Sujet Précédent Sujet Suivant

Perte des droits d'administrateur

Résolu/Fermé
tala55 Messages postés 15 Date d'inscription lundi 21 janvier 2013 Statut Membre Dernière intervention 7 août 2015 - 21 janv. 2013 à 19:34
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 - 22 janv. 2013 à 23:41
Bonsoir,

Je pense avoir attrapé un virus qui m'a retiré mes droits d'administrateur, mon antivirus m'avait alertée mais il a relancé services et explorer.exe (j'ai fait un scan et je crois qu'ils étaient infectés) et j'ai perdu le controle de mon PC.

En gros :
Je n'ai plus les droits administrateur
Je ne peux rien lancer à partir de la commande Exécuter sauf cmd (mais je ne peux rien faire : erreur 0x80070005 qui correspond à l'absence des droits admin) donc je ne peux pas éditer le registre, restaurer le système
Je ne peux plus lire de vidéos, voir mes photos, beaucoup de programmes ne marchent plus (en fait Windows ne les "trouve plus")
Je ne peux plus accéder aux dossiers (je double-clique mais il ne se passe rien)
Je ne peux pas copier mes fichiers sur un périphérique externe puisque je ne peux pas explorer les dossiers pour reformater ensuite


Comment faire pour récupérer les droits ?
Dans le menu démarrer l'image de mon compte a disparu, dans le gestionnaire des taches mon nom d'utilisateur s'est transformé en "(inconnu)" et je ne peux plus arreter ou redémarrer mon ordinateur via le menu démarrer.

Faut-il que je tente de redémarrer le PC (je n'ose pas de peur de ne plus pouvoir accéder au bureau) pour aller en mode sans échec / restaurer ?


Désolée pour le long message, merci d'avance à celui/celle qui pourra m'aider...

22 réponses

  • 1
  • 2
Réponse 1 / 22
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
21 janv. 2013 à 19:35
Bonjour,

télécharge et enregistre Pre_Scan sur ton bureau : http://security-helpzone/tools/g3n/Pre_Scan.exe

NOTE : si le lien ne fonctionne pas : http://www.archive-host.com

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Scan|Kill"

NOTE : si l'outil est bloqué par l'infection utilise cette version avec extension .pif : https://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil détecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut que des fenêtres noires clignotent , laisse-le travailler.

Laisse l'outil redémarrer ton pc.

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra à la racine de ton disque système ( généralement C:\ )

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Héberge le rapport sur https://forums-fec.be/upload puis donne le lien obtenu en échange

Ne transmets pas le lien de suppression !!!


@+
2
Réponse 2 / 22
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
21 janv. 2013 à 20:21
Démarre en mode sans échec avec prise en charge réseau :

Comment aller en Mode sans échec :

▶ Redémarres ton ordi
▶ Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip"
▶ Tu verras un écran avec options de démarrage apparaître
▶ Choisis la première option : Sans Échec Avec Prise en charge Réseau, et valide avec "Entrée"
▶ Choisis ton compte habituel, et non Administrateur (si besoin ... )

De là :

Retente de télécharger TDSS Killer (supprime l'ancien avant)

1
Réponse 3 / 22
tala55 Messages postés 15 Date d'inscription lundi 21 janvier 2013 Statut Membre Dernière intervention 7 août 2015
21 janv. 2013 à 20:02
Je ne peux pas le lancer : "Windows ne trouve pas 'C:\Users....\winlogon.exe'. Vérifiez que vous avez entré le nom correct, puis réessayez."

J'ai le meme message pour Pre_San.pif...
0
Réponse 4 / 22
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
21 janv. 2013 à 20:07
houuuu ça pue ça ...

▶ Télécharge et lance TDSSKiller.

▶ Choisis : Start Scan (clique pour l'aide en image) .

● Si TDSS.tdl2 est détecté, l'option Delete sera cochée par défaut.
● Si TDSS.tdl3 est détecté, assure-toi que Cure soit bien cochée.
● Si TDSS.tdl4(HardDisk0MBR) est détecté, assure-toi que Cure soit bien cochée.
● Si Suspicious file est indiqué, laisse l'option cochée sur Skip.
● Si Rootkit.Win32.ZAccess.* est détecté, règle l'outil sur Cure
Nota bene : en règle générale, les options de désinfection optimales sont réglées par défaut.

▶ Si l'outil te le demande, redémarre pour finir le nettoyage.

▶ Sinon ferme le logiciel, un rapport se trouvera sous C:\TDSSKiller_N°DeVersion_Date_Heure_Log.txt.

