Infection récalcitrante II

Résolu
EricJets Messages postés 182 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

Toujours redevable de vos précieux services voici mon problème. Ayant désinfecté un ordinateur de mon parc informatique par une peste très puissante, je voudrais vérifier celui-ci.

Mon doute est d'autant plus grand car il a installé des mises à jour quand celles-ci étaient terminé...

Voici le rapport ZHPDiag;

http://www.cijoint.fr/cjlink.php?file=cj201106/cijcdTQjg1.txt

Merci de votre aide

38 réponses

  • 1
  • 2
Résumé de la discussion

Suite à une désinfection d'un PC Windows XP, le doute persiste sur la présence d'éléments malveillants après une installation supposée de mises à jour lors de la fermeture, et un rapport ZHPDiag est fourni pour analyse. Plusieurs éléments de solution sont proposés, notamment relancer ZHPDiag et interpréter les rapports Pre_scan et résultats, nettoyer les éléments indésirables avec ZHPFix et effectuer un nettoyage système à l'aide d'outils de sécurité. Une précision utile rappelle que certains dossiers et fichiers de configuration peuvent être cachés ou présents sous des noms inhabituels, et qu'il faut vérifier les résultats avec prudence avant tout nettoyage durable.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Utilisateur anonyme
     
    Bonsoir

    Si tu désinfectes tout seul tu devrais savoir de débrouiller tout seul,non?

    @+
    0
  2. EricJets Messages postés 182 Statut Membre
     
    Non je me suis fait aidé par l'une des personnes ressources ici!

    Gen Hackman
    0
  3. Utilisateur anonyme
     
    Re

    Quelles sont ces mises à jour installées?

    @+
    0
  4. EricJets Messages postés 182 Statut Membre
     
    Re;

    Les mises à jours dont je doute sont des mises à jours au nombre de 5 qui se sont installé après avoir fait les mise à jours manuellement sur le site de Microsoft et qui me confirmait que j'étais à jour...

    Les mise à jours dont je doute, se sont installées quand j'ai fermé l'ordinateur et dans la fenêtre de choix de fermeture; soit fermer sans installer les mises à jour ou fermer et installer les mise à jour...

    Que dit le rapport de ZHPDIag?
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. EricJets Messages postés 182 Statut Membre
     
    Nouveau développement;

    Internet affreusement lent; les pages ne se chargent pas ou sans graphique juste du texte...

    Je crois que je vais avoir besoin d'aide...
    0
    1. EricJets Messages postés 182 Statut Membre
       
      Eee alors je fais quoi??? Est-ce que je peux avoir un avis?
      0
  7. EricJets Messages postés 182 Statut Membre
     
    UP
    0
  8. g3n-h@ckm@n
     
    hello pour avancer :

    desinstalle spybot

    ==========================

    desactive ton antivirus
    desactive Windows defender si présent
    desactive ton pare-feu

    Ferme toutes tes appilications en cours

    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    mirroir :

    http://www.archive-host.com

    s'il n'est pas sur ton bureau coupe-le de ton dossier telechargements et colle-le sur ton bureau

    Avertissement: Il y aura une extinction courte du bureau --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan.txt" sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    si l'outil semble ne pas avoir fonctionné renomme-le winlogon , ou change son extension en .com ou .scr

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan.txt qui apparaitra sur le bureau en fin de scan

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier ci-dessus.

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Copie ce lien dans ta réponse.
    0
  9. EricJets Messages postés 182 Statut Membre
     
    Merci Gen de ta patience!

    Voici le rapport Pre-Scan;

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijnJ8OnyS.txt

    J'attends tes recommandations
    0
  10. g3n-h@ckm@n
     
    la sandbox de comodo est-elle desactivée ?
    0
  11. EricJets Messages postés 182 Statut Membre
     
    Le sandbox à belle et bien été désactivé pour le scan.

