Infection Smart HDD Résolu/Fermé

Question

Bonjour, En lancant mon pc, j'ai la mauvaise surprise de constater que je suis infecté par Smart HDD, (merci à mon fils qui fait nawak en croyant tout savoir pfffff) bref j'ai pu voir cela car mon fond d'écran à disparu, idem pour la liste des programmes du menu démarrer, j'ai des boites de dialogue qui me disent que j'ai des erreurs et smart hdd qui se lance...bref Google étant mon ami il ne m'a fallut que 2 clics pour constater l'évidence... Que faire ? Première étape je reboot et passage en mode sans échec puis je télécharge RogueKiller, pré-scan et scan voici le rapport ci-dessous : RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: David [Droits d'admin] Mode: Recherche -- Date: 30/03/2012 15:51:36 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 22 ¤¤¤ [SUSP PATH] HKLM\[...]\Wow6432Node\Run : LurGImdondG.exe (C:\ProgramData\LurGImdondG.exe) -> FOUND [PROXY IE] HKCU\[...]\Internet Settings : ProxyServer (:) -> FOUND [HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND [WallPP] HKCU\[...]\Desktop : Wallpaper () -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> FOUND [HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> FOUND ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 genuine.microsoft.com 127.0.0.1 mpa.one.microsoft.com 127.0.0.1 sa.windows.com 127.0.0.1 se.windows.com 127.0.0.1 ie.search.msn.com 127.0.0.1 wustat.windows.com 127.0.0.1 wutrack.windows.com 127.0.0.1 catalog.microsoft.com 127.0.0.1 sls.microsoft.com 127.0.0.1 activate.adobe.com 127.0.0.1 practivate.adobe.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: MAXTOR STM3500320AS ATA Device +++++ --- User --- [MBR] 8cf74132891cf87db5f486ae3fdaa376 [BSP] 6407f11525eeb761134229079afd9242 : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 226047 Mo 1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 462945105 | Size: 250890 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[1].txt >> RKreport[1].txt ====================================================== J'en fait de même avec HiJackThis dont voici le rapport : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:59:50, on 30/03/2012 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Safe mode with network support Running processes: C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe c:\windows\SysWOW64\notepad.exe C:\Program Files (x86)\Trend Micro\HijackThis\hijackthis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.cherche.us/keyword/%s R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2613520 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = : R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:9421;192.168.*.*; R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: pdfforge Toolbar - {B922D405-6D13-4A2B-AE89-08A030DA4402} - C:\Program Files (x86)\pdfforge Toolbar\IE\4.4\pdfforgeToolbarIE.dll R3 - URLSearchHook: Protection ZoneAlarm Toolbar - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} - C:\Program Files (x86)\Protection_ZoneAlarm\prxtbProt.dll O2 - BHO: IDM Helper - {0055C089-8582-441B-A0BF-17B458C2A3A8} - C:\Program Files (x86)\Internet Download Manager\IDMIECC.dll O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Program Files (x86)\Adobe\Adobe Contribute CS5\Plugins\IEPlugin\contributeieplugin.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Increase performance and video formats for your HTML5

Utilisateur anonyme · Answer

bonjour,

 ferme tous les programmes en cours,


relance roguekiller,


clique sur Supprimer,

poste son rapport !

