infection DybalomRésolu/Fermé

Question

Bonjour à tous! 

La messagerie d'une amie est envahie de publicités indésirables. 

Aussi j'ai scanné son PC (windows vista) avec Malwarebytes qui n'a rien détecté et avec antivir qui a détecté TR/PSW.Dybalom.jxe que j'ai mis en quarantaine.

Cette mise en quarantaine suffit-elle ou la "bête" est-elle tellement vicieuse qu'il faut analyser d'avantage le PC? Où pire, l'arbre cacherait-il une forêt ?

Merci d'avance pour tout conseil et aide car seule je ne suis pas capable de faire plus que ce que j'ai déjà fait.

Bleuet' · Answer

Salut,

****l'arbre cacherait-il une forêt ?****
On peut faire un diagnostic >
* Télécharge ZHPDiag >
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou >
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

/!\Il est très important de l'enregistrer sur le bureau / !\

Une icône apparaitra alors sur le bureau.
Ouvrir le fichier, (clic droit exécuter en tant qu'administrateur pour Vista/W 7) pour lancer le programme d'assistant d'installation.
Installer le avec les paramètres par défaut sans oublier de cocher la case "Créer une icône sur le bureau"
Lancement et diagnostic :
En même temps que ZHPDiag, sont créés les icônes de ZHPFix et MBRCheck qui peuvent être utilisés.
[*] Cliquer alors sur la loupe pour lancer le diagnostic.
Patientez jusqu'à la fin de l'analyse. Il peut arriver que le logiciel donne l'impression d'être bloqué ; patienter.
En cas de blocage sur la section O80, cliquer sur le tournevis pour le décocher.
[*] Le diagnostic terminé,sauvegarder le rapport sur le Bureau en cliquant sur la disquette bleue.
[*] Enregistrer le rapport sur le bureau.
Héberger comme suit (le rapport risque d'être très long)  avec https://www.cjoint.com/
---

archedenoe · Answer

Merci pour ta réponse !
Je m'en occupe ce soir où je repasserai chez cette amie. Tu pourras continuer à suivre dans la soirée ou demain pour me guider ? Je retournerai autant de fois que nécessaire chez cette amie, le soir après le boulot, pour finir le nettoyage.
Encore merci et @+

archedenoe · Answer

Bonsoir,

J'ai suivi tes recommandations. 
Ci-joint le lien pour accéder au rapport. Merci infiniment pour ton aide et ton éclairage.
https://www.cjoint.com/?AKqvzbqGvsN
A très bientôt.

Bleuet' · Answer

Re, Des infections PUP, adwares divers, suspicion d'un "rogue". *Télécharger sur le bureau RogueKiller https://www.luanagames.com/index.fr.html [*]Renommer Roguekiller en "Winlogon.exe" [*]Quitter tous tes programmes en cours [*]Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur [*]Entrer le choix 1 "Recherche" et valider par [Entrée]. [*]Un rapport (RKreport.txt)a du se créer sur le bureau. [*]Copier/coller le lien rapport avec https://www.cjoint.com/ * Note : Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois. TUTO > https://www.commentcamarche.net/faq/5993-modifier-son-fichier-hosts#restaurer-le-fichier-hosts-a-son-etat-d-origine ------- * Télécharges AdwCleaner de Xplode compatible Windows XP/Vista/7 32 et 64 bits. http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner Option "Suppression": [*]/!\ Fermer les navigateurs /!\ [*] Lancer Adwcleaner pour Windows 7: lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur [*]Sur la page, cliques sur le bouton Suppression [*]Accepter l'avertissement qui suit [*]Laisser travailler l'outil [*] Poster le lien du rapport qui apparait à la fin par https://www.cjoint.com/ . [*]Clic sur Quitter Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt [*] Copier/coller le rapport C:\AdwCleaner[S1].txt par lien copié/collé avec https://www.cjoint.com/ ----- *Télécharge AD-Remover (de C_XX) sur le bureau. https://www.commentcamarche.net/telecharger/securite/2547-ad-remover/ Phase 1 Rercherche : / ! \ Déconnecte toi et ferme toutes les applications en cours / ! \ [*]Désactive l'UAC ( si Vista, Windows 7) [*]Désactive le Team-Timer de Spybot S&D (si installé) [*]Double-clique sur l'icône AD-Remover [*]Au menu principal, clique sur "Scanner" [*]Confirme le lancement de l'analyse et laisse l'outil travailler [*]Poste le lien du rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-SCAN.txt ) avec https://www.cjoint.com/ (CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) ------- * Relance malwarebytes pour faire une analyse en ayant mis à jour avant la version et la base de données. Accepter les suppressions éventuelles. Joindre le rapport. ------- * copier/coller tous les rapport par liens avec https://www.cjoint.com/ ------- ;)

