Méthode prél. de désinfection : pblm ZHPDiag

Question

Bonjour,  
j'ai pris en charge la désinfection d'une machine qui ne m'appartient pas. Je n'ai fait qu'une fois ce genre de chose, je pensais donc avoir rapidement besoin d'aide. 

J'ai voulu commencer par la "méthode préliminaire de désinfection", mais... je ne parviens pas à installer correctement ZHPDiag. 
Ne sachant pas d'où cela peut venir, je poste chez vous plutôt que de perdre du temps à essayer un peu tout. 
Merci d'avance de votre aide. 

Voici le message d'avertissement qui apparaît lors de l'extraction du fichier unins000.exe : 

----------------------------------------- 
C:\Program Files\ZHPDiag|unins000.exe 

Une erreur est survenue en essayant de renommer un fichier dans le dossier de destination : MoveFiles a échoué ; code 5 Accès refusé 

Appuyer sur Réessayer pour essayer à nouveau, Ignorer pour passer ce fichier (déconseillé) ou Abandonner pour annuler l'installation 

[3 boutons : ] Abandonner/Recommencer/Annuler 
-------------------------------------------- 

Voici les "symptômes" de l'ordi : 
Il est dit être lent. 
Des messages (3 de ce que je sais) redirigeant vers des sites suspects (sites de vente de guides disant proposer des méthodes permettant de se faire du fric avec internet) ont été automatiquement envoyés par le compte hotmail du proprio de la machine. Le compte a été rendu inaccessible. 
La carte réseau avait peut-être été rendue inactive. Le proprio ne se souvient en tout cas pas avoir su faire cette manip, ni l'avoir faite. 
Enfin, je ne parviens pas à installer dessus les outils java nécessaires à un post sur ce site. J'écris d'une autre. 
La config correpond à la machine -peut-être- infectée. 

Bonne soir'e et merci ! 

Configuration: windows XP / Firefox 12.0

g3n-h@ckm@n · Answer

salut

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

ou cette version renommée winlogon.exe :

http://forums-fec.be/gen-hackman/winlogon.exe

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan


NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

CAt · Answer

Merci de l'aide. 
Voici le lien : http://pjjoint.malekal.com/files.php?id=20120516_10n6r6o6k11 

J'ai dû utiliser le prescan.pif 
Autrement, le résultat à la tentative de sauvegarde était : "the file could not be saved because you do not have the proper permissions. Choose another directory.

g3n-h@ckm@n · Answer

y'a un truc pas normal....

refais un scan avec la version winlogon puis heberge le rapport stp

CAt · Answer

Par "refais un scan avec la version winlogon", tu veux parler du troisième lien donné, soit http://forums-fec.be/gen-hackman/winlogon.exe ?

J'imagine que oui et je refais en conséquence (mais le premier lien offrait ausssi en téléchargement un winlogon.exe)

g3n-h@ckm@n · Answer

c'est un pc d'entreprise en réseau ??

CAt · Answer

Bonjour.
Je ne sais pas vraiment. Mais après désinstallation de l'antivurs, les outils de diagnostics fonctionnent.
Je vais continuer la procédure...

CAt · Answer

Ch*3 !

Pre_Scan bloque sur la partie "contrôle du MBR". La barre de progression est vide.
J'ai ces infos (entre autres) affichées :

device: opened successfully
user: MBR read successfully

[...]

user & kernel MBR OK

Ouh que ça pue. Je fais quoi ? Arrêt bouton brutal et redémarrage sans échec ?
Merci.

g3n-h@ckm@n · Answer

non tu laisses finir et tu postes le rapport comme indiqué

CAt · Answer

Ok.
Ceci-dit, il n'y a eu pas de changement depuis 1h40 (durée).

g3n-h@ckm@n · Answer

redemarre le pc et poste le rapport qui se trouve dans c:\ hébergé comme indiqué

CAt · Answer

Bonjour.
Voici le rapport Pre_Scan :
http://pjjoint.malekal.com/files.php?id=20120517_y7q5p6v13v13

