  

-----  

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web  
Et celui ci, sur les logiciels gratuits à éviter  

------  

&#9654 &#9654 Pense à marquer le fil comme résolu   

------  

Si tu as d'autres questions, je t'écoute avec plaisir :) 

Prudence, bon surf ! :o) 

@+ 


 .::. Contributeur Sécurité .::.

Ordi Zombies...

14 réponses

Discussions similaires

Newsletters