archedenoe · Answer

Re,

Pour commencer ci-joint le rapport Roguekiller :
https://www.cjoint.com/?AKqwEKbwoFQ 

J'avance à petit pas ... ;-)

archedenoe · Answer

up.

Quelqu'un peut-il regarder les résultats des analyses ?
Merci d'avance.

Lyonnais92 · Answer

Bonsoir,

pour avancer Bleuet,

fais redémarrer l'ordi et relance ZHPDiag.

Clique sur la flèche verte.

Télécharge et installe la nouvelle version.

Relance ZHPDiag et poste le rapport dans un lien.

archedenoe · Answer

Bonsoir, merci à Lyonnais92 d'avoir répondu et toutes mes excuses de ne pas avoir pu continuer avant ce soir.

Ci-après le lien où se trouve le nouveau rapport.
https://www.cjoint.com/?AKvvXAoUMUw

Merci encore pour l'aide


PS1: toujours une trentaine de messages de pub par jour sur la messagerie
PS2 : je reprends la suite demain soir

Bonne nuit à tous :-)

archedenoe · Answer

bonjour,
Quelqu'un peut continuer à prendre le relai en attendant que Bleuet (ou Lyonnais92) soit disponible ? Je pense repasser ce WE chez cette amie pour continuer/finir le nettoyage. 

Merci d'avance pour toute aide :-)

archedenoe · Answer

bonjour à tous
up

Lyonnais92 · Answer

Bonsoir,

on continue comme ça :

 
Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
O43 - CFD: 20/03/2010 - 14:24:16 - [22] ----D- C:\Users\liliane\AppData\Roaming\Desktopicon
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer]
C:\Users\liliane\AppData\Roaming\Desktopicon
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (...) (No version) -- (.not file.)
O4 - HKLM\..\Run: [hpqSRMon] Clé orpheline
O4 - Global Startup: C:\Users\liliane\Desktop\Corbeille.lnk - Clé orpheline
O4 - Global Startup: C:\Users\liliane\Desktop\Ordinateur.lnk - Clé orpheline



Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7  : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.
 
===

Tu fais redémarrer l'ordi et tu fais le point sur tes soucis.

archedenoe · Answer

Bonsoir Lyonnais!
Merci d'être venu à notre secours...

Voici le rapport obtenu :

Rapport de ZHPFix 1.12.3371 par Nicolas Coolman, Update du 18/11/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-26-11-2011-21-10-18.txt
Run by liliane at 26/11/2011 21:10:17
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer

========== Valeur(s) du Registre ==========
SUPPRIME URLSearchHook: {EF99BD32-C1FB-11D2-892F-0090271D4F88}
SUPPRIME RunValue: hpqSRMon

========== Elément(s) de donnée du Registre ==========
SUPPRIME PhishingFilter Value: Enabled = 0

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\liliane\AppData\Roaming\Desktopicon

========== Fichier(s) ==========
ABSENT Folder/File: c:\users\liliane\appdata\roaming\desktopicon
SUPPRIME File: c:\users\liliane\desktop\corbeille.lnk
SUPPRIME File: c:\users\liliane\desktop\ordinateur.lnk


========== Récapitulatif ==========
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
1 : Elément(s) de donnée du Registre
1 : Dossier(s)
3 : Fichier(s)


End of clean in 00mn 01s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 26/11/2011 21:10:17 [1230]


Je redémarre l'ordi et reviens sur le forum après être allé jeter les dernières pub dans la messagerie dans la rubrique indésirables.
@+ et merci encore :-)

Lyonnais92 · Answer

Re,

les messages, tu ne pourras pas faire grand chose d'autre que de les mettre dans le courrier indésirable.

archedenoe · Answer

Y a t'il encore quelque chose à faire ?