JeanPierrePapin · Answer

merci Electricien 69 pour ta réponse rapide ;-) voici le rapport comme demandé avec tous les programmes fermés : RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: David [Droits d'admin] Mode: Suppression -- Date: 30/03/2012 16:20:51 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Entrees de registre: 22 ¤¤¤ [SUSP PATH] HKLM\[...]\Wow6432Node\Run : LurGImdondG.exe (C:\ProgramData\LurGImdondG.exe) -> DELETED [SUSP PATH] HKLM\[...]\Wow6432Node\RunOnce : InnoSetupRegFile.0000000001 ("C:\Windows\is-5BQF5.exe" /REG /REGSVRMODE) -> DELETED [HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1) [WallPP] HKCU\[...]\Desktop : Wallpaper () -> REPLACED (C:\Users\David\AppData\Roaming\Microsoft\Windows\Themes\TranscodedWallpaper.jpg) [HJ] HKCU\[...]\Advanced : Start_ShowMyComputer (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowSearch (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyDocs (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowUser (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyPics (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowControlPanel (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowHelp (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowRun (0) -> REPLACED (1) [HJ] HKCU\[...]\Advanced : Start_ShowSetProgramAccessAndDefaults (0) -> REPLACED (1) [HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REPLACED (0) [HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REPLACED (0) [HJ] HKCU\[...]\ClassicStartMenu : {645FF040-5081-101B-9F08-00AA002F954E} (1) -> REPLACED (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ 127.0.0.1 genuine.microsoft.com 127.0.0.1 mpa.one.microsoft.com 127.0.0.1 sa.windows.com 127.0.0.1 se.windows.com 127.0.0.1 ie.search.msn.com 127.0.0.1 wustat.windows.com 127.0.0.1 wutrack.windows.com 127.0.0.1 catalog.microsoft.com 127.0.0.1 sls.microsoft.com 127.0.0.1 activate.adobe.com 127.0.0.1 practivate.adobe.com [...] ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: MAXTOR STM3500320AS ATA Device +++++ --- User --- [MBR] 8cf74132891cf87db5f486ae3fdaa376 [BSP] 6407f11525eeb761134229079afd9242 : Windows 7 MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 226047 Mo 1 - [XXXXXX] EXTEN-LBA (0x0f) [VISIBLE] Offset (sectors): 462945105 | Size: 250890 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[4].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

Utilisateur anonyme · Answer

relance Roguekiller,

[*] Cliquer sur Racc. RAZ. Cliquer sur Rapport et copier coller le contenu du notepad

JeanPierrePapin · Answer

voici le rapport : RogueKiller V7.3.2 [20/03/2012] par Tigzy mail: tigzyRKgmailcom Remontees: https://www.luanagames.com/index.fr.html Blog: http://tigzyrk.blogspot.com Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version Demarrage : Mode sans echec avec prise en charge reseau Utilisateur: David [Droits d'admin] Mode: Raccourcis RAZ -- Date: 30/03/2012 16:38:08 ¤¤¤ Processus malicieux: 0 ¤¤¤ ¤¤¤ Driver: [NON CHARGE] ¤¤¤ ¤¤¤ Attributs de fichiers restaures: ¤¤¤ Bureau: Success 0 / Fail 0 Lancement rapide: Success 0 / Fail 0 Programmes: Success 0 / Fail 0 Menu demarrer: Success 0 / Fail 0 Dossier utilisateur: Success 38076 / Fail 0 Mes documents: Success 0 / Fail 0 Mes favoris: Success 0 / Fail 0 Mes images: Success 0 / Fail 0 Ma musique: Success 0 / Fail 0 Mes videos: Success 0 / Fail 0 Disques locaux: Success 201799 / Fail 0 Sauvegarde: [FOUND] Success 0 / Fail 536 Lecteurs: [C:] \Device\HarddiskVolume1 -- 0x3 --> Restored [D:] \Device\HarddiskVolume2 -- 0x3 --> Restored [E:] \Device\HarddiskVolume3 -- 0x3 --> Restored [F:] \Device\CdRom0 -- 0x5 --> Skipped [G:] \Device\CdRom1 -- 0x5 --> Skipped ¤¤¤ Infection : Rogue.FakeHDD ¤¤¤ Termine : << RKreport[5].txt >> RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt

JeanPierrePapin · Answer

pour info mon bureau à retrouvé ses raccourcis ainsi que le menu démarrer (enfin dans en mode sans échec hein après à voir en lançant ma session normalement...)

Utilisateur anonyme · Answer

redémarre ton pc en mode normal,


* Télécharge ZHPDiag sur ton bureau :
	

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
ou 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
ou 
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
 
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

ou :
http://dl.free.fr
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou : 
https://www.terafiles.net/


tuto zhpdiag : 
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

JeanPierrePapin · Answer

Désolé de ma réponse tardive (vive les vendredis jour de courses...)

J'ai donc procédé au download, installation et lancement en tant qu'admin' puis diagnostic et voici enfin le rapport hébergé sur CJoint.com que tu peux retrouver ici https://www.cjoint.com/?BCEtQASfB5K 


ah oui pour info je précisé que j'avais retrouvé (certains de) mes raccourcis sur mon bureau ainsi que dans mon menu Démarrer mais dans ma barre de taches c'est le vide total si ça peu aider...