Avant de l'exécuter, j'avais hésité à demander à fermer le sujet (en toute rigueur le pbleme avec ZHPDiag était résolu)... et exécuté ZHPDiag + mbam + eset. Ils ont signalé plein de bestioles. En voici les rapports :

ZHPDiag
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120517_d10n10y5d7f15

CAt · Answer

Rapport MBAM :

Malwarebytes Anti-Malware 1.61.0.1400
www.malwarebytes.org

Version de la base de données: v2012.05.16.03

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 6.0.2900.5512
tata :: toto [administrateur]

16/05/2012 14:43:21
mbam-log-2012-05-16 (14-43-21).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 225711
Temps écoulé: 10 minute(s), 22 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\WINDOWS\system32\Utils.dll (Adware.InstallPedia) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\gg\Application Data\avdrn.dat (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

(fin)

CAt · Answer

Rapport Eset :

C:\Documents and Settings	oto\Local Settings\Application Data\assembly\dl3\1MX2J423.XJ1\K0YPEJ79.5JP\1810abbd\003b0f99_fb53cb01\Utils.DLL	une variante de MSIL/Agent.NEW cheval de troie	nettoyé par suppression - mis en quarantaine
C:\Documents and Settings	oto\Local Settings\Application Data\assembly\dl3\1MX2J423.XJ1\K0YPEJ79.5JP\7f8a31c6\000ede97_fb53cb01
etworker.EXE	une variante de MSIL/Agent.NEG cheval de troie	nettoyé par suppression - mis en quarantaine
C:\Documents and Settings	iti\Application Data\Sun\Java\Deployment\cache\6.0\12\3cc664c-74487334	Java/Exploit.CVE-2010-4452.A cheval de troie	nettoyé par suppression - mis en quarantaine
C:\Documents and Settings	iti\Local Settings\Application Data\assembly\dl3\O26E07WT.TY0\E3K1K6YO.KW9\2d6e9eb9\000ede97_fb53cb01
etworker.EXE	une variante de MSIL/Agent.NEG cheval de troie	nettoyé par suppression - mis en quarantaine
C:\Documents and Settings	iti\Local Settings\Application Data\assembly\dl3\O26E07WT.TY0\E3K1K6YO.KW9\30ba606c\003b0f99_fb53cb01\Utils.DLL	une variante de MSIL/Agent.NEW cheval de troie	nettoyé par suppression - mis en quarantaine
C:\Documents and Settings	iti\Local Settings\Application Data\assembly	mp\S4DMV4DM\Utils.DLL	une variante de MSIL/Agent.NEW cheval de troie	nettoyé par suppression - mis en quarantaine
C:\Documents and Settings	iti\Local Settings\Temp\jar_cache2750266842670089840.tmp	Java/TrojanDownloader.OpenStream.NBM cheval de troie	supprimé - mis en quarantaine
C:\Documents and Settings\LocalService\Local Settings\Application Data\assembly\dl3\0B4A2WRV.3O8\1E8EQ5VO.N0G\feee18f1\003b0f99_fb53cb01\pref_updater.EXE	MSIL/Adware.Installpedia.B Application	nettoyé par suppression - mis en quarantaine
C:\Program Files\RegiCleanse\RegiCleanse.exe	une variante de Win32/Adware.RegistryPatrol Application	nettoyé par suppression - mis en quarantaine

g3n-h@ckm@n · Answer

installe internet explorer 9
mozilla à mettre à jour => version 12
desinstalle adobe reader 9

==============

Selectionne tout le texte en gras ci-dessous sans les lignes de dessus-dessous, puis (clic droit/copier ou ctrl+c) :
___________________________________________________
Kill::

Registry::
[HKU\S-1-5-21-507921405-839522115-1644491937-1004\Software\Microsoft\Internet Explorer\Toolbar] 
"Locked"=- 
[HKLM\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] 
"C:\WINDOWS\system32\sessmgr.exe"="C:\WINDOWS\system32\sessmgr.exe:*:Enabled:@xpsp2res.dll,-22019" 
"C:\WINDOWS\Network Diagnostic\xpnetdiag.exe"="C:\WINDOWS\Network Diagnostic\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" 

folder::
C:\src_hijackthis 
C:\Documents and Settings	iti\Local Settings\Application Data
etworker     
C:\Documents and Settings	ete\Local Settings\Application Data
etworker     

txt::
C:\WINDOWS\speed.reg 

MBR::

clean::

Reboot:: 
___________________________________________________

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

===========================

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

clique sur suppression et poste son rapport.