▶ Héberge le rapport sur FEC Upload et donne le lien obtenu en retour.
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 22
tala55 Messages postés 15 Date d'inscription lundi 21 janvier 2013 Statut Membre Dernière intervention 7 août 2015
21 janv. 2013 à 20:20
Ca ne marche pas non plus, j'ai le meme message :(
0
Réponse 6 / 22
tala55 Messages postés 15 Date d'inscription lundi 21 janvier 2013 Statut Membre Dernière intervention 7 août 2015
21 janv. 2013 à 23:48
Désolée de ne pas avoir répondu plus tôt.
J'ai eu un problème de connexion et que ce soit en mode sans échec ou pas je ne pouvais plus me connecter.
Bref j'avais gardé winlogon sur le bureau et je l'ai laissé scanner puisque ça a fonctionné en mode sans échec


J'ai donc un long rapport que je ne comprends pas du tout, si vous pouvez/voulez le consulter :
https://forums-fec.be/upload/www/?action=d&id=7741326035


En ce moment je ne suis plus en mode sans échec, tous les problèmes que j'avais sont apparemment résolus...
Merci
0
Réponse 7 / 22
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
21 janv. 2013 à 23:55
Ouep t'avais ZeroAccess comme je m'en doutais et encore autre chose mais on n'a pas fini...

Télécharge RogueKiller
Lance-le, laisse-le finir son prescan, puis accepte l'eula et clique sur scan.
Clique sur rapport quand il a fini et copie/colle le ici.
0
Réponse 8 / 22
tala55 Messages postés 15 Date d'inscription lundi 21 janvier 2013 Statut Membre Dernière intervention 7 août 2015
22 janv. 2013 à 13:36
RogueKiller V8.4.3 [Jan 21 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Wayne [Droits d'admin]
Mode : Recherche -- Date : 22/01/2013 13:32:11

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 8 ¤¤¤
[SHELL][SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\Wayne\LOCALS~1\Temp\msqhaaayb.pif) -> TROUVÉ
[SHELL][SUSP PATH] HKUS\S-1-5-21-236291164-3460953164-2545648334-1000[...]\Windows : Load (C:\Users\Wayne\LOCALS~1\Temp\msqhaaayb.pif) -> TROUVÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> TROUVÉ
[HJ] HKLM\[...]\System : EnablELUA (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> TROUVÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] n : C:\$recycle.bin\S-1-5-18\$72845ae39f4d77ff9d0ad66922e40a6b\n --> TROUVÉ
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$72845ae39f4d77ff9d0ad66922e40a6b\@ --> TROUVÉ
[ZeroAccess][FOLDER] U : C:\$recycle.bin\S-1-5-18\$72845ae39f4d77ff9d0ad66922e40a6b\U --> TROUVÉ
[ZeroAccess][FOLDER] L : C:\$recycle.bin\S-1-5-18\$72845ae39f4d77ff9d0ad66922e40a6b\L --> TROUVÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82A4BE35 -> HOOKED (Unknown @ 0x8D0E9F1E)
SSDT[276] : NtRequestWaitReplyPort @ 0x82A5DFE0 -> HOOKED (Unknown @ 0x8D0E9F28)
SSDT[289] : NtSetContextThread @ 0x82AAD10B -> HOOKED (Unknown @ 0x8D0E9F23)
SSDT[314] : NtSetSecurityObject @ 0x829DA03C -> HOOKED (Unknown @ 0x8D0E9F2D)
SSDT[332] : NtSystemDebugControl @ 0x82A12EF1 -> HOOKED (Unknown @ 0x8D0E9F32)
SSDT[334] : NtTerminateProcess @ 0x82A0B173 -> HOOKED (Unknown @ 0x8D0E9EBF)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8D0E9F46)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8D0E9F4B)
IRP[IRP_MJ_CREATE] : \SystemRoot\system32\drivers\iastor.sys -> HOOKED ([MAJOR] Unknown @ 0x85D251F8)
IRP[IRP_MJ_CLOSE] : \SystemRoot\system32\drivers\iastor.sys -> HOOKED ([MAJOR] Unknown @ 0x85D251F8)
IRP[IRP_MJ_DEVICE_CONTROL] : \SystemRoot\system32\drivers\iastor.sys -> HOOKED ([MAJOR] Unknown @ 0x85D251F8)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : \SystemRoot\system32\drivers\iastor.sys -> HOOKED ([MAJOR] Unknown @ 0x85D251F8)
IRP[IRP_MJ_POWER] : \SystemRoot\system32\drivers\iastor.sys -> HOOKED ([MAJOR] Unknown @ 0x85D251F8)
IRP[IRP_MJ_SYSTEM_CONTROL] : \SystemRoot\system32\drivers\iastor.sys -> HOOKED ([MAJOR] Unknown @ 0x85D251F8)
IRP[IRP_MJ_PNP] : \SystemRoot\system32\drivers\iastor.sys -> HOOKED ([MAJOR] Unknown @ 0x85D251F8)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3360320AS +++++
--- User ---
[MBR] 351572c425d3425200087d13c4abae09
[BSP] 2552b2d2227b2ea2b3c92a526a1a6f5d : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 325882 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 667408384 | Size: 9999 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 687887235 | Size: 7514 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[1]_S_22012013_133211.txt >>
RKreport[1]_S_22012013_133211.txt