Utilisateur anonyme · Answer

tu as une version non officielle de windows !

ceci rend le nettoyage de ton pc délicat !


installe la version 31 de java et la version 10 X de Adobe reader sur ton pc,

désinstalle les anciennes versions de java de ton pc !


évite d'installes des barres d'outils sur ton pc !



?	Télécharger et enregistre ADWcleaner sur ton bureau (Merci à Xplode) :

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner


Lance le, 
clique sur Supprimer et poste son rapport.

JeanPierrePapin · Answer

ok je fait ça de suite et te tiens informé, je viens de voir qu'un dossier nommé ProgramData a était créé contenant des dossiers portant le nom de mes programmes qui contiennent eux même des fichiers .dat et d'autres... 

je n'avais pas ça au par avant est-ce normal ? 

qu'est ce qui à fait ça ? et que dois-je en faire ? 

wahouuuu mais c'est fou ça :-/

Utilisateur anonyme · Answer

le dossier programm data est normalement en fichier caché !


https://forums.commentcamarche.net/forum/affich-24825971-infection-smart-hdd#8

JeanPierrePapin · Answer

voici le rapport :

http://cjoint.com/data3/3CEu1sj0P4D.htm

Utilisateur anonyme · Answer

tu as une version non officielle de windows ! 

ceci rend le nettoyage de ton pc délicat ! 


installe la version 31 de java et la version 10 X de Adobe reader sur ton pc, 

désinstalle les anciennes versions de java de ton pc ! 


évite d'installes des barres d'outils sur ton pc ! 




relance zhpdiag,

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
* Héberge le rapport ZHPDiag.txt sur Cijoint, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :


https://www.cjoint.com/  => https://www.commentcamarche.net/faq/29493-utiliser-cjoint-pour-heberger-des-fichiers

ou :
http://dl.free.fr
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou : 
https://www.terafiles.net/

JeanPierrePapin · Answer

tu as une version non officielle de windows !

ceci rend le nettoyage de ton pc délicat ! 

Je viens d'aquérir le pc sur le bon coin il y a + ou - 15 jours, c'est vrai que je n'ai pas pensé à ça sur le moment car j'étais dans l'urgence mon vieux coucou ayant rendu l'âme...
Il va me falloir aquérir une licence très rapîdement afin d'éviter tous problèmes :-/

Pour revenir au sujet j'ai bien installé la version 31 de Java ainsi que que la version 10 X de Adobe Reader de la nouveau scan avec ZHPDiag dont voici le rapport :
http://cjoint.com/data3/3CEvkuYyzLl.htm

othmencasa · Answer

Salut, ça faisait longtemps... UP car j'ai exactement le même problème, et comme y a pas de suite svp !!?? moi en + toutes mes données sur ma 2eme partitions on disparue (enfin si j'ouvre c'est vide mais si je la scanne avec avast je vois le nom des fichier qui sont sensé ne plus être là). la bibliothèque est vide aussi, + de dossier Image ou Vidéo etc.. merci à tous.

annasnake · Answer

La même pour moi j'ai suivi les infos à la lettre et tout semble être rentré dans l'ordre.

Par contre comment être sur que le bousin soit complètement erradiqué  ?

g3n-h@ckm@n · Answer

salut 

le dossier programm data est normalement en fichier caché ! 

il existe pas sous XP ^^  (c'est c:\documents and settings\all users\application data qui le remplace )
¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤ 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤_Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Utilisateur anonyme · Answer

bonjour,

@ Gen :

Systeme d'exploitation: Windows 7 (6.1.7600 ) 64 bits version 



@ annasnake :

 

j'y pense ai-je le droit d'utiliser la licence achetée pour mon ancien PC ?  
sauf que j'ai un doute sur le fait que les licences soient différentes de W7 integrale N et de W7 Pro ? 

je ne pense pas que la clé soit identique à d'autres versions de windows ! 


il y a des traces de cracks sur le pc, on va remédier à tout ça ! 

