Trojan.Generic.8643894 Résolu/Fermé

Question

Bonjour, 

Mon antivirus Bitdefender 2010 vient de détecter ce virus et n'arrive pas à l'éradiquer.
Il le détecte dans : <System>=>HKEY_LOCAL_MACHINE\SOFTWARE\CLASSES\FOLDER\SHELLEX\COLUMNHANDLERS\{F9DB5320-233E-11D1-9F84-707F02C10627}=>C:\PROGRAM FILES\FICHIERS COMMUNS\ADOBE\ACROBAT\ACTIVEX\PDFSHELL.DLL

Nom de la menace : Worm.Generic.421399

Que puis-je faire ?

Merci d'avance



Configuration: Windows XP professionelle sp3

Smart91 · Answer

Bonjour,

On va faire un diagnostic de ton PC:

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement" 
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur le tournevis à droite et coche toutes les cases
-  Clique sur la loupe  pour lancer l'analyse. 
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien: http://pjjoint.malekal.com/
-  Clique sur Parcourir et cherche le répertoire C:\ZHP
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
-  Ensuite Clique sur "Envoyer le fichier". 
-  Copie le lien obtenu  dans ta réponse.

Smart

Smart91 · Answer

La version de ZHPDiag n'est pas jour.
Relance ZHPDiag cil sur la flèche verte pour installer la mise à jour.
N'oublie pas de cliquer sur le tournevis pour cocher toutes les cases. refais un scan et poste le rapport via ci-joint. 

Smart

vitsou83 · Answer

Bonsoir

Voici le lien du rapport de ZHPDiag


https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130120_r15u13t7c10y7
Cordialement

Smart91 · Answer

Désinstalle Spybot Seatch & Destroy, il est inutile aujourd'hui et ne fait que ralentir ton PC ==>
https://www.commentcamarche.net/faq/7371-desinstaller-proprement-spybot-search-and-destroy-1-6

Article de malekal sur  l'inutilité Spybot superAntispyware et Adaware:
https://www.malekal.com/superantispyware-et-spybot-vs-malwarebyte/

Ensuite  je voudrais vérifier la présence d'un RootKit ou alors de restes. Tu vas faire ceci:

* Télécharge TDSSKiller (de Kaspersky Labs) sur ton Bureau.
* Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur")
* Clique sur Start Scan pour démarrer l'analyse.
* Si TDSS.tdl2 : l'option Delete sera cochée. 
* Si TDSS.tdl3 ou TDSS.tdl4 : assure toi que Cure soit bien cochée. 
* Si "Suspicious object" laisse l'option cochée sur Skip 
* Si Rootkit.Win32.ZAccess.* est détecté règle sur cure en haut , et delete en bas 
* Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.
* Un rapport s'ouvrira au redémarrage de l'ordinateur.
* Copie/colle son contenu dans ta prochaine réponse.
Note : Le rapport se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt

 
Smart

vitsou83 · Answer

Bonjour

Mon antivirus Bitdefender était en fin de licence et je l'ai remplacé par avast  Internet sécurity ( en test gratuit ).

Après un scan complet il n'a trouvé aucun problème. Celà change t'il quelque chose à la manip que tu m'as conseillé précédemment ?

Merci d'avance

Smart91 · Answer

Il vaut mieux vérifier la présence du Rootkit ou des restes et les supprimer.

De plus le rapport ZHPDiag montre que Ton ordinateur a des restes d'adware et des barres d'outils qu'il vaut mieux supprimer également


Smart

vitsou83 · Answer

Bonsoir

J'ai désinstallé Spybot  et j'ai lancé TDSSKILLER qui n'a rien trouvé.

Voici le rapport
https://pjjoint.malekal.com/files.php?read=20130122_w6i10e5u87

Merci encore

Smart91 · Answer

OK. Ce sont surement des clés orphelines que l'on va supprimer manuellement. Maintenant on va s'occuper des adwares et barres d'outils inutiles.

- Télécharge sur ton bureau  AdwCleaner de Xplode
- Lance AdwCleaner
- Clique sur[Suppression]. Sauvegarde tout travail en cours puis accepte la fermeture des programmes en cours d'exécution.
- Patiente le temps du nettoyage.
- Une fois le scan fini, il te sera proposé de redémarrer.
- Au redémarrage du PC, un rapport s'ouvrira. Poste le contenu dans ta prochaine réponse.
- Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Smart

vitsou83 · Answer

Bonsoir

Voici le lien du rapport de Adwcleaner.