J'ai aussi un message au démarrage "la corbeille sur C:/ est endommagée. Voulez-vous vider la corbeille de ce lecteur?"

Encore merci.
0
Réponse 9 / 22
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
22 janv. 2013 à 13:52
Bonjour,

Réponds oui au message pour la corbeille

=============================

Relance RogueKiller
Coche que ça : 

[SHELL][SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\Wayne\LOCALS~1\Temp\msqhaaayb.pif) -> TROUVÉ
[SHELL][SUSP PATH] HKUS\S-1-5-21-236291164-3460953164-2545648334-1000[...]\Windows : Load (C:\Users\Wayne\LOCALS~1\Temp\msqhaaayb.pif) -> TROUVÉ


Clique sur Suppression puis poste le rapport

0
Réponse 10 / 22
tala55 Messages postés 15 Date d'inscription lundi 21 janvier 2013 Statut Membre Dernière intervention 7 août 2015
22 janv. 2013 à 14:00
RogueKiller V8.4.3 [Jan 21 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Wayne [Droits d'admin]
Mode : Suppression -- Date : 22/01/2013 13:58:13

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 7 ¤¤¤
[SHELL][SUSP PATH] HKCU\[...]\Windows : Load (C:\Users\Wayne\LOCALS~1\Temp\msqhaaayb.pif) -> SUPPRIMÉ
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> NON SELECTIONNÉ
[HJ] HKLM\[...]\System : EnablELUA (0) -> NON SELECTIONNÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowRecentDocs (0) -> NON SELECTIONNÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> NON SELECTIONNÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyMusic (0) -> NON SELECTIONNÉ
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowPrinters (0) -> NON SELECTIONNÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤
[ZeroAccess][FILE] @ : C:\$recycle.bin\S-1-5-18\$72845ae39f4d77ff9d0ad66922e40a6b\@ --> SUPPRIMÉ
[Del.Parent][FILE] 00000001.@ : C:\$recycle.bin\S-1-5-18\$72845ae39f4d77ff9d0ad66922e40a6b\U\00000001.@ --> SUPPRIMÉ
[Del.Parent][FILE] 80000000.@ : C:\$recycle.bin\S-1-5-18\$72845ae39f4d77ff9d0ad66922e40a6b\U\80000000.@ --> SUPPRIMÉ
[Del.Parent][FILE] 800000cb.@ : C:\$recycle.bin\S-1-5-18\$72845ae39f4d77ff9d0ad66922e40a6b\U\800000cb.@ --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$72845ae39f4d77ff9d0ad66922e40a6b\U --> SUPPRIMÉ
[ZeroAccess][FOLDER] ROOT : C:\$recycle.bin\S-1-5-18\$72845ae39f4d77ff9d0ad66922e40a6b\L --> SUPPRIMÉ