O43 - CFD: 30/03/2012 - 20:49:26 - [91,233] ----D- C:\Program Files (x86)\Ultimate ZIP Cracker II Evaluation    
C:\Windows\system32\config\systemprofile\AppData\Roaming\keygen off.exe 


*  /!\Avertissement : 
Ce logiciel n'est à utiliser que prescrit par un helper qualifié. 
Ne pas utiliser en dehors de ce cas de figure : dangereux!  


  
? Télécharges ComboFix à partir de ce lien et enregistres le sur ton bureau : 
https://forum.pcastuces.com/combofix_renomme_au_telechargement-f31s22.htm  
ou ici : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe  
A lire  
https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix  

Avant d'utiliser ComboFix : 
  
? ferme les fenêtres de tous les programmes en cours. 
  
? Désactive provisoirement et seulement le temps de l'utilisation de ComboFix, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.  
Une fois fait, sur ton bureau double-clic sur Combofix.exe.  

/!\Utilisateur de Vista : Clique droit sur le logo de Combofix, « exécuter en tant qu'Administrateur » 

- Répond oui au message d'avertissement, pour que le programme commence à procéder à l'analyse du pc. 
  
- il se peut que Combofix ait besoin de se connecter à internet pour trouver les mises à jour, donc il faut l'autoriser. 

/!\ Pendant la durée de cette étape, ne te sert pas du pc et n'ouvre aucun programmes. 
  
- En fin de scan il est possible que ComboFix ait besoin de redémarrer le pc pour finaliser la désinfection\recherche, laisses-le faire.  
- Un rapport s'ouvrira ensuite dans le bloc notes, ce fichier rapport Combofix.txt, est automatiquement sauvegardé et rangé à C:\ComboFix\ComboFix.txt)  
? Réactive la protection en temps réel de ton Antivirus et de tes Antispywares, avant de te reconnecter à internet.  
? Reviens sur le forum, et copie et colle la totalité du contenu de C:\Combofix.txt dans ton prochain message. 


O.o°*??? Membre, Contributeur sécurité CCMo°.Oø¤º°'°º¤ø  

O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø

Charles · Answer

Bonjour a tous, à croire que ce malware est à la mode ^^ J'ai le même soucis. 

Aussi, n'étant pas un expert, pour résumer, est ce que l'un de vous peut poster la démarche à suivre pour virer ce truc... 

Merci à vous !

g3n-h@ckm@n · Answer

salut ouvre un nouveau sujet merci

JeanPierrePapin · Answer

Bonjour à vous tous et merci d'être toujours là ;-)

J'ai donc procédé à l'installation et suivi les instruction données par Electricien69 voici ci-dessous le rapport 
http://cjoint.com/data3/3CFpXRzheuL.htm

Utilisateur anonyme · Answer

bien,
CF a viré Bifrose, un backdoor !


*	Télécharge TDSSKiller sur ton bureau :

https://support.kaspersky.com/downloads/utils/tdsskiller.exe

*  Lance le ( Utilisateurs de vista/Seven -> Clic droit puis " Exécuter en tant qu'administrateur " ) 

*  Clique sur [Start Scan] pour démarrer l'analyse. 

*  Si des élements sont trouvés, cliques sur [Continue] puis sur [Reboot Now] 

*  Un rapport s'ouvrira au redémarrage du PC. 

*  Copie/Colle son contenu dans ta prochaine réponse. 

Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt.

note : 
 Conserve l'action proposée par défaut par l'outil :

- Si TDSS.tdl2 : l'option Delete sera cochée. 
- Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée. 
- Si "Suspicious object" ou Sptd ou ForgedFile.Multi.Generic : laisse l'option cochée sur Skip
- Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas:D

JeanPierrePapin · Answer

voici le rapport de TDSSKiler 
http://cjoint.com/data3/3CFqNi3hpik.htm

Utilisateur anonyme · Answer

super,

Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau:

https://fr.malwarebytes.com/mwb-download/
ou :

https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 
ou ici :
 https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

 
/!\Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour 
. si le pare-feu demande l'autorisation de se connecter pour malwarebytes, acceptes 
. Une fois la mise à jour terminé
. rend-toi dans l'onglet, Recherche 
. Sélectionnes Exécuter un examen complet
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre. 
. Si des malwares ont été détectés, cliques sur Afficher les résultats 
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. rends toi dans l'onglet rapport/log 
. tu cliques dessus pour l'afficher une fois affiché 
. tu cliques sur edition en haut du boc notes,et puis sur sélectionner tous 
. tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse 
. Tu cliques droit dans le cadre de la réponse et coller 
. À la fin du scan, il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!

