virus aidez-moi ! Résolu/Fermé

Question

Bonjour, 

Configuration: Windows 7 / Firefox 20.0

j'ai attrapé un (ou plusieurs ...) virus en téléchargeant un programme qui m'a ajouté des tas de choses inutiles alors même que j'avais désactivé toutes les options proposées ( google chrome et autres toolbars ...).

Pouvez-vous m'aidez svp. Merci d'avance.

yoann090 · Answer

Bonjour, tu as attrapé des adwares

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau : https://toolslib.net

-Lance le, clique sur [Suppression] puis patiente le temps du scan.

Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

mouatan · Answer

Merci beaucoup Yoann, voici le lien pour le rapport de  AdwCleaner :

https://www.cjoint.com/c/CEqxLCkgcHh 

Dis-moi, c'est grave Docteur ?

yoann090 · Answer

C est surtout genant mais pas grave en soit. On va faire un diagnostique pour voir ce qu'il reste suis ce tutoriel et donne le lien du rapport hebergé 
https://www.security-helpzone.com/2013/04/14/zhpdiag-generer-un-rapport-de-diagnostic/

mouatan · Answer

Voilà le lien pour le rapport :  https://www.cjoint.com/c/CErcjOGZmw2 

Merci encore. Je vais me coucher, demain je bosse. Je te recontacterai demain. Merci Yoann.

yoann090 · Answer

J'ai vu que vous aviez Malwarebytes d'installer sur votre PC. Mettez le à jour et faite un scan complet, si le scan retourne quelque chose postez le rapport. 

Sinon j'aimerais que tu vérifies un fichier sur Virus total. 

Fais analyser le(s) fichier(s) suivants sur Virustotal :

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) : 

 C:\Windows\System32\rpcnetp.dll   

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché. 
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page. 
* Lorsque l'analyse est terminée colle le lien de la page dans ta prochaine réponse (le contenu de la barre d'adresse qui commence par http).

mouatan · Answer

Salut Yoann, 

voici le lien pour le fichier analisé :  https://www.virustotal.com/fr/file/1577a4fe090abcb1291f53961f0f37cc5f40c36bf32546a7ff59cd32e2f62b10/analysis/1368819535/


Et là, le rapport de MBAM : 

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.05.17.06

Windows 7 Service Pack 1 x86 NTFS
Internet Explorer 9.0.8112.16421
Enseignant :: CG943C170716H [administrateur]

Protection: Activé

17/05/2013 21:35:06
MBAM-log-2013-05-17 (23-11-26).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 386279
Temps écoulé: 1 heure(s), 6 minute(s), 36 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 1
HKCR\regfile\shell\open\command| (Broken.OpenCommand) -> Mauvais: ("regedit.exe" "%1") Bon: (regedit.exe "%1") -> Aucune action effectuée.

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)
Voilà, apparemment y avait une cochonnerie qui trainait. Je le supprime !?

mouatan · Answer

voilà ! j'ai jeté par la fenêtre cet intrus "hasta la vista, baby !" j'espère ne plus le revoir.

Merci à toi Yoann. Tu penses que c'est tout bon et qu'il n'y a pas autre chose ...! ?
Et notre fichier là, qu'est ce que j'en fais ?

yoann090 · Answer

Re, 

Copie le texte en gras ci dessous : 

