Infection récalcitrante II Résolu/Fermé

Question

Bonjour, 

Toujours redevable de vos précieux services voici mon problème. Ayant désinfecté un ordinateur de mon parc informatique par une peste très puissante, je voudrais vérifier celui-ci.

Mon doute est d'autant plus grand car il a installé des mises à jour quand celles-ci étaient terminé...

Voici le rapport ZHPDiag;

http://www.cijoint.fr/cjlink.php?file=cj201106/cijcdTQjg1.txt

Merci de votre aide


Configuration: Windows XP / Firefox 5.0

Utilisateur anonyme · Answer

Bonsoir

Si tu désinfectes tout seul tu devrais savoir de débrouiller tout seul,non?

@+

EricJets · Answer

Non je me suis fait aidé par l'une des personnes ressources ici!

Gen Hackman

Utilisateur anonyme · Answer

Re

Quelles sont ces mises à jour installées?

@+

EricJets · Answer

Re;

Les mises à jours dont je doute sont des mises à jours au nombre de 5 qui se sont installé après avoir fait les mise à jours manuellement sur le site de Microsoft et qui me confirmait que j'étais à jour...

Les mise à jours dont je doute, se sont installées quand j'ai fermé l'ordinateur et dans la fenêtre de choix de fermeture; soit fermer sans installer les mises à jour ou fermer et installer les mise à jour...

Que dit le rapport de ZHPDIag?

EricJets · Answer

Nouveau développement;

Internet affreusement lent; les pages ne se chargent pas ou sans graphique juste du texte...

Je crois que je vais avoir besoin d'aide...

EricJets · Answer

UP

g3n-h@ckm@n · Answer

hello pour avancer :

desinstalle spybot

==========================

desactive ton antivirus
desactive Windows defender si présent
desactive ton pare-feu

Ferme toutes tes appilications en cours

telecharge et enregistre ceci sur ton bureau :

Pre_Scan

mirroir :

http://www.archive-host.com

s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

Avertissement: Il y aura une extinction courte du bureau --> pas de panique. 

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

si 'outil est bloqué par l'infection utilise cette version : Version .pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

 Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler 

Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

&#9654&#9654&#9654 NE LE POSTE PAS SUR LE FORUM (il est trop long)

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier ci-dessus.

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

EricJets · Answer

Merci Gen de ta patience!

Voici le rapport Pre-Scan;

http://www.cijoint.fr/cjlink.php?file=cj201106/cijnJ8OnyS.txt

J'attends tes recommandations

g3n-h@ckm@n · Answer

la sandbox de comodo est-elle desactivée ?

EricJets · Answer

Le sandbox à belle et bien été désactivé pour le scan.

Tu veux que je recommence?

g3n-h@ckm@n · Answer

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre 

ouvre Pre_script et colle ce qui suit en gras,  à l'interieur du texte qui s'ouvre ,  
sans les lignes , en une seule fois en le mettant en surbrillance  : 
___________________________________________________ 
Registry:: 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] 
"RTHDCPL"=- 

folder:: 
C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy     
C:\Program Files\Spybot - Search & Destroy     

Host::                                  
___________________________________________________ 

copie-le (ctrl+c ou clique droit sur la selection puis => copier) 

 puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte 

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille  

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail  
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

EricJets · Answer

Voici le rapport pre script;

http://www.cijoint.fr/cjlink.php?file=cj201106/cijKpv3Ons.txt

Merci

g3n-h@ckm@n · Answer

refais un scan zhpdiag , tout coché au tournevis ,  rapport hébergé

EricJets · Answer

Voici le rapport ZHPDiag;

http://www.cijoint.fr/cjlink.php?file=cj201106/cij7CGiDS0.txt

Merci

J'attends tes instructions!

g3n-h@ckm@n · Answer

fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

(NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

&#9654 Potasses le Tuto pour te familiariser avec le prg :


( cela dit, il est très simple d'utilisation ).