Si tu as besoin d'aide regarde ce tutoriel : 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

JeanPierrePapin · Answer

30 mn d'analyse et rien pour le moment (ah si en voici 1) mais c'est long et pas encore fini...à suivre donc

Utilisateur anonyme · Answer

laisse le faire  :D

JeanPierrePapin · Answer

voilà il vient de terminer, j'ai donc procédé au scan et supprimé la selection de Malwarebytes

voici le rapport
http://cjoint.com/data3/3CFtUUjNVuk.htm

Utilisateur anonyme · Answer

Fichier(s) détecté(s): 18
C:\Program Files (x86)\AVS4YOU\AVSVideoConverter\avs4you.all.products.activator.2011.(v1.0)-mpt.exe (PUP.Hacktool.Patcher) -> Aucune action effectuée.
C:\Program Files (x86)\Hide Your IP Address\hide.your.ip.address.1.1-patch.exe (PUP.Hacktool.Patcher) -> Aucune action effectuée.
C:\Program Files (x86)\MsnSniffer2\MsnSniffer.exe (PUP.MsnSniffer) -> Aucune action effectuée.
C:\Users\David\Downloads\ABCIDM605DEF\Patch\internet.download.manager.6.xx.(2011)-patch.exe (PUP.Hacktool.Patcher) -> Aucune action effectuée.
C:\Users\Ripper\Downloads\MSN-Sniffer-2.1.exe (PUP.MsnSniffer) -> Aucune action effectuée.C:\Users\David\Desktop\Dossiers Bureau\RK_Quarantine\LurGImdondG.exe.vir (Trojan.Fakealert) -> Mis en quarantaine et supprimé avec succès.
C:\Users\David\Documents\Extra\Activateurs Supplémentaires\RemoveWAT\RemoveWAT.exe (HackTool.Wpakill) -> Mis en quarantaine et supprimé avec succès.
C:\Users\David\Downloads\Master Collection CS5 keygen Tested and approuved by Ripper.exe (Worm.Autorun) -> Mis en quarantaine et supprimé avec succès.
C:\Users\David\Downloads\plugin_vlc.exe (Trojan.Dropper) -> Mis en quarantaine et supprimé avec succès.
C:\Users\David\Downloads\RemoveWAT.Windows.7.approved.by.Ripper(2).exe (HackTool.Wpakill) -> Mis en quarantaine et supprimé avec succès.
C:\Users\David\Downloads\RemoveWAT.Windows.7.approved.by.Ripper.exe (HackTool.Wpakill) -> Mis en quarantaine et supprimé avec succès.
C:\Users\David\Downloads\VLCSetup(2).exe (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
C:\Users\David\Downloads\VLCSetup.exe (Adware.Hotbar) -> Mis en quarantaine et supprimé avec succès.
C:\Users\David\Downloads\Windows 7 loader eXtreme Edition V3 pr SP1.exe (Riskware.Tool.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Users\David\Downloads\Shadow.Security.Scanner.v7.153.294\Shadow.Security.Scanner.v7.153.294\SSSkeygen.exe (Malware.Packer.Gen) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\System32\config\systemprofile\AppData\Roaming\keygen off.exe (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Windows\SysWOW64\config\systemprofile\AppData\Roaming\keygen off.exe (Trojan.Agent.CK) -> Mis en quarantaine et supprimé avec succès.
C:\Windows.old\Users\Public\Desktop\Extra\Activateurs Supplémentaires\RemoveWAT\RemoveWAT.exe (HackTool.Wpakill) -> Mis en quarantaine et supprimé avec succès.


pour quelle raison, tu n'as pas tout selectionné ?

JeanPierrePapin · Answer

. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, cliques sur Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 

j'ai donc laissé coché...

dois-je recommencer ?

Charly · Answer

En ce qui me concerne, c'est réglé,  je redémarre sans soucis, j'ai récupéré mes icones de bureau par contre ma barre des tâches en bas n'a plus les programmes que j'y avais attaché ? ?? ?  

la bête rode toujours ou il y a une manip à faire ?

