Sujet Précédent Sujet Suivant

Nettoyage PC infecté

Fermé
Alexdl - 22 nov. 2012 à 16:57
 Alexdl - 22 nov. 2012 à 23:39
Bonjour,

J'aimerais bien avoir l'avis d'un connaisseur car je crois que mon ordinateur est infecté mais suis légèrement dépassé.

J'ai un PC qui tourne sous windows XP SP3. Je le protège avec Avast et ZoneAlarm, ainsi que par des scans réguliers de MalwareByte et des nettoyages avec Ccleaner.

Récemment je le trouvais plutot lent, et il freezait parfois (obligé de rédémarrer). De plus hier facebook ne s'affichait plus correctement (sans texture). Les autres sites s'affichait normalement. S'agissant de facebook le problème n'est toujours pas résolu (ce qui ne me dérange pas trop sauf si c'est un indice d'infection...)

J'ai lancé MalwareByte, qui n'a rien trouvé et passé un coup de Ccleaner.

J'ai ensuite utilisé le scanner en ligne sur www.eset.com qui m'a trouvé 3 infections. Je vous copie le résultat :

C:\Documents and Settings\Alexandre\Application Data\Sun\Java\Deployment\cache\6.0\52\73ceed74-5a2677fc multiple threats deleted - quarantined

C:\Documents and Settings\Alexandre\Application Data\Sun\Java\Deployment\cache\6.0\8\311c1b08-7d160d60 Java/TrojanDownloader.Agent.NEW trojan cleaned by deleting - quarantined

C:\Documents and Settings\Alexandre\Mes documents\Dropbox\.dropbox.cache\2012-09-14\Microsoft Office 2010 Activator [ kk ] (deleted 502b96e9-f370a-9f59331a).rar Win32/HackKMS.A application deleted - quarantined

Il a tout de même freezé une fois depuis. Je suis allé voir dans les dossiers Java des deux premières infections. Les fichiers étaient toujours la, je les ai supprimé manuellement (mauvaise idée ?). Désormais quand j'ouvre C:\ j'ai deux nouveaux dossiers 32788R22FWJFW et b014714730a3bf8704. Le premier m'affiche une fenetre comme si j'ouvrais le poste de travail et le second contient plusieurs fichiers avec des combinaisons de lettres incompréhensibles.

J'avoue ne plus trop savoir quoi faire. Quelqu'un pourrait il m'aider? Je vous copie le rapport hijackthis :

ogfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:55:42, on 22/11/2012
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Progz\CheckPoint\ZoneAlarm\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
C:\Progz\AVAST Software\Avast\AvastSvc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Progz\AVAST Software\Avast\avastUI.exe
C:\WINDOWS\system32\RunDLL32.exe
C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe
C:\Program Files\CheckPoint\ZAForceField\ForceField.exe
C:\Progz\CheckPoint\ZoneAlarm\zatray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Progz\RocketDock\RocketDock.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\WINDOWS\system32\SearchIndexer.exe
C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Documents and Settings\Alexandre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\Alexandre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Alexandre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Alexandre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Alexandre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Progz\Hijackthis\Trend Micro\HiJackThis\HiJackThis.exe
C:\Documents and Settings\Alexandre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Alexandre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Alexandre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Alexandre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Alexandre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe
C:\Documents and Settings\Alexandre\Local Settings\Application Data\Google\Chrome\Application\chrome.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Progz\MICROS~1\Office14\GROOVEEX.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: ZoneAlarm Security Engine Registrar - {8A4A36C2-0535-4D2C-BD3D-496CB7EED6E3} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O2 - BHO: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Progz\AVAST Software\Avast\aswWebRepIE.dll
O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Fichiers communs\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: URLRedirectionBHO - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Progz\MICROS~1\Office14\URLREDIR.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: avast! WebRep - {8E5E2654-AD2D-48bf-AC2D-D17F00898D06} - C:\Progz\AVAST Software\Avast\aswWebRepIE.dll
O3 - Toolbar: ZoneAlarm Security Engine - {EE2AC4E5-B0B0-4EC6-88A9-BCA1A32AB107} - C:\Program Files\CheckPoint\ZAForceField\TrustChecker\bin\TrustCheckerIEPlugin.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Progz\Adobe reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avast] "C:\Progz\AVAST Software\Avast\avastUI.exe" /nogui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit -login
O4 - HKLM\..\Run: [nwiz] C:\Program Files\NVIDIA Corporation\nview\nwiz.exe /installquiet
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [ISW] "C:\Program Files\CheckPoint\ZAForceField\ForceField.exe" /icon="hidden"
O4 - HKLM\..\Run: [ZoneAlarm] "C:\Progz\CheckPoint\ZoneAlarm\zatray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Progz\RocketDock\RocketDock.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-21-1715567821-1958367476-839522115-1007\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'UpdatusUser')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Progz\MICROS~1\Office14\EXCEL.EXE/3000
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\Progz\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Se&nd to OneNote - res://C:\Progz\MICROS~1\Office14\ONBttnIE.dll/105
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Progz\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Se&nd to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Progz\Microsoft Office\Office14\ONBttnIE.dll
O9 - Extra button: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Progz\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra 'Tools' menuitem: OneNote Lin&ked Notes - {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - C:\Progz\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - http://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FICHIE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Pré-chargeur Browseui - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Démon de cache des catégories de composant - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: avast! Antivirus - AVAST Software - C:\Progz\AVAST Software\Avast\AvastSvc.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: Service d'administration du Gestionnaire de disque logique (dmadmin) - Unknown owner - C:\WINDOWS\System32\dmadmin.exe
O23 - Service: Journal des événements (Eventlog) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Service COM de gravage de CD IMAPI (ImapiService) - Unknown owner - C:\WINDOWS\system32\imapi.exe
O23 - Service: ZoneAlarm Toolbar IswSvc (IswSvc) - Check Point Software Technologies - C:\Program Files\CheckPoint\ZAForceField\IswSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: KMService - Unknown owner - C:\WINDOWS\system32\srvany.exe
O23 - Service: Partage de Bureau à distance NetMeeting (mnmsrvc) - Unknown owner - C:\WINDOWS\system32\mnmsrvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: NVIDIA Update Service Daemon (nvUpdatusService) - NVIDIA Corporation - C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe
O23 - Service: Plug-and-Play (PlugPlay) - Unknown owner - C:\WINDOWS\system32\services.exe
O23 - Service: Gestionnaire de session d'aide sur le Bureau à distance (RDSessMgr) - Unknown owner - C:\WINDOWS\system32\sessmgr.exe
O23 - Service: Carte à puce (SCardSvr) - Unknown owner - C:\WINDOWS\System32\SCardSvr.exe
O23 - Service: Skype Updater (SkypeUpdate) - Skype Technologies - C:\Program Files\Skype\Updater\Updater.exe
O23 - Service: Journaux et alertes de performance (SysmonLog) - Unknown owner - C:\WINDOWS\system32\smlogsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Progz\CheckPoint\ZoneAlarm\vsmon.exe
O23 - Service: Cliché instantané de volume (VSS) - Unknown owner - C:\WINDOWS\System32\vssvc.exe
O23 - Service: Carte de performance WMI (WmiApSrv) - Unknown owner - C:\WINDOWS\system32\wbem\wmiapsrv.exe
O23 - Service: Service Partage réseau du Lecteur Windows Media (WMPNetworkSvc) - Unknown owner - C:\Program Files\Windows Media Player\WMPNetwk.exe


Merci d'avance !

A voir également:

19 réponses

Réponse 1 / 19
Utilisateur anonyme
22 nov. 2012 à 17:27
salut toi t'as fait joujou avec Combofix et tu veux pas le dire ^^
0
Réponse 2 / 19
Alexdl
22 nov. 2012 à 17:37
Salut !

Ha oui j'avais oublié cette étape. J'avais trouvé ca sur un site qui expliquait comment désinfecter un ordinateur. Je l'ai lancé sans désactiver Avast, du coup ca s'interrompait tout le temps avec des messages d'avast prévenant que ca pouvait être dangereux.

J'ai arrêté au milieu. C'est embêtant ? C'est quoi ce truc ? Je fais quoi maintenant ?
0
Réponse 3 / 19
Utilisateur anonyme
22 nov. 2012 à 17:44
combofix tu l'as arrête en route ? ben t'aurais pu planter ta machine et devoir formater lol !