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

EricJets · Answer

Voici le rapport Malwarebytes;

http://www.cijoint.fr/cjlink.php?file=cj201107/cijKJrTyI2.txt

J'attends les nouvelles instructions!!!

g3n-h@ckm@n · Answer

tu as encore des soucis ?

EricJets · Answer

Tout semble bien fonctionner

Voici un rapport ZHPDiag;

http://www.cijoint.fr/cjlink.php?file=cj201107/cijUD7psEX.txt

Dit moi, je semble être la cible de quelqu'un...

Y'a t'il quelque chose que je peux faire pour fermer la porte à cette m...?

Merci!

g3n-h@ckm@n · Answer

explique en details ?

g3n-h@ckm@n · Answer

c'est quoi ce "truc ver" ?

g3n-h@ckm@n · Answer

fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

ouvre Pre_script et colle ce qui suit en gras,  à l'interieur du texte qui s'ouvre , 
sans les lignes , en une seule fois en le mettant en surbrillance  :
___________________________________________________
attrib::                                    
___________________________________________________

copie-le (ctrl+c ou clique droit sur la selection puis => copier)

 puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

EricJets · Answer

Voici le rapport;

http://www.cijoint.fr/cjlink.php?file=cj201107/cijcbTPJHq.txt

Merci de ton aide!

g3n-h@ckm@n · Answer

salut

super refais zhpdiag

EricJets · Answer

Voici le rapport ZHPDiag frais du jour;

http://www.cijoint.fr/cjlink.php?file=cj201107/cijZ5Aw03u.txt

J'attends la suite!!!

g3n-h@ckm@n · Answer

sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

HiddenFix  
O44 - LFC:[MD5.2F7CF574AFF8B8C68F838D8D39209604] - 2011-06-19 - 20:08:30 ---A- . (...) -- C:\WINDOWS\System32	mp.reg   [928]  
O44 - LFC:[MD5.D41D8CD98F00B204E9800998ECF8427E] - 2011-06-19 - 20:08:30 ---A- . (...) -- C:\WINDOWS\System32	mp.txt   [0]  

  
Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper ») 
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

EricJets · Answer

Le voici tout frais;

Rapport de ZHPFix 1.12.3332 par Nicolas Coolman, Update du 28/06/2011
Fichier d'export Registre : 
Run by Vitriole at 2011-07-01 11:39:34
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Fichier(s) ==========
SUPPRIME c:\windows\system32	mp.reg
SUPPRIME c:\windows\system32	mp.txt

========== Dossiers/Fichiers cachés restaurés ==========
Mes images (My Pictures) : 1 Restauré(s) avec succès
Ma musique (My Music) : 1 Restauré(s) avec succès
Ma Video (My Video) : 1 Restauré(s) avec succès
Mes Favoris (My Favorites) : 2 Restauré(s) avec succès
Mes Documents (My Documents) : 1 Restauré(s) avec succès
Mon Bureau (My Desktop) : 0
Menu demarrer (Programs) : 6 Restauré(s) avec succès
Dossier utilisateur (AppData) : 7 Restauré(s) avec succès
Programmes (Program Files) : 1 Restauré(s) avec succès


========== Récapitulatif ==========
2 : Fichier(s)
20 : Dossiers/Fichiers cachés restaurés


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt


End of the scan

g3n-h@ckm@n · Answer

on en est où des soucis ?

EricJets · Answer

Pour l'instant, l'ordinateur répond bien, latence très acceptable considèrent la configuration matérielle...

Voici un rapport ZHPDiag tout frais!

http://www.cijoint.fr/cjlink.php?file=cj201107/cijvK4mEKd.txt

Toujours attentif à tes consignes!