JeanPierrePapin · Answer

ça je pense que seul les scan te le diront, à voir cela avec un helper...j'attends la réponse d'Electricien69

Utilisateur anonyme · Answer

@ Charly :

Il serait préférable que tu fasses ton message personnel, cela rendra les postes plus compréhensibles et la réponse à ton problème sera plus efficace 
Aide toi de cette vidéo pour poster ton message :
http://sd-1.archive-host.com/membres/up/68979205412808752/CCM/demo_creer_son_message.htm
Patiente et un helper finira par te prendre en charge ;)
Merci de ta compréhension.



@ JeanPierrePapin :
relance MBAM, si tu vois encore ce qu'il a détecté, coche toutes les cases et mets tout en quarantaine !

autrement, il faut recommencer !

JeanPierrePapin · Answer

ouffffffff ça y est on y est je pense...

le second scan vient de se finir voici le contenu du rapport

Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org

Version de la base de données: v2012.03.31.07

Windows 7 x64 NTFS
Internet Explorer 8.0.7600.16385
David :: DAVID-PC [administrateur]

31/03/2012 20:47:20
mbam-log-2012-03-31 (20-47-20).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 752955
Temps écoulé: 2 heure(s), 34 minute(s), 35 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 4
C:\Program Files (x86)\AVS4YOU\AVSVideoConverter\avs4you.all.products.activator.2011.(v1.0)-mpt.exe (PUP.Hacktool.Patcher) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\Hide Your IP Address\hide.your.ip.address.1.1-patch.exe (PUP.Hacktool.Patcher) -> Mis en quarantaine et supprimé avec succès.
C:\Program Files (x86)\MsnSniffer2\MsnSniffer.exe (PUP.MsnSniffer) -> Mis en quarantaine et supprimé avec succès.
C:\Users\David\Downloads\ABCIDM605DEF\Patch\internet.download.manager.6.xx.(2011)-patch.exe (PUP.Hacktool.Patcher) -> Mis en quarantaine et supprimé avec succès.

(fin)

Utilisateur anonyme · Answer

/!\ Attention : 
de plus en plus de programmes propose l'installation des barres d'outils (Toolbars, case précochée), donc n'oublie pas de décocher la/les cases correspondantes pendant l'installation.




* pour supprimer les outils de désinfection 
: 
Télecharge Delfix sur ton bureau : 

ICI

ou
	
https://www.commentcamarche.net/telecharger/securite/7111-delfix/ 

*Clique sur le bouton «  Suppression » et poste son rapport sur ton prochain message 
**Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation. 
	
	
  
. télécharges Ccleaner à partir de cette adresse et enregistres le sur le bureau 

https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/  

.double-cliques sur le fichier pour lancer l'installation 

/!\ regarde bien qu'au moment d'installation, on ne t'installe pas les barres d'outils, si c'est le cas, décoche la case correspondante ! 

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu'Administrateur » 

.sur la fenêtre de l'installation langage bien choisir français et OK  
.cliques sur suivant  
.lis la licence et j'accepte  
.cliques sur suivant  
.la tu ne gardes de coché que mettre un raccourci sur le bureau et puis contrôler automatiquement les mises à jour de Ccleaner  
.cliques sur installer  
.cliques sur fermer  
.double-cliques sur l'icône de Ccleaner pour l'ouvrir  
.une fois ouvert tu cliques sur option et puis avancé  
.tu décoches effacer uniquement les fichiers, du dossier temp de windows plus vieux que 24 heures  
.cliques sur nettoyeur  
.cliques sur windows et dans la colonne avancé  
.coches la première case vieilles données du perfetch que celle-la ce qui te donnes la case vielles données du perfetch et la case avancé qui c'est coché automatiquement mais que celle-la  
.cliques sur analyse une fois l'analyse terminé  
.cliques sur lancer le nettoyage et sur la demande de confirmation OK il vas falloir que tu le refasses une autre fois une fois fini vériffis en appuiant de nouveau sur analyse pour être sur qu'il n'y est plus rien  
.cliques maintenant sur registre et puis sur rechercher les erreurs  
.laisses tout cochées et cliques sur réparrer les erreurs sélectionnées  
.il te demande de sauvegarder OUI  
.tu lui donnes un nom pour pouvoir la retrouver et enregistre  
.cliques sur corriger toutes les erreurs sélectionnées et sur la demande de confirmation OK  
.il supprime et fermer tu vérifies en relançant rechercher les erreurs  
.tu retournes dans option et tu recoches la case effacer uniquement les fichiers, du dossier temp de windows plus vieux que 48 heures et sur nettoyeur, windows sous avancé tu décoches la première case vieilles données du perfetch  
.tu peux fermer Ccleaner 