Par contre depuis 2 jours j'ai uns instabilité de Explorer 8 qui est tout d'abord très lent et par moment se bloque après un clignotement  blanc et noir de la page explorer active.

Ce blocage est aléatoire.

Merci d'avance.

Eric

Smart91 · Answer

Tu n'as pas donné le lien pour le rapport AdwCleaner

Smart

vitsou83 · Answer

Bonsoir

Désolé, je suis un peu étourdi.

 https://pjjoint.malekal.com/files.php?read=20130131_c10h6g15o13w9

Cordialement

Eric

Smart91 · Answer

Relance ZHPDiag, clique sur la flèche verte pour installer la mise à jour, refais un scan et poste le rapport via pjjoint

Smart

vitsou83 · Answer

Bonsoir

Voici le rapport
https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130202_e6w14s7h6x13

Cordialement

Eric

Smart91 · Answer

On va supprimer les restes.

- Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O2 - BHO: (no name) - {243B17DE-77C7-46BF-B94B-0B5F309A0E64} Clé orpheline
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\GoogleUpdateTaskMachineCore.job
O39 - APT:Automatic Planified Task  - C:\WINDOWS\Tasks\GoogleUpdateTaskMachineUA.job
O42 - Logiciel: Spybot - Search & Destroy 1.4 - (.Safer Networking Limited.) [HKLM] -- Spybot - Search & Destroy_is1
M3 - MFPP: Plugins - [Administrateur] -- C:\Documents and Settings\Administrateur\Application Data\Mozilla\Firefox\Profiles\oeh0nd43.default\searchplugins\wiseconvert-15-customized-web-search.xml
O2 - BHO: (no name) - {ef79f67a-6ad7-4715-a0f8-932fca442023} Clé orpheline
O69 - SBI: prefs.js [Administrateur - oeh0nd43.default] user_pref("extensions.enabledItems", "engine@conduit.com:3.2.5.2,{ef79f67a-6ad7-4715-a0f8-932fca442023}:3.2.5.2,{20a82645-c095-46e[...]
O69 - SBI: prefs.js [Administrateur - oeh0nd43.default] user_pref("weboftrust.search.ask.display", "Ask.com Web Search");
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ef79f67a-6ad7-4715-a0f8-932fca442023}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef79f67a-6ad7-4715-a0f8-932fca442023}]
O43 - CFD: 04/09/2010 - 22:59:03 - [1,449] ----D C:\Program Files\BitDefender  
O43 - CFD: 05/09/2010 - 18:13:39 - [1,114] ----D C:\Program Files\File Scanner LibrarySearch & Destroy) (Spybot -   
O43 - CFD: 05/09/2010 - 18:13:42 - [0,918] ----D C:\Program Files\Misc. Support Library (Spybot - Search & Destroy)  
O43 - CFD: 05/09/2010 - 18:13:39 - [2,981] ----D C:\Program Files\SDHelper (Spybot - Search & Destroy)  
O43 - CFD: 22/01/2013 - 19:29:08 - [4,881] ----D C:\Program Files\Spybot - Search & Destroy
EmptyTemp
EmptyFlash
FirewallRAZ


---------------------------------------------------------- 
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

Et redémarre le PC

Smart

vitsou83 · Answer

Bonsoir
Voici le rapport de ZHPfix



 https://pjjoint.malekal.com/files.php?read=20130203_z11u13p15x10o6

Cordialement

Eric

Smart91 · Answer

Ce n'est le rapport de ZHPFix
Il se trouve sur ton bureau ou alors dans ce dossier C:\ZHP et se nomme ZHPFix.txt
Il se peut qu'il y ait un numéro, si tu l'as passé plusieurs fois 

Smart

vitsou83 · Answer

Bonsoir

Je n'avais pas ce fichier txt dans ZHP à part un ZHPFixQuarantine avec le même contenu que ce que j'ai envoyé.
J'ai donc relancé le processus et là j'ai bien eu le fichiers attendu.
Voici le lien:

https://pjjoint.malekal.com/files.php?read=20130205_n7j6f13h9c13

Cordialement

Eric

Smart91 · Answer

Il semble que le ZHPfix a été exécuté, on v vérifier.

Relance ZHPDiag, clique sur la flèche verte pour la mise à jour. Refais un scan et poste le rapport via pjjoint 
 
Smart

vitsou83 · Answer

Bonsoir

Voici le rapport de ZHPDiag
https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130207_p6j5x6t9b5

Cordialement

Eric

Smart91 · Answer

Tu n'as pas installé la dernière version de ZHPDiag.