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[75] : NtCreateSection @ 0x82A4BE35 -> HOOKED (Unknown @ 0x8D0E9F1E)
SSDT[276] : NtRequestWaitReplyPort @ 0x82A5DFE0 -> HOOKED (Unknown @ 0x8D0E9F28)
SSDT[289] : NtSetContextThread @ 0x82AAD10B -> HOOKED (Unknown @ 0x8D0E9F23)
SSDT[314] : NtSetSecurityObject @ 0x829DA03C -> HOOKED (Unknown @ 0x8D0E9F2D)
SSDT[332] : NtSystemDebugControl @ 0x82A12EF1 -> HOOKED (Unknown @ 0x8D0E9F32)
SSDT[334] : NtTerminateProcess @ 0x82A0B173 -> HOOKED (Unknown @ 0x8D0E9EBF)
S_SSDT[573] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8D0E9F46)
S_SSDT[576] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8D0E9F4B)
IRP[IRP_MJ_CREATE] : \SystemRoot\system32\drivers\iastor.sys -> HOOKED ([MAJOR] Unknown @ 0x85D251F8)
IRP[IRP_MJ_CLOSE] : \SystemRoot\system32\drivers\iastor.sys -> HOOKED ([MAJOR] Unknown @ 0x85D251F8)
IRP[IRP_MJ_DEVICE_CONTROL] : \SystemRoot\system32\drivers\iastor.sys -> HOOKED ([MAJOR] Unknown @ 0x85D251F8)
IRP[IRP_MJ_INTERNAL_DEVICE_CONTROL] : \SystemRoot\system32\drivers\iastor.sys -> HOOKED ([MAJOR] Unknown @ 0x85D251F8)
IRP[IRP_MJ_POWER] : \SystemRoot\system32\drivers\iastor.sys -> HOOKED ([MAJOR] Unknown @ 0x85D251F8)
IRP[IRP_MJ_SYSTEM_CONTROL] : \SystemRoot\system32\drivers\iastor.sys -> HOOKED ([MAJOR] Unknown @ 0x85D251F8)
IRP[IRP_MJ_PNP] : \SystemRoot\system32\drivers\iastor.sys -> HOOKED ([MAJOR] Unknown @ 0x85D251F8)

¤¤¤ Infection : ZeroAccess ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST3360320AS +++++
--- User ---
[MBR] 351572c425d3425200087d13c4abae09
[BSP] 2552b2d2227b2ea2b3c92a526a1a6f5d : HP tatooed MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 325882 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 667408384 | Size: 9999 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 687887235 | Size: 7514 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[3]_D_22012013_135813.txt >>
RKreport[1]_S_22012013_133211.txt ; RKreport[2]_S_22012013_135654.txt ; RKreport[3]_D_22012013_135813.txt
0
Réponse 11 / 22
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
22 janv. 2013 à 14:04
Bien :-)

▶ Télécharge et installe Malwarebytes' Anti-Malware (MBAM).

▶ Exécute-le. Accepte la mise à jour.

▶ Sélectionne "Exécuter un examen complet"
▶ Clique sur "Rechercher"
▶ L'analyse démarre, le scan est relativement long, c'est normal.

A la fin de l'analyse, un message s'affiche :

Citation :

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

▶ Clique donc sur Afficher les résultats.
▶ Laisse tout coché et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.

MBAM demande à redémarrer le pc : ▶ accepte.

Au redémarrage, relance MBAM, onglet "Rapport/Logs", copie/colle celui qui correspond à l'analyse effectuée.
0
Réponse 12 / 22
tala55 Messages postés 15 Date d'inscription lundi 21 janvier 2013 Statut Membre Dernière intervention 7 août 2015
22 janv. 2013 à 16:21
Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.01.22.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Wayne :: PC-DE-WAYNE [administrateur]

Protection: Activé

22/01/2013 14:18:46
mbam-log-2013-01-22 (14-18-46).txt

Type d'examen: Examen complet (C:\|D:\|F:\|Q:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 428390
Temps écoulé: 1 heure(s), 22 minute(s), 41 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 3
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Aucune action effectuée.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Aucune action effectuée.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{8BCB5337-EC01-4E38-840C-A964F174255B} (Adware.SmartShopper) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 4
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page_bak (Hijack.StartPage) -> Mauvais: (http://www.cherche.us) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Default_Search_URL (Hijack.SearchPage) -> Mauvais: (http://www.cherche.us/keyword/%s) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL| (Hijack.SearchPage) -> Mauvais: (http://www.cherche.us/keyword/%s) Bon: (https://www.google.com/?gws_rd=ssl -> Mis en quarantaine et réparé avec succès
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchURL|SearchAssistant (Hijack.SearchPage) -> Mauvais: (http://www.cherche.us) Bon: (https://www.google.com/?gws_rd=ssl -> Mis en quarantaine et réparé avec succès

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 5
C:\Pre_Scan\Quarantine\C'_Users_Wayne_2068127.exe.P_S (Trojan.Zbot) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\C'_Users_Wayne_AppData_Roaming_Anax_hyel.exe.P_S (Trojan.Zbot) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\C'_$Recycle.bin_S-1-5-21-236291164-3460953164-2545648334-1000_$72845ae39f4d77ff9d0ad66922e40a6b.P_S\n (Backdoor.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Pre_Scan\Quarantine\C'_$Recycle.bin_S-1-5-21-236291164-3460953164-2545648334-1000_$72845ae39f4d77ff9d0ad66922e40a6b.P_S\U\800000cb.@ (Rootkit.0Access) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Wayne\Desktop\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Mis en quarantaine et supprimé avec succès.