Si non, je désinstalle les programmes installés pour l'analyse et la désinfection et mets le topic en résolu.

Merci infiniment pour ton aide (de même que celle des autres contributeurs éclairés) qui fait de Commentçamarche un lieu d'entraide et d'échange convivial et très précieux.

Lyonnais92 · Answer

Re,

tu refais tourner ZHPDiag et tu postes le rapport dans un lien pjjoint.

C'est le rapport qui me dira si il y a encore des choses à faire.

archedenoe · Answer

Voilà le lien pour le rapport d'un nouveau diagnostic ZHPDiag:
https://www.cjoint.com/?AKAwqUIZu9X 

Une fois de plus merci...

Lyonnais92 · Answer

Re,

l'ordi démarre en mode sans échec ?

Relance AdwCleaner et choisis l'option de désinstallation.

Si l'ordi démarre  en mode sans échec, reviens en mode normal.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

archedenoe · Answer

Bonsoir,

L'ordi démarre normalement.
J'ai suivi tes directives. Que dois-je faire d'autre encore (demain soir car ce soir je n'ai plus le temps)?

Encore un merci de plus... :-)
et bonne nuit!

Lyonnais92 · Answer

Bonsoir,

tu as vérifié que l'ordi démarrait en mode sans échec ? (j'ai besoin de vérifier ce point).

Si c'est le cas on en a terminé.

Sinon, il y aura une petite manip à faire.

archedenoe · Answer

Bonsoir Le Lyonnais!

tu as vérifié que l'ordi démarrait en mode sans échec ? 

Je ne pense pas (le démarrage en mode sans échec sur mon ordi XP n'a pas cette tête), raison pour laquelle j'ai indiqué que l'ordi démarrait normalement (je voulais dire en mode normal).
Comment puis-je en être sûre sur Vista ? (il n'y a pas de connexion internet, il me semble, non, en mode sans échec ?).

en te remerciant encore (pas très original mais ô combien sincère!)
@+

Lyonnais92 · Answer

Re,

je ne veux rien te faire faire en mode sans échec.

Je veux simplement que tu essayes de démarrer (ça peut prendre 30 mn) et que tu reviennes me donner le résultat en mode normal.

archedenoe · Answer

Re,

J'ai mis un moment pour comprendre ce que tu attendais... 
pas très douée la fille ;-S

J'ai donc démarré l'ordi en mode sans échec. Je n'ai pas vu de problème particulier.

Par contre au redémarrage en mode normal, la barre de lancement rapide a changé de couleur (blanche au lieu de la couleur bleue initiale) et la bande verticale, à droite de l'écran, qui contient les gadgets, est également blanche (et non plus translucide et sombre)...

Est-ce possible de revenir à la présentation antérieure ?

@+

Lyonnais92 · Answer

Bonsoir,

redémarre à nouveau en mode normal.

Le problème est toujours le même ?

archedenoe · Answer

Hello, 

Toutes mes excuses pour le peu de réactivité. Un peu surbookée ces temps-ci et le soir je ne tiens pas trop le coup...  

Oui. Le problème subsiste. 


"Ce qui est passé a fui ; ce que tu espères est absent ; mais le présent est à toi." 

Sagesse arabe

archedenoe · Answer

Euréka! J'ai trouvé. Par le biais du réglage des apparences sur le bureau, j'ai pu reconfigurer comme avant.

On a fini alors ? J'attends ton feu vert pour mettre le topic en résolu.

Encore un grand merci pour tout
@+

Lyonnais92 · Answer

Bonsoir,

tu peux mettre en résolu.

De rien pour l'aide, ce fut avec plaisir.

archedenoe · Answer

Merci !
Bon WE à toi ...

Lyonnais92 · Answer

Bonjour,

à toi aussi.

Infection Dybalom

28 réponses

Discussions similaires

Newsletters