Relance ZHPDiag, clique sur la flèche verte pour la mise à jour. Refais un scan et poste le rapport via pjjoint 
 
Smart

vitsou83 · Answer

Bonsoir

Je viens de déménager, ce qui explique le délai de ma réponse.

J'avais bien cliqué sur la flèche verte, mais le programme me renvoie instantanément un message "Programme à jour" aussitôt après le clic.
En haut de la fenetre il y a la date de l'upgrade au 18/01/13et en haut à droite le message " Version à jour " apparait en permanence au dessus du logo Paypal.

Que puis-je faire pour forcer une mise à jour ?

Cordialement

Eric

Smart91 · Answer

OK va dans dans ce dossier C/\Program files\ZHPDiag
Double clique sur ce fichier uninstall.exe (l'icône est une seringue)

Ensuite ré-télécharge ZHPDiag depuis ce lien:
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Refais un scan et poste le rapport via pjjoint
 
Smart

vitsou83 · Answer

J'ai bien suivi les instructions mais au redemarrage de ZHPdiag c'est toujours la meme date du 18/01 qui apparait et le message "Programme à jour 3dés que je clique sur la flèche verte.
J'ai quand même relancé un scan dont voici le rapport.
 https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130216_i5j14f11p15b7

Cordialement

PS je ne peux plus utilisé explorer car Windows le ferme de plus en plus vite et me propose d'envoyer un rapport d'incident.

Smart91 · Answer

Désolé pour le retard de ma réponse

Tu vas faire ceci:

 - Télécharge OTM (OldTimer) sur ton Bureau ==> http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/
- Clique droit sur "OTM.exe" et choisis "exécuter en tant qu'administrateur" afin de le lancer. 
- Copie (Ctrl+C) le texte suivant en gras ci-dessous : 

--------------------------------------------------------------
:reg
[HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=-
[HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl\FEATURE_BROWSER_EMULATION]
"svchost.exe"=-

:Files
C:\Program Files\File Scanner Library (Spybot - Search & Destroy)
C:\Program Files\TeaTimer (Spybot - Search & Destroy) 

:commands 
[emptytemp] 


--------------------------------------------------------------

- Colle (Ctrl+V) le texte précédemment copié dans le cadre:  Paste Instructions for Items to be Moved. 

- Clique maintenant sur le bouton MoveIt! 

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. 
Accepte en cliquant sur YES. 

- Poste le rapport situé dans ce dossier : C:\_OTMoveIt\MovedFiles\ 
Le nom du rapport correspond au moment de sa création : date_heure.log

Smart

vitsou83 · Answer

Bonsoir

Le programme m'a bien demandé de rebooter mais suite à ma réponse positive , tout est resté bloqué sur l'image du bureau sans icone ni barre de tache.J'ai pu redémarrer en entrant et sortant de la veille.
Le rapport n'était pas là où tu me l'indiquais mais en relançant OTM , au lieu de l'executer comme je lui demandais, il a ouvert le bloc note avec ce qui ressemble à un rapport dont voici le contenu:
 https://pjjoint.malekal.com/files.php?read=20130219_g15s8m6d6j13

Cordialement

Eric

Smart91 · Answer

OK. Redémarre le PC et refais un scan ZHPDiag et poste le rapport via pjjoint 


Smart

vitsou83 · Answer

Bonjour

Voici le rapport de ZHDIAG
https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130223_m96d5l13c11

Cordialement

Eric

Smart91 · Answer

OK. On passe à la phase finale

Fais les mises à jour suivantes: 

Mise àjour Firefox vers la version 19.0.0:
Lance FireFox, Allez dans ? >Clique sur "A propos de FireFox", la mise à jour s'installe automatiquement
Sinon aller sur ce lien ==> http://www.mozilla-europe.org/fr/firefox

Mise à jour Java 7 update 15 ==> https://www.java.com/fr/download/
Décoche la case "Installer la barre d'outils Ask" avant de cliquer sur suivant.
Ensuite désinstalle par ajout/suppression de programmes toutes les versions de Java 6 et Java 7 dont l'update est inférieur à 15

Optimisation:

 - Ferme toutes tes applications en cours
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html
- Si tu obtiens le message "Voulez-vous autoriser le programme suivant..." tu réponds Oui
- Copie/colle les lignes en gras suivantes :
 