(fin)
0
Réponse 13 / 22
tala55 Messages postés 15 Date d'inscription lundi 21 janvier 2013 Statut Membre Dernière intervention 7 août 2015
22 janv. 2013 à 17:00
euh j'ai fait un scan rapide et j'ai fait la même chose avec les 2 PUP.VShareRedir comme j'ai vu "Aucune action effectuée."




Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.01.22.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Wayne :: PC-DE-WAYNE [administrateur]

Protection: Activé

22/01/2013 16:20:20
mbam-log-2013-01-22 (16-20-20).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 206759
Temps écoulé: 8 minute(s), 35 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5} (PUP.VShareRedir) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
0
Réponse 14 / 22
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
22 janv. 2013 à 18:59
Re,

On avance bien :-)

Maintenant on va s'occuper de tes navigateurs qui sont moisis :

Télécharge sur cette page: AdwCleaner (de Xplode)

▶ Lance-le

clique sur Suppression et patiente le temps du nettoyage.

▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
0
Réponse 15 / 22
tala55 Messages postés 15 Date d'inscription lundi 21 janvier 2013 Statut Membre Dernière intervention 7 août 2015
22 janv. 2013 à 21:41
# AdwCleaner v2.107 - Rapport créé le 22/01/2013 à 21:24:58
# Mis à jour le 21/01/2013 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Wayne - PC-DE-WAYNE
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Wayne\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\ProgramData\Trymedia
Dossier Supprimé : C:\Users\Wayne\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Wayne\AppData\LocalLow\boost_interprocess
Dossier Supprimé : C:\Users\Wayne\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Wayne\AppData\Roaming\Mozilla\Firefox\Profiles\flfe283x.default\Smartbar
Fichier Supprimé : C:\END
Fichier Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\eBay.lnk

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Freeze.com
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{78F3A323-798E-4AEA-9A57-88F4B05FD5DD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{7AC3E13B-3BCA-4158-B330-F66DBB03C1B5}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\Domains\chat-land.org
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKCU\Software\StartSearch
Clé Supprimée : HKLM\SOFTWARE\14919ea49a8f3b4aa3cf1058d9a64cec
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT3214568
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\Freeze.com
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{557C21FE-7274-410D-853E-9ED4471BF193}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{8F97BFF8-488B-4107-BCEE-B161AB4E4183}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{A1B48071-416D-474E-A13B-BE5456E7FC31}
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0FF2AEFF45EEA0A48A4B33C1973B6094
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\305B09CE8C53A214DB58887F62F25536
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\New Windows\Allow [*.chat-land.org]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16457

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultName] = cherche.us --> hxxp://www.google.com
Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - SearchMigratedDefaultURL] = hxxp://google.cherche.us/Result.php?client=pub-0420647136319153&cof=GIMP%3A009900%3BT%3A000000%3BALC%3A551a8b%3BGFNT%3AB7B7B7%3BLC%3A2200cc%3BBGC%3AFFFFFF%3BVLC%3A551a8b%3BGALT%3A008B45%3BFORID%3A11%3BDIV%3A%23FFFFF0%3B&ie=ISO-8859-1&q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 --> hxxp://www.google.com

-\\ Mozilla Firefox v14.0.1 (fr)

Fichier : C:\Users\Wayne\AppData\Roaming\Mozilla\Firefox\Profiles\flfe283x.default\prefs.js

C:\Users\Wayne\AppData\Roaming\Mozilla\Firefox\Profiles\flfe283x.default\user.js ... Supprimé !