g3n-h@ckm@n · Answer

Pour nettoyer les outils utilsés et mieux sécuriser ton pc -------------------------------------------------------------- Je t'invite à suivre ce tutoriel pour le final il inclut ♦ du nettoyage après desinfection ♦ des mises à jour pour combler des failles de securité de logiciels importants non mis à jour ▶ et enfin quelques conseils à suivre afin que la protection soit plus efficace _________________________________________________ Telecharge ici : PureRa (par l'editeur de JavaRa) Lance-le (clic droit "executer en tant qu'administrateur" pour Vista/7) => Configuration clique sur "Clean" L'outil va faire son scan puis son nettoyage à la fin du rapport tu auras une ligne comme ca : Total space cleaned: 8140878 bytes transmets juste cette ligne , le reste importe peu __________________________________________________ Si nous avons utilisé Defogger et cliqué sur "disable" , tu peux le "reenable" __________________________________________________ ▶ Télécharge DelFix sur ton bureau. ▶ Lance le, tape suppression puis valide Patiente pendant le scan jusqu'à l'ouverture du rapport. ▶ Copie/Colle le contenu du rapport dans ta prochaine réponse. Note : Le rapport se trouve également sous C:\DelFix.txt tu peux le desinstaller ___________________________________________________ ▶ Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : * Lance-le.(clic droit "en tant qu'administrateur" pour Vista/7) => Configuration fais le nettoyage dans le registre et dans le nettoyeur autant de fois qu'il trouve des choses à l analyse __________________________________________________ Attention : ne pas toucher au PC pendant qu'il travaille ! ▶ Nettoyage et Défragmentation de tes Disques *Nettoyage : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Général" Cliques sur le bouton "nettoyage de disque", OK tu le fais pour chacun de tes disques ________________________________________________ *Vérifications des erreurs : Clic droit sur "poste de travail"(ordinateur pour vista) ==>"ouvrir" ==>clic droit sur le disque C ==>Propriétés ==>onglet "Outil" "Vérifier maintenant", une boîte s'ouvre, cocher les cases : -réparer automatiquement les erreurs... -rechercher et tenter une récupération... --->Démarrer, ok Note : s'il te dis de redémarrer ton Pc pour le faire , tu redémarres et tu laisses faire, cela prend un peu de temps c'est normal tu le fais pour chacun de tes disques ________________________________________________ ensuite toujours dans le même onglet tu choisis : *Défragmentation : "défragmenter maintenant", OK une boîte s'ouvre, tu sélectionnes le disque à défragmenter, et tu cliques sur "analyser", puis après l'analyse, "défragmenter" . OK tu le fais pour chacun de tes disques _______________________________________________ Note : si tu as un utilitaire pour défragmenter , utilises le à la place pour ce faire Defraggler est proposé _________________________________________________ ▶ Peux-tu vérifier ta Console Java ? : et installer la nouvelle version si besoin est. desinstalle les anciennes versions : voici pour desinstaller : JavaRa Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). * Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. * Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). * Choisis Français puis clique sur Select. * Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. * Ferme l'application. Note : tu peux supprimer son rapport dans C:\ sous le nom JavaRa.log. _________________________________________________ ▶ Mets à jour Adobe Reader si ce n'est pas le cas (désinstalle avant la version antérieure) et pense à decocher l'installation de McAfee proposée discrêtement __________________________________________________ ▶ Je te conseille si tu n en as pas , afin de mieux securiser ton pc , d'installer un parefeu : Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO https://www.commentcamarche.net/telecharger/securite/16545-online-armor-personal-firewall/ https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html https://forum.pcastuces.com/sujet.asp?f=25&s=35606 https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html https://manuelsdaide.com/contact/ http://www.open-files.com/forum/index.php?showtopic=29277 https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/ ___________________________________________________ ▶ Tu peux aussi vider ta corbeille,quoi que Ccleaner le fasse tout seul _____________________________________________________ ▶ Si nous avons utilisé MalwareByte's Anti-Malware , vide sa quarantaine : * Lance le programme puis clique sur . * Sélectionne tous les éléments puis clique sur . * Quitte le programme. ______________________________________________________ ▶ Idem pour ton antivirus : vide sa quarantaine si ce n'est pas déjà fait ______________________________________________________ ▶ Désactive et réactive la restauration de système, pour cela : suis les instructions du lien : Lien XP Lien Vista Lien Win7 ▶ Sitôt fait , recrées un point de restoration dit "sain" pour parer à quelques eventuels problêmes dans le futur ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Quelques conseils et recommandations pour l'avenir : ▶ Passe un coup de MalwareByte's Anti-Malware de temps en temps (1 fois par semaine , suivant l'utilisation que tu fais de ton PC. ▶ Utilise aussi tes autres logiciels de protection (scannes antivirus, antispywares...). N'oublie pas de faire les mises à jour avant de les utiliser. * Pense aussi à faire une défragmentation de tes disques durs de temps en temps (garde suffisamment d'espace sur C:\ (1/3 de libre pour être à l'aise)) _____________ ▶ Pour bien protéger ton PC : [1 seul Antivirus] + [1 seul Pare feu] + [Un bon Antispyware] + [Mises à Jour récentes Windows et Logiciels de Protection] + [Utilisation de Firefox -ou autres- (Internet Explorer présente des failles de sécurité qui mettent longtemps avant d'être corrigées mais il faut absolument le conserver pour les mises à jour Windows et Windows live Messenger)] Je te conseille d'installer cette extension pour Firefox pour securiser ton surf : WOT Je te conseille d'installer cette extension pour Internet Explorer pour securiser ton surf : WOT PS : En fait la meilleure des protections c'est toi même : ce que tu fais avec ton PC : où tu surfes, télécharges...ect.... Les virus utilisent les failles de ton PC pour infecter un système à lire aussi Et ceci sujet intéressant à lire : https://www.luanagames.com/index.fr.html ▶ dans le souhait de vouloir desinstaller un antivirus au profit d'un autre , voici quelques liens : Desinstaller Avast Desinstaller BitDefender Desinstaller Norton Desinstaller Kaspersky Desinstaller AVG ou tout en un : Désinstallation Antivirus , Parefeu , Antispyware _____________ ▶ Si tu as Vista n'oublie pas de réactiver le controle des comptes des utilisateurs(UAC) ___________ ▶ si nous avons affiché les fichiers cachés , n'oublies pas de les remettre en attribut "caché" ▶ Clique sur le menu Demarrer /Panneau de configuration/Options des dossiers/ puis dans l'onglet Affichage * - Décoche Afficher les fichiers et dossiers cachés * - coche Masquer les extensions des fichiers dont le type est connu * - coche Masquer les fichiers protégés du système d'exploitation (recommandé) ▶ clique sur Appliquer, puis OK. ____________ Voila, Bonne lecture, à bientot , une fois tout ceci fait, tu peux mettre le topic en resolu Bonne continuation et surtout , prudence et bon surf :)

