Ordi infecté comment faire ?!?

Résolu
stella -  
 stella -
Bonjour,
je viens de récup un ordi et en fesant une analyse je me suis apreçu qu'il était infesté de virus...il rame et j'ai enormement de beug...je voulais le jeter mais je tente une derniere fois de me debarasser de tt çà, pourriez vous me donner la marche à suivre svp ??? un graaaand merci ;)

2 réponses

  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, postes un diagnostique en faisant un zhpdiag , merci

    Ouvre ce lien et télécharge ZHPDiag :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    cliques sur télécharger "celui du bas"

    ou directement ici: ftp://zebulon.fr/ZHPDiag2.exe

    Enregistres le sur ton Bureau.

    Une fois le téléchargement achevé

    pour XP, double-clique sur ZHPDiag

    pour Vista,et seven tu fais un clic droit sur l'icône et exécute en tant qu'administrateur.

    N'oublies pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

    /|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

    Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

    Cliques sur la loupe pour lancer l'analyse.

    si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

    Laisses l'outil travailler, il peut être assez long

    A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

    Fermes ZHPDiag en fin d'analyse.

    Pour me le transmettre clique sur ce lien :

    https://www.cjoint.com/

    Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

    ou directement en choisissant bureau et ZHPDiag.txt clique dessus

    Clique sur Ouvrir.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    et si problème passe par celui ci : http://pjjoint.malekal.com/
    0
  2. stella
     
    merci beaucoup...j'ai suivi au mieux je sais pas si j'ai tt bien fait... http://cjoint.com/?AKtmx28ca5W
    0
    1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      bonjour, il faudra voir à fiare la mise à jour de windows et autre !!

      pour nettoyer le pc tu fais ce qui suit et on refais un point avec un nouveau zhpdiag !!

      1) passes usbfix mode SUPPRESSION




      Télécharge USBFIX sur ton bureau

      http://www.teamxscript.org/usbfixTelechargement.html

      ou ici

      http://eldesaparecido.com/tools/UsbFix.exe

      /!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir

      * Double clic sur le raccourci UsbFix présent sur ton bureau .
      * Choisis l'option 2 ( Suppression )

      * Laisse travailler l'outil.

      * Ensuite post le rapport UsbFix.txt qui apparaîtra.

      * Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt )

      ( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller )

      * Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
      Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.


      * Tuto : http://pagesperso-orange.fr/nostools/tuto_usbfix2.html


      2) passes ad-remover mode NETTOYER

      Déactives ton anti-virus et anti-spyware le temps du scan

      Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
      Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
      Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.


      Télécharge Ad-Remover sur ton bureau: (Merci à l'équipe TeamXscript)

      http://www.teamxscript.org/adremoverTelechargement.html
      ou
      http://security-domain.be/download/telech.php?id=3
      ou
      https://www.androidworld.fr/



      /!\ Ferme toutes tes applications ouvertes. /!\

      Double clique sur le fichier que tu viens de télécharger, à l'écran qui apparait, clique sur "Nettoyer".
      Laisse travailler l'outil.
      Poste le rapport qui s'affiche à l'écran quand l'analyse est terminée.



      ( Le rapport est sauvegardé sous C:\Ad-report-clean.log )





      2) passes Adw-Cleaner modes SUPPRESSION

      Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
      Lance le, clique sur [Suppression] puis patiente le temps du scan.
      Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

      Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt



      3) postes un nouveau zhpdiag pour contrôle

      Double cliques sur le raccourci ZHPDiag sur ton Bureau pour XP sinon clique droit et en tant que administrateur !!

      Cliques sur la loupe pour lancer l'analyse.

      si tu as un message te demandant la validation pour SIGCHECK acceptes avec OK cela est pour nous faire un rapport plus complet et pouvoir en faire une lecture plus approfondis

      Laisses l'outil travailler, il peut être assez long

      A la fin de l'analyse,clique sur l'appareil photo et enregistre le rapport sur ton Bureau.


      Fermes ZHPDiag en fin d'analyse.


      Pour me le transmettre clique sur ce lien :

      https://www.cjoint.com/


      Clique sur Parcourir et cherche le fichier C:\Documents and settings\le_nom_de_ta_session\bureau\.ZHPDiag.txt

      ou directement en choisissant bureau et ZHPDiag.txt clique dessus

      Clique sur Ouvrir.

      Clique sur "Cliquez ici pour déposer le fichier".

      Un lien de cette forme :

      http://www.cijoint.fr/cjlink.php?file=cj200905/cib7SU.txt

      est ajouté dans la page.

      Copie ce lien dans ta réponse.


      et si problème passe par celui ci : http://pjjoint.malekal.com/
      0
    2. stella
       
      http://cjoint.com/?AKtpdgCFl29
      0
    3. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      salut as tu fais cela :
      1) passes usbfix mode SUPPRESSION
      2) passes ad-remover mode NETTOYER
      3) passes Adw-Cleaner modes SUPPRESSION

      car j'ai pas vu les rapport ???
      0
    4. stella
       
      bonjour. oui j'ai tt fait mais je n'ai pas reussi à les mettre sur le forum...ds le messag il me dise que je n'ai pas marqué de titre çà me bloque jcomprend pas !!!
      0
    5. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
       
      même en les passant apr cijoint ou autre pas possible d'avoir le lien ????

      bon tu fais zhpfix comme expliqué tu me postes le rapport et puis tu nous dira comment il va le pc après un redémarrage !!!

      . Copie les lignes suivantes en GRAS entre les deux lignes


      __________________________________________________________


      OPT:O4 - HKLM\..\Run: [PHIME2002ASync] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
      OPT:O4 - HKLM\..\Run: [PHIME2002A] . (.Microsoft Corporation - ???????? 2002a.) -- C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe
      OPT:O4 - HKLM\..\Run: [SoundMAX] . (.Analog Devices, Inc. - SoundMAX Control Center.) -- C:\Program Files\Analog Devices\SoundMAX\Smax4.exe
      OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Computer, Inc. - Pas de description.) -- C:\Program Files\QuickTime\qttask.exe
      OPT:O4 - HKLM\..\Run: [TkBellExe] . (.RealNetworks, Inc. - RealNetworks Scheduler.) -- C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
      OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
      OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
      OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
      OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
      OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
      OPT:O4 - HKUS\S-1-5-21-3451913998-68730557-1217576859-1006\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
      [HKLM\Software\BrowserChoice]
      [HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified => Infection Diverse (Disabled.SecurityCenter)
      O51 - MPSK:{ac9041fe-cfaa-11de-867e-0015f24b8e8e}\AutoRun\command. (...) -- E:\9u.exe (.not file.) => Infection USB (Trojan.USB)
      SysRestore
      FirewallRAZ
      EmptyFlash
      EmptyTemp



      ___________________________________________________________________



      . Lance ZHPFix de Nicolas Coolman qui se trouve sur ton bureau
      . Pour XP, double-clique sur ZHPFix
      . pour Vista et seven, faire un clic droit sur l'icône et exécute en tant qu'administrateur.
      . Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

      Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

      Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

      PS: si rien ne se colle clique sur l'icône en haut sur gauche celui juste à côté de l'appareil photos " coller le presse papier"

      !! Déconnecte toi, désactive tes défenses (anti-virus, anti-spyware ) et ferme bien toutes autres applications ( navigateurs compris ) !!



      . cliques sur OK
      . Clique sur « Tous », puis sur « Nettoyer »
      . Copie/colle la totalité du rapport dans ta prochaine réponse
      tu le trouveras dans le dossier de zhpdiag dans program files sous le nom de ZHPFixReport
      0