Supprimée : user_pref("CT3214568.1000082.isPlayDisplay", "true");
Supprimée : user_pref("CT3214568.1000082.state", "{\"state\":\"stopped\",\"text\":\"Californi...\",\"description[...]
Supprimée : user_pref("CT3214568.1000234.TWC_TMP_city", "");
Supprimée : user_pref("CT3214568.1000234.TWC_TMP_country", "FR");
Supprimée : user_pref("CT3214568.ENABALE_HISTORY", "{\"dataType\":\"string\",\"data\":\"true\"}");
Supprimée : user_pref("CT3214568.ENABLE_RETURN_WEB_SEARCH_ON_THE_PAGE", "{\"dataType\":\"string\",\"data\":\"tru[...]
Supprimée : user_pref("CT3214568.FirstTime", "true");
Supprimée : user_pref("CT3214568.FirstTimeFF3", "true");
Supprimée : user_pref("CT3214568.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT321[...]
Supprimée : user_pref("CT3214568.UserID", "UN76831092404244211");
Supprimée : user_pref("CT3214568.addressBarTakeOverEnabledInHidden", "true");
Supprimée : user_pref("CT3214568.autoDisableScopes", -1);
Supprimée : user_pref("CT3214568.browser.search.defaultthis.engineName", true);
Supprimée : user_pref("CT3214568.defaultSearch", "true");
Supprimée : user_pref("CT3214568.embeddedsData", "[{\"appId\":\"10000002\",\"apiPermissions\":{\"crossDomainAjax[...]
Supprimée : user_pref("CT3214568.enableAlerts", "always");
Supprimée : user_pref("CT3214568.enableSearchFromAddressBar", "true");
Supprimée : user_pref("CT3214568.firstTimeDialogOpened", "true");
Supprimée : user_pref("CT3214568.fixPageNotFoundError", "true");
Supprimée : user_pref("CT3214568.fixPageNotFoundErrorInHidden", "true");
Supprimée : user_pref("CT3214568.fixUrls", true);
Supprimée : user_pref("CT3214568.installId", "ConduitNSISIntegration");
Supprimée : user_pref("CT3214568.installType", "ConduitNSISIntegration");
Supprimée : user_pref("CT3214568.isEnableAllDialogs", "{\"dataType\":\"string\",\"data\":\"true\"}");
Supprimée : user_pref("CT3214568.isNewTabEnabled", true);
Supprimée : user_pref("CT3214568.isPerformedSmartBarTransition", "true");
Supprimée : user_pref("CT3214568.isToolbarShrinked", "{\"dataType\":\"string\",\"data\":\"false\"}");
Supprimée : user_pref("CT3214568.keyword", true);
Supprimée : user_pref("CT3214568.navigationAliasesJson", "{\"EB_MAIN_FRAME_URL\":\"about%3Anewtab\",\"EB_MAIN_FR[...]
Supprimée : user_pref("CT3214568.openThankYouPage", "false");
Supprimée : user_pref("CT3214568.openUninstallPage", "true");
Supprimée : user_pref("CT3214568.search.searchAppId", "10000002");
Supprimée : user_pref("CT3214568.search.searchCount", "0");
Supprimée : user_pref("CT3214568.searchInNewTabEnabledInHidden", "true");
Supprimée : user_pref("CT3214568.selectToSearchBoxEnabled", "{\"dataType\":\"string\",\"data\":\"true\"}");
Supprimée : user_pref("CT3214568.serviceLayer_service_login_isFirstLoginInvoked", "{\"dataType\":\"boolean\",\"d[...]
Supprimée : user_pref("CT3214568.serviceLayer_service_login_loginCount", "{\"dataType\":\"number\",\"data\":\"2\[...]
Supprimée : user_pref("CT3214568.serviceLayer_service_toolbarGrouping_activeCTID", "{\"dataType\":\"string\",\"d[...]
Supprimée : user_pref("CT3214568.serviceLayer_service_toolbarGrouping_activeDownloadUrl", "{\"dataType\":\"strin[...]
Supprimée : user_pref("CT3214568.serviceLayer_service_toolbarGrouping_activeToolbarName", "{\"dataType\":\"strin[...]
Supprimée : user_pref("CT3214568.serviceLayer_service_toolbarGrouping_invoked", "{\"dataType\":\"string\",\"data[...]
Supprimée : user_pref("CT3214568.serviceLayer_service_usage_toolbarUsageCount", "{\"dataType\":\"number\",\"data[...]
Supprimée : user_pref("CT3214568.serviceLayer_services_appTrackingFirstTime_lastUpdate", "1344636974091");
Supprimée : user_pref("CT3214568.serviceLayer_services_appTracking_lastUpdate", "1344636981304");
Supprimée : user_pref("CT3214568.serviceLayer_services_appsMetadata_lastUpdate", "1344636973764");
Supprimée : user_pref("CT3214568.serviceLayer_services_gottenAppsContextMenu_lastUpdate", "1344636976415");
Supprimée : user_pref("CT3214568.serviceLayer_services_login_10.10.20.14_lastUpdate", "1344636980834");
Supprimée : user_pref("CT3214568.serviceLayer_services_optimizer_lastUpdate", "1344636977044");
Supprimée : user_pref("CT3214568.serviceLayer_services_otherAppsContextMenu_lastUpdate", "1344636976502");
Supprimée : user_pref("CT3214568.serviceLayer_services_searchAPI_lastUpdate", "1344636971972");
Supprimée : user_pref("CT3214568.serviceLayer_services_serviceMap_lastUpdate", "1344636971639");
Supprimée : user_pref("CT3214568.serviceLayer_services_toolbarContextMenu_lastUpdate", "1344636976308");
Supprimée : user_pref("CT3214568.serviceLayer_services_toolbarSettings_lastUpdate", "1344636972210");
Supprimée : user_pref("CT3214568.serviceLayer_services_translation_lastUpdate", "1344636973805");
Supprimée : user_pref("CT3214568.settingsINI", true);
Supprimée : user_pref("CT3214568.shouldFirstTimeDialog", "false");
Supprimée : user_pref("CT3214568.smartbar.CTID", "CT3214568");
Supprimée : user_pref("CT3214568.smartbar.Uninstall", "0");
Supprimée : user_pref("CT3214568.smartbar.homepage", true);
Supprimée : user_pref("CT3214568.smartbar.toolbarName", "FreeMake ");
Supprimée : user_pref("CT3214568.toolbarBornServerTime", "11-8-2012");
Supprimée : user_pref("CT3214568.toolbarCurrentServerTime", "11-8-2012");
Supprimée : user_pref("Smartbar.ConduitHomepagesList", "hxxp://search.conduit.com/?ctid=CT3214568&SearchSource=1[...]
Supprimée : user_pref("Smartbar.ConduitSearchEngineList", "FreeMake Customized Web Search");
Supprimée : user_pref("Smartbar.ConduitSearchUrlList", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT3214568[...]
Supprimée : user_pref("Smartbar.SearchFromAddressBarSavedUrl", "hxxp://redirecterror.sfr.fr/?q=");
Supprimée : user_pref("Smartbar.keywordURLSelectedCTID", "CT3214568");
Supprimée : user_pref("browser.search.selectedEngine", "FreeMake Customized Web Search");
Supprimée : user_pref("extensions.illimitux.ilx_pref_pt_veoh", false);