tuto installation & nettoyage :  
https://www.donnemoilinfo.com/tuto/CCleaner/ 



* Supprimer les anciens points de restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés : 



Pour Windows 7 :
 
https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/

 


* fais une mise à jour de ton antivirus, lance un scan complet de ton pc, tiens moi au courant du résultat :-)

JeanPierrePapin · Answer

voila c'est fait j'ai bien suivit tes instructions

voici les rapports de Delfix
http://cjoint.com/data3/3CFxLC8LPyE.htm

cCleaner
idem j'ai suivit tes infos

Suppression des anciens points de restauration système faite également

Avast est à jour, je lance un scan complet et te tiens informé d'ici à demain je pense vu l'heure...quoi que...selon si comate ou pas devant la tv

En tout cas tout semble être revenu à la normal et je t'en remercie vraiment beaucoup tu peux me croire je suis sincère j'étais vraiment mal à l'idée de perdre mes données...je te tiens au jus dès que c'est terminé d'après toi le dernier rapport semble ok ?

ça veut dire que la bête est morte alors ? (^_^)

Utilisateur anonyme · Answer

tu n'as pas de chance, plus d'infections!!   snif !


mdr !



alors, que dit avast ?

JeanPierrePapin · Answer

Bonjour,

Ah comme je suis de bonne humeur ce matin ;-)

Alors, hier soir je lance un scan minutieux d'Avast qui à durée une bonne partie de la nuit, au réveil le rapport est négatif Avast n'a rien détecté (youhouuuu comme disait le grand philosophe Homer Simpson), la bête gît sur hors de mon système, que c'est bon ;-)

Je passe donc en résolu qu'en penses-tu ?

Utilisateur anonyme · Answer

crée un nouveau point de restauration du système, ça peut servire !

si tu viens d'acheter le pc, crée également un jeu de DVD de restauration système,

achète une licence de windows correspondante à ta version de windows !


évite le P2P comme la mule et Cie, les cracks etc etc !


garde le pc à jour, aussi bien pour windows que pour les logiciels sensibles comme Java et Adobe  .


sur ce, bon surf  ;-)

JeanPierrePapin · Answer

dès mardi je vais aller me chercher un Windows 7 chez mon revendeur habituel (autant faire tourner les petites boutiques locales qui de surcroit se trouve être très sympa), ainsi je serai tranquille de ce côté là ;-)

Je vais également supprimer toutes les merdes qu'il m'a laissé en me disant "je vous ai laissé tel et tel soft ça peu toujours vous servir libre à vous de les désinstaller et blablabla..." d'autant qu'emule et compagnie au secourt...(il va sans dire qu'avec Free il y a de quoi ne pas s'ennuyer)

Merci pour les conseils je veillerai à bien vérifier les mises à jour des logiciels ;-)

Encore merci beaucoup de aide très précieuse, de ta patience aussi car on en a passé du temps mais on y est arrivé ça colle bien avec ta signature
O.o°* ??? Réspire à fond, Rédige ton message en bon français et de manière claire.Ca va bien se passer, tu verras, enfin on essaie !!! o°.Oø¤º°'°º¤ø 

Je ne te dit pas à très bientôt mdrrrr et sur ce je cloture et passe donc résolu ;-)

Merci ElectricienMan

Utilisateur anonyme · Answer

pour la prochaine fois, change de pseudo, j'ai pas JPP !

mdr !

bon surf  ;-)

raidman94 · Answer

Bonjour @Electricien69
j'ai eu un problème à peu près similaire (j'ai déja créée le nouveau post) serait-il possible d'avoir votre aide svp ?

http://www.commentcamarche.net/forum/affich-24990474-hdd-smart

Infection Smart HDD

40 réponses

Discussions similaires