    Tu veux que je recommence?
    0
  12. g3n-h@ckm@n
     
    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    ouvre Pre_script et colle ce qui suit en gras, à l'interieur du texte qui s'ouvre ,
    sans les lignes , en une seule fois en le mettant en surbrillance :
    ___________________________________________________
    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "RTHDCPL"=-

    folder::
    C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    C:\Program Files\Spybot - Search & Destroy

    Host::

    ___________________________________________________

    copie-le (ctrl+c ou clique droit sur la selection puis => copier)

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  13. EricJets Messages postés 182 Statut Membre
     
    Voici le rapport pre script;

    http://www.cijoint.fr/cjlink.php?file=cj201106/cijKpv3Ons.txt

    Merci
    0
  14. g3n-h@ckm@n
     
    refais un scan zhpdiag , tout coché au tournevis , rapport hébergé
    0
  15. EricJets Messages postés 182 Statut Membre
     
    Voici le rapport ZHPDiag;

    http://www.cijoint.fr/cjlink.php?file=cj201106/cij7CGiDS0.txt

    Merci

    J'attends tes instructions!
    0
  16. g3n-h@ckm@n
     
    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    (NB : Si tu as un message d'erreur t'indiquant qu'il te manque "COMCTL32.OCX" lors de l'installe, alors télécharge le ici : COMCTL32.OCX

    ▶ Potasses le Tuto pour te familiariser avec le prg :

    ( cela dit, il est très simple d'utilisation ).

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  17. EricJets Messages postés 182 Statut Membre
     
    Voici le rapport Malwarebytes;

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijKJrTyI2.txt

    J'attends les nouvelles instructions!!!
    0
  18. EricJets Messages postés 182 Statut Membre
     
    Tout semble bien fonctionner

    Voici un rapport ZHPDiag;

    http://www.cijoint.fr/cjlink.php?file=cj201107/cijUD7psEX.txt

    Dit moi, je semble être la cible de quelqu'un...

    Y'a t'il quelque chose que je peux faire pour fermer la porte à cette m...?

    Merci!
    0
  19. g3n-h@ckm@n
     
    explique en details ?
    0
    1. EricJets Messages postés 182 Statut Membre
       
      Et bien ça fait bientôt 8 mois que je me fais attaquer par ce truc ver qui ne veut pas me lâcher. J'avais fait une première désinfection avec un des helper ici après la période des fêtes et ça revenu.

      Je ne sais pas si c'est un trojan ou un ver.

      Ça semble être un ver car il va d'un ordi à l'autre.

      Pourtant aucun ordi est accessible par l'autre, seulement le routeur mais présentement juste un ordi à la fois sur le routeur...
      0
  20. g3n-h@ckm@n
     
    c'est quoi ce "truc ver" ?
    0
    1. EricJets Messages postés 182 Statut Membre
       
      Un ver informatique...
      Je ne le connais pas peut-être toi par les rapports tu pourrais m'en dire plus?
      0
    2. EricJets Messages postés 182 Statut Membre
       
      Dois-je faire autre trucs sur l'ordinateur que nous traitons présentement?
      0
    3. g3n-h@ckm@n
       
      tu as des symptomes de sa présence ?
      0
    4. EricJets Messages postés 182 Statut Membre
       
      Pour l'instant non, sur les 2 machines que nous avons nettoyé.
      La première machine a des problèmes avec Firefox mais je crois que je devrai faire une réinitialisation. Mais je vais attendre que tous mon matériel soit propre avant de procéder.

      La deuxième machine semble bien fonctionner. Il nous restera sans doute à faire un delfix.

      L'infection semble toujours venir d'une mise à jours bidon de Microsoft... Assez vicieux comme trucs. Je n'ai malheureusement pas de preuves tangibles. Je veux éventuellement suivre une formation pour devenir un des vôtres... Je suis présentement en formation en gestion réseau...
      0
  • 1
  • 2