-\\ Google Chrome v24.0.1312.52

Fichier : C:\Users\Wayne\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.9] : homepage = "hxxp://search.conduit.com/?ctid=CT3214568&SearchSource=48&sspv=CHSB18",
Supprimée [l.13] : urls_to_restore_on_startup = [ "hxxp://search.conduit.com/?ctid=CT3214568&SearchSource=48&[...]
Supprimée [l.1805] : homepage = "hxxp://search.conduit.com/?ctid=CT3214568&SearchSource=48&sspv=CHSB18",
Supprimée [l.2307] : urls_to_restore_on_startup = [ "hxxp://search.conduit.com/?ctid=CT3214568&SearchSource=48&ssp[...]

-\\ Opera v12.10.1652.0

Fichier : C:\Users\Wayne\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [10254 octets] - [22/01/2013 21:24:21]
AdwCleaner[S1].txt - [10290 octets] - [22/01/2013 21:24:58]

########## EOF - C:\AdwCleaner[S1].txt - [10351 octets] ##########
0
Réponse 16 / 22
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
22 janv. 2013 à 21:55
Re,

Extra !

Encore des soucis ou on peut finaliser ?
0
Réponse 17 / 22
tala55 Messages postés 15 Date d'inscription lundi 21 janvier 2013 Statut Membre Dernière intervention 7 août 2015
22 janv. 2013 à 22:04
Oui, tout est OK.

Merci beaucoup vraiment, je pensais que j'allais devoir reformater mon ordi et perdre tout ce que j'ai dessus, c'est bien sympa de vous être occupé de mon cas :) ;)

Bonne soirée
0
Réponse 18 / 22
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
22 janv. 2013 à 22:12
Hop, pas tout à fait fini.