EricJets · Answer

Voilà c'est fait!!!

Voici le rapport PureRa;

http://www.cijoint.fr/cjlink.php?file=cj201107/cijK0Fejrz.txt

Le rapport Delfix;

http://www.cijoint.fr/cjlink.php?file=cj201107/cijzbgKNCp.txt

Et j'ai 2 fichier qui se sont créé pendant les manip;

un batch Desktop, voici le contenu;

[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21787

Et un autre batch desktop;

[LocalizedFileNames]
Démarrer Internet Explorer.lnk=@xpsp1res.dll,-11003
Bureau.scf=@xpsp2res.dll,-6100

C'est quoi?

g3n-h@ckm@n · Answer

ce sont des fichiers syteme de configuration 

normalement ils sont cachés tu ne les vois pas

g3n-h@ckm@n · Answer

masquer les fichiers du systeme est cochée ?

g3n-h@ckm@n · Answer

supprime-les

g3n-h@ckm@n · Answer

y'a quoi dedans ?

g3n-h@ckm@n · Answer

supprime le desktop.ini qui se trouve dans c:\All users\application data\Microsoft\Windows\startmenu 

et dans  

 c:\all users\application data\Microsoft\Windows\menu demarrer\programmes\demarrage
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

fais une recherche de "menu démarrer"

g3n-h@ckm@n · Answer

non

il n'apparai plus au demarrage ?

g3n-h@ckm@n · Answer

OK bon ben si tout est regle on va ouvrir un nouveau topic pour 

infection récalcitrante III - La résurection ^^

Infection récalcitrante II

38 réponses

Discussions similaires