---------------------------------------------------------- 
O43 - CFD: 05/09/2010 - 18:13:39 - [1,114] ----D C:\Program Files\File Scanner Library (Spybot - Search & Destroy)    => Safer Networking Ltd - Spybot S&D*
O43 - CFD: 05/09/2010 - 18:13:43 - [4,312] ----D C:\Program Files\TeaTimer (Spybot - Search & Destroy)    => Safer Networking Ltd - Spybot S&D*
O69 - SBI: prefs.js [Administrateur - oeh0nd43.default] user_pref("extensions.enabledItems", "engine@conduit.com:3.2.5.2,{ef79f67a-6ad7-4715-a0f8-932fca442023}:3.2.5.2,{20a82645-c095-46e[...]
OPT:O4 - HKLM\..\Run: [Reminder] . (.Pas de propriétaire - Reminder_XP.) -- C:\WINDOWS\Creator\Remind_XP.exe
OPT:O4 - HKLM\..\Run: [ISUSPM Startup] . (.InstallShield Software Corporation - InstallShield Update Service Update Manager.) -- C:\Program Files\Fichiers communs\InstallShield\UpdateService\ISUSPM.exe
OPT:O4 - HKLM\..\Run: [ISUSScheduler] . (.InstallShield Software Corporation - InstallShield Update Service Scheduler.) -- C:\Program Files\Fichiers communs\InstallShield\UpdateService\issch.exe
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe
OPT:O4 - HKCU\..\Run: [MoneyAgent] . (.Microsoft Corporation - Microsoft Money Express.) -- C:\Program Files\Microsoft Money\System\mnyexpr.exe
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-1311277733-381445933-1042322674-500\..\Run: [MoneyAgent] . (.Microsoft Corporation - Microsoft Money Express.) -- C:\Program Files\Microsoft Money\System\mnyexpr.exe
OPT:O4 - HKUS\S-1-5-21-1311277733-381445933-1042322674-500\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe


---------------------------------------------------------- 
- Clique sur l'icône représentant le presse-papier ("coller le presse-papier")
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes 
- Clique sur le bouton « GO » pour le lancer le nettoyage
- Copie/colle la totalité du rapport dans ta prochaine réponse 

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur)
- Vérifis que la case "Supprimer les outils de désinfection" soit cochée 
- Clique sur Exécuter 
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. 

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) 


2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 


3. Désactiver la restauration système et céer un point de restauration 
- Dans la barre des tâches de Windows, clique sur Démarrer. 
- Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
- Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
- Clique sur Appliquer. 
- Ensuite décoche "Désactiver la restauration du systeme" 
- Clique sur appliquer puis ok
 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Quelques conseils de Prévention

- Conserve MBAM. Il te servira à scanner les fichiers douteux en complément de l'antivirus et scanne le disque dur régulièrement. Mais n'oublie pas de faire la mise à jour avant de lancer le scan. 

Installe l'extension de sécurité adblock plus pour bloquer les publicités ==> http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

Ci-dessous un tutoriel pour t'aider à installer WOT:
==> https://www.commentcamarche.net/faq/15620-wot-web-of-trust-essentiel-pour-l-internaute-avise

- Installe également ce programme qui va bloquer tous les sites qui proposent  des adwares[ http://www.malekal.com/HOSTS_filtre/HOSTS_Anti-Adware.exe HOSTS Anti-PUPs/Adware]
Voici un tuto pour t'aider : http://www.malekal.com/2012/01/10/hosts-anti-pupsadware/
Si tu souhaites désinstaller  HOSTS_Anti-PUPs/Adware, lance le raccourci qui a été créé sur le bureau.
Tu  peux  aussi lancer la commande : %windir%system32HOSTS_Anti-Adware.exe -uninstal en invite de commandel


- Par rapport au P2P : http://www.libellules.ch/phpBB2/les-risques-securitaires-du-peer-to-peer-en-10-points-t28947.html 

- Les logiciels gratuits à éviter

- Ouvertures Pop-Up pibcitaires

- Voici un dossier complet sur le prévention et protection, il est absolument à lire (avec Adobe Reader ou Foxit Reader) : 
Prévention et Protection

- Un autre dossier sur:
Comment se protéger des logiciels potentiellement indésirables (PUP)

Sois plus vigilant(e) sur Internet à l'avenir

Voilà pour moi c'est terminé. Si tu as des questions n'hésite pas

Smart

vitsou83 · Answer

Bonsoir

Voici le rapport ZHPfix:
 https://pjjoint.malekal.com/files.php?read=20130224_i10h13f7s15b14

Voici le rapport Delfix:
https://pjjoint.malekal.com/files.php?read=20130224_u5c15b13y6o13

Je continu le nettoyage

Cordialement 

Eric

Smart91 · Answer

C'est bon, fais la suite 

Smart

Trojan.Generic.8643894

30 réponses

Discussions similaires

Newsletters