Il te reste le final : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

-> le plus important : tenir java et adobe à jour, c'est pas leurs failles qu'arrivent les infections. Désactiver Java des navigateurs

Bonne soirée aussi.
0
Réponse 19 / 22
tala55 Messages postés 15 Date d'inscription lundi 21 janvier 2013 Statut Membre Dernière intervention 7 août 2015
22 janv. 2013 à 22:59
# DelFix v10.0 - Rapport créé le 22/01/2013 à 22:42:20
# Mis à jour le 04/01/2013 par Xplode
# Nom d'utilisateur : Wayne - PC-DE-WAYNE

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\pre_scan
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Hijackthis
Supprimé : C:\Users\Wayne\Desktop\RK_Quarantine
Supprimé : C:\Program Files\Trend Micro\Hijackthis
Supprimé : C:\AdwCleaner[R1ppp].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Pre_Scan_21_01_2013_20_43_07.txt
Supprimé : C:\Users\Wayne\Desktop\adwcleaner.exe
Supprimé : C:\Users\Wayne\Desktop\defogger_disable.log
Supprimé : C:\Users\Wayne\Desktop\defogger_enable.log
Supprimé : C:\Users\Wayne\Desktop\Pre_Scan.pif
Supprimé : C:\Users\Wayne\Desktop\RKreport[1]_S_22012013_133211.txt
Supprimé : C:\Users\Wayne\Desktop\RKreport[2]_S_22012013_135654.txt
Supprimé : C:\Users\Wayne\Desktop\RKreport[3]_D_22012013_135813.txt
Supprimé : C:\Users\Wayne\Desktop\RKreport[4]_S_22012013_140715.txt
Supprimé : C:\Users\Wayne\Desktop\RKreport[5]_S_22012013_141956.txt
Supprimé : C:\Users\Wayne\Desktop\RogueKiller.exe
Supprimée : HKCU\Software\g3n-h@ckm@n
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

Supprimé : RP #945 [Windows Update | 11/27/2012 12:20:51]
Supprimé : RP #946 [Windows Update | 12/01/2012 15:11:29]
Supprimé : RP #947 [Point de contrôle planifié | 12/04/2012 15:29:55]
Supprimé : RP #948 [Windows Update | 12/04/2012 16:35:31]
Supprimé : RP #949 [Windows Update | 12/07/2012 19:24:28]
Supprimé : RP #950 [Point de contrôle planifié | 12/09/2012 21:56:24]
Supprimé : RP #951 [Windows Update | 12/11/2012 12:27:52]
Supprimé : RP #952 [Windows Update | 12/13/2012 15:59:42]
Supprimé : RP #953 [Point de contrôle planifié | 12/14/2012 17:36:39]
Supprimé : RP #954 [Point de contrôle planifié | 12/16/2012 18:54:10]
Supprimé : RP #955 [Windows Update | 12/18/2012 15:12:53]
Supprimé : RP #956 [Windows Update | 01/05/2013 15:34:23]
Supprimé : RP #957 [Windows Update | 01/06/2013 17:36:32]
Supprimé : RP #958 [Windows Update | 01/09/2013 15:40:56]
Supprimé : RP #959 [Windows Update | 01/12/2013 16:17:35]
Supprimé : RP #960 [Windows Update | 01/17/2013 16:20:18]
Supprimé : RP #961 [Windows Update | 01/20/2013 17:10:55]
Supprimé : RP #962 [Point de contrôle planifié | 01/21/2013 23:55:25]
Supprimé : RP #963 [Point de contrôle planifié | 01/22/2013 15:52:55]
Supprimé : RP #964 [Installed Java 7 Update 11 | 01/22/2013 21:28:27]
Supprimé : RP #965 [Removed Java 7 Update 11 | 01/22/2013 21:32:06]
Supprimé : RP #966 [Removed Java(TM) 6 Update 22 | 01/22/2013 21:33:04]
Supprimé : RP #967 [Supprimé JavaFX 2.1.1 | 01/22/2013 21:33:55]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########




Je peux passer le ccleaner ?
0
Réponse 20 / 22
juju666 Messages postés 35445 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 5 mai 2017 4 795
Modifié par juju666 le 22/01/2013 à 23:01
Yes vas-y :)

t'as juste à lancer CCleaner et cliquer sur Nettoyer.

.::. Contributeur Sécurité - Admin FEC Forums .::.
0

Discussions similaires

Mot de passe administrateur Freebox : où le trouver ?
Utilisateur anonyme -
Marie -

7 réponses
comment donner les droits sur fichier partage
ch'ti du 57 -
fil1958 -

2 réponses
Mdp administrateur freebox serveur
Milla0 -
Utilisateur anonyme -

1 réponse
Message Fransat : Pas de droits
Clem6464 -
Kurt -

4 réponses
Recherche mot de passe administrateur
clau972 -
brupala -

6 réponses