CAt · Answer

Bonsoir,
c'est en cours.

Mais juste pour être sûre, les lignes :

C:\Documents and Settings	iti\Local Settings\Application Data
etworker
C:\Documents and Settings	ete\Local Settings\Application Data
etworker 

vous les avez bien déduites du rapport Pre-Scan ?
J'ai un doute, car j'ai pu mélanger les "anonymisations" de ZHPDiag à Pre-Scan.

CAt · Answer

Explorer : pas ok.
Mozilla : ok.
Adobe erader : ok


Rapport Pre-script :

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.513 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

tata : Microsoft Windows XP (32 bits)

Switchs : http://gen-hackman.forum-pro.fr/t89-les-switchs

Script : 23:18:39

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

Modification du registre effectuée

¤

¤¤¤¤¤¤¤¤¤¤ | Edition de : C:\WINDOWS\speed.reg

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Throttle]
"PerfCriticalTimeDelta"=dword:0000c350
"PerfIncreasePercentModifier"=dword:0000001e
"PerfDecreasePercentModifier"=dword:00000032
"PerfIncreaseValue"=dword:00001388
"PerfIncreaseMinimumTime"=dword:0000c350


¤

Supprimé : C:\src_hijackthis
Supprimé : C:\Documents and Settings	ata\Local Settings\Application Data
etworker
Supprimé : C:\Documents and Settings	ete\Local Settings\Application Data
etworker

¤

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows XP Professional
Windows Information:		Service Pack 3 (build 2600)
Logical Drives Mask:		0x00000004

Analysis of file "C:\Pre_Scan\MBR.bin":
Windows XP MBR code detected




¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


explorer.exe -> Processus redémarré

Fin : 23:20:20

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤





Rapport ADWCleaner :

# AdwCleaner v1.606 - Rapport créé le 17/05/2012 à 23:28:43
# Mis à jour le 10/05/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : tata - tete
# Exécuté depuis : C:\Documents and Settings	ata\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****

Arrêté & Supprimé : I.P services

***** [Fichiers / Dossiers] *****

Fichier Supprimé : C:\Documents and Settings	iti\Application Data\Mozilla\Firefox\Profiles\vokq3bk9.default\searchplugins\Conduit.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\Softonic

***** [Registre - GUID] *****


***** [Navigateurs] *****

-\ Internet Explorer v6.0.2900.5512

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v12.0 (fr)

Nom du profil : default 
Fichier : C:\Documents and Settings	iti\Application Data\Mozilla\Firefox\Profiles\vokq3bk9.default\prefs.js

Supprimée : user_pref("browser.search.defaultthis.engineName", "Elf 1 Customized Web Search");
Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2856415&Sea[...]
Supprimée : user_pref("browser.search.selectedEngine", "Elf 1 Customized Web Search");

Nom du profil : default 
Fichier : C:\Documents and Settings	ata\Application Data\Mozilla\Firefox\Profiles\265ovyhg.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [1481 octets] - [17/05/2012 23:28:43]

########## EOF - C:\AdwCleaner[S1].txt - [1609 octets] ##########

g3n-h@ckm@n · Answer

pourquoi internet explorer pas ok ?

CAt · Answer

Car pas de mises à jour windows depuis un bail. J'ai accepté le téléchargement des maj.
J'ai installé celles qui convenaient ; cette version de IE n'a pas encore été téléchargée. Enfin... j'imagine que c'est la cause.
Demain, je vérifierai si c'est bon.


À part cela, je voudrais supprimer Eset (le proprio ne l'utilisera jamais a priori). Comment faire ; que faire des chevaux qui ont été placés en 40aine ?

C'est sain sinon, le reste ?