0
Réponse 4 / 19
Alexdl
22 nov. 2012 à 17:50
Ha oui quand même.... J'avais pas désactivé avast comme un abruti mais ca m'a paru bizarre qu'il s'excite autant.

Y a moyen de réparer les dégats ? Si je relance combofix sans l'interrompre ?
Ou faut forcément reformater ? Je pense pas avoir fait de sauvegardes
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 19
Utilisateur anonyme
22 nov. 2012 à 18:15
nan

desinstalle zone alarm

================

Attention !!! : Seuls ces liens sont officiels ne pas telecharger l'outil sur d'autres liens !!
Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail. Il y aura une extinction du bureau pendant le scan --> pas de panique.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....: https://forum.pcastuces.com/default.asp

telecharge et enregistre Pre_Scan sur ton bureau :

https://forums-fec.be/gen-hackman/Pre_Scan.exe

si le lien ne fonctionne pas :

http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redemarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur https://www.cjoint.com/ puis donne le lien obtenu en echange sur le forum où tu te fais aider

Ne transmets pas le lien de suppression !!!

afin de faire une étude sur l'amelioration du deuxieme module de l'outil heberge aussi :

C:\Pre_Scan\Process\Close.log
0
Réponse 6 / 19
Alexdl
22 nov. 2012 à 18:20
Merci !

Je te poste le lien dès que j'ai fait tout ca !
0
Réponse 7 / 19
Utilisateur anonyme
22 nov. 2012 à 18:35
ok

y'en a deux ^^
0
Réponse 8 / 19
Alexdl
22 nov. 2012 à 19:32
Voila le premier :

http://cjoint.com/?BKwtEwoHlpn

Et le second :

http://cjoint.com/?BKwtFKJax5p
0
Réponse 9 / 19
Utilisateur anonyme
22 nov. 2012 à 20:57
relance l'outil , clique sur DiaG et heberhe Pre_Diag.txt et donne le lien
0
Réponse 10 / 19
Alexdl
Modifié par Alexdl le 22/11/2012 à 21:11
Voila le lien : http://cjoint.com/?BKwviX8nvVA

Merci encore pour le coup de main, c'est sympa !
0
Réponse 11 / 19
Utilisateur anonyme
22 nov. 2012 à 22:04
est-ce que tu avais desactivé l'auto-sandbox d'avast pendant le premier scan ?
0
Réponse 12 / 19
Alexdl
22 nov. 2012 à 22:13
J'ai désactivé les agents Avast, c'est pas compris dedans ?

Après vérification j'ai pas l'impression, je refais un scan rapidement et je t'envoie ca :)
0
Réponse 13 / 19
Utilisateur anonyme
Modifié par g3n-h@ckm@n le 22/11/2012 à 22:14
onglet protections supplementaires dans l interface d avast

¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤
0
Réponse 14 / 19
Alexdl
22 nov. 2012 à 22:44
Ok j'ai refait prescan après avoir désactivé autosandbox :

http://cjoint.com/?3KwwQeEUYdV

http://cjoint.com/?3KwwQNwl9fz

Je refais Prediag
0
Réponse 15 / 19
Alexdl
22 nov. 2012 à 22:52
Et voila le rapport prediag : http://cjoint.com/?3KwwZPnfRXm
0
Réponse 16 / 19
Utilisateur anonyme
22 nov. 2012 à 23:23
c'est un dossier à toi ca ?

C:\Progz
0
Réponse 17 / 19
Alexdl
22 nov. 2012 à 23:28
Oui oui c'est à moi, ca me permet de trier mes programmes installés (programmes files ou progz en gros)
0
Réponse 18 / 19
Utilisateur anonyme
22 nov. 2012 à 23:34
heu attends...tu deplaces les programmes installés de program files la dedans ?????
0
Réponse 19 / 19
Alexdl
22 nov. 2012 à 23:39
Non je le déplace pas, je choisis au moment de l'installation dans quel répertoire j'installe : Dans programme files tout ce qui se rapporte au fonctionnement et à la sécurité de l'ordi, et dans progz le reste.

Ca me permet de m'y retrouver plus rapidement quoi. C'est pas une bonne idée ?
0