Merci.

g3n-h@ckm@n · Answer

internet explorer 8 je voulais dire

http://www.microsoft.com/downloads/fr-fr/details.aspx?familyid=341c2ad5-8c3d-4347-8c03-08cdecd8852b

CAt · Answer

Ok.
Merci du lien, c'est en cours.

Autres questions :
1/ je dois désinstaller Eset. Comment désinstaller + supprimer les bebêtes mises en quarantaine ?

2/ Concernant un des symptômes de départ, soit :
Des messages (3 de ce que je sais) redirigeant vers des sites suspects (sites de vente de guides disant proposer des méthodes permettant de se faire du fric avec internet) ont été automatiquement envoyés par le compte hotmail du proprio de la machine.

savez-vous ce qui a causé cela ? Est-ce éliminé ?

Merci.

g3n-h@ckm@n · Answer

deja pour Eset cette page devrait te donner ce que tu cherches 

https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces 

======== 

ensuite 

savez-vous ce qui a causé cela ?  

non  

Est-ce éliminé ?  

je pense que oui  

refais un zhpdiag voir ? 
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

CAt · Answer

Bonjour et veuillez m'excuser du retard (rien à voir avec l'ordinateur).
Voici le rapport zhpdiag :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120612_s11y7c5j127

Un des 2 adwares signalés n'est pas parti, il me semble.

g3n-h@ckm@n · Answer

sélectionne les lignes ci-dessous et copie les dans le Presse-papier (Ctrl C)

O68 - StartMenuInternet: <NAVIGATOR.EXE> <Netscape Navigator>[HKLM\..\Shell\open\Command] (...) -- C:\Program Files\NETSCAPE\NAVIGA~1\NAVIGA~1.exe (.not file.)
O68 - StartMenuInternet: <NAVIGA~1.EXE> <>[HKLM\..\Shell\open\Command] (...) -- C:\Program Files\NETSCAPE\NAVIGA~1\NAVIGA~1.exe (.not file.)
[HKLM\Software\Unlocker\OpenCandy]
SS - | Demand 0 | (MEMSWEEP2) . (...) - C:\WINDOWS\system32\2.tmp

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse

CAt · Answer

Bonjour et merci de la reprise.
Je me rends compte (après mon post) que je ne vais pas pouvoir réaliser cela tout de suite.

J'explique, restons clam... malque... calme! Et imaginons le pire : voici la situation.

1 PC infecté-et-maintenant-planté, 1 situation d'urgence : 1 exam à passer (connexion internet utilisable indispensable).

Le problème actuel :

1) 2 intervenants (numéro 1 =moi ; numéro 2 = autre ; pas de communication entre les 2). J'ai repris la main. Je dois gérer et apporter une solution avant-hier.

2) 1 erreur inconnue du/non maitrisée par... le premier intervenant (moi).
Dit rapidement : le pc était en état de marche, mais demeurait lent.
Un scan usbfix a été lancé par numéro 2.
2a. Des trucs ont été trouvés par usbfix (j'essaierai de préciser ces infos).
2b. Une suppression a été tentée via usbfix. Ratage complet selon les infos que j'ai (j'essaierai de préciser ces infos)...

3) Maintenant : au démarrage normal, l'ordi se lance.
Résultat : écran noir avec un curseur de souris qui bouge. Idem avec le mode sans échec (avec ou sans réseau).

4) Matériel de secours disponible : sur cet ordi portable, pas de dock permettant l'insertion d'un lecteur cd => je ne peux pas sauvegarder les derniers fichiers (mega-importants bien sûr) via le live CD ubuntu, comme j'aurai eu l'idée de le faire normalement.

5) Tout cela pour des nèfles (pécuniairement parlant), mais pour aider des amis.

Voilà.
Merci de votre aide.

g3n-h@ckm@n · Answer

et si tu demarres en derniere bonne configuration connue au lien de mode sans echec (si ca apparait pas tu refais F8 pour allonger le menu)

Méthode prél. de désinfection : pblm ZHPDiag

25 réponses

Votre réponse

Discussions similaires

Newsletters