SysRestore
O43 - CFD: 16/05/2013 - 22:37:35 - [0,452] ----D C:\Program Files\Search Results Toolbar
O45 - LFCP:[MD5.A6E5269B8B7D3D85B69E9CEE69145244] - 04/05/2013 - 22:13:23 ---A- - C:\Windows\Prefetch\MEDIABAR.EXE-0EAC1104.pf    
O45 - LFCP:[MD5.AA1451CE3B6F6B0A4F3FAE9D75DAE07A] - 04/05/2013 - 22:13:42 ---A- - C:\Windows\Prefetch\ILIVIDMEDIABAR.EXE-A73D8591.pf
O45 - LFCP:[MD5.EE845435F39F5442896B77921F8FAFCC] - 04/05/2013 - 22:13:54 ---A- - C:\Windows\Prefetch\DATAMNGRCOORDINATOR.EXE-504738C9.pf
O45 - LFCP:[MD5.1D6F2F686D3EEABD29777DB9546A06AD] - 04/05/2013 - 22:23:08 ---A- - C:\Windows\Prefetch\ILIVIDSETUP-R140-N-BF.EXE-630C199E.pf
O45 - LFCP:[MD5.BBB63CF9D98EC6A55CC92E1EBABA95A3] - 16/05/2013 - 08:45:27 ---A- - C:\Windows\Prefetch\DATAMNGRUI.EXE-62AADE7B.pf
[HKLM\Software\Microsoft\Tracing\YourFile_RASAPI32]
[HKLM\Software\Microsoft\Tracing\YourFileUpdater_RASAPI32]
[HKLM\Software\Microsoft\Tracing\YourFileUpdater_RASMANCS]
[HKLM\Software\Microsoft\Tracing\Searchqu Toolbar uninstall_RASAPI32]
[HKLM\Software\Microsoft\Tracing\Searchqu Toolbar uninstall_RASMANCS]
C:\Program Files\Search Results Toolbar
EmptyTemp


Puis suis ce tutoriel : https://www.security-helpzone.com/2013/04/14/zhpfix-fixer-les-lignes-dun-rapport-zhpdiag/

foo · Answer

Bonjour Yoann, je te laisse le rapport de ZHP :
____
Rapport de ZHPFix 2013.5.11.1 par Nicolas Coolman, Update du 11/05/2013
Fichier d'export Registre : 
Run by Enseignant at 19/05/2013 16:22:18
High Elevated Privileges : OK
Windows 7 Business Edition, 32-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Microsoft\Tracing\YourFile_RASAPI32
SUPPRIME Key: HKLM\Software\Microsoft\Tracing\YourFileUpdater_RASAPI32
SUPPRIME Key: HKLM\Software\Microsoft\Tracing\YourFileUpdater_RASMANCS
SUPPRIME Key: HKLM\Software\Microsoft\Tracing\Searchqu Toolbar uninstall_RASAPI32
SUPPRIME Key: HKLM\Software\Microsoft\Tracing\Searchqu Toolbar uninstall_RASMANCS

========== Dossier(s) ==========
SUPPRIME Folder: C:\Program Files\Search Results Toolbar
SUPPRIME Temporaires Windows

========== Fichier(s) ==========
SUPPRIME File: c:\windows\prefetch\mediabar.exe-0eac1104.pf 
SUPPRIME File: c:\windows\prefetch\ilividmediabar.exe-a73d8591.pf 
SUPPRIME File: c:\windows\prefetch\datamngrcoordinator.exe-504738c9.pf 
SUPPRIME File: c:\windows\prefetch\ilividsetup-r140-n-bf.exe-630c199e.pf 
SUPPRIME File: c:\windows\prefetch\datamngrui.exe-62aade7b.pf 
ABSENT Folder/File: c:\program files\search results toolbar
SUPPRIME Temporaires Windows

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
5 : Clé(s) du Registre
2 : Dossier(s)
7 : Fichier(s)
1 : Restauration Système


End of clean in 00mn 21s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 19/05/2013 16:22:18 [1572]
________
1) Dis-moi, je fais quoi avec ZHPFix, je ferme le programme ?
2) J'aimerai bien savoir faire ça comme toi. Ce texte en gras, tu l'as composé toi-même ? Comment tu fais ? ça m'intéresse ...

yoann090 · Answer

J'ai bien reçu ton MP. Sans doute une erreur de frappe. J'avais vu ton message tout à l'heure mais j'étais pas sur l'ordi et c'était difficile de répondre. 

Pour le ZHPFix c'est OK. Oui tu peux le fermer. 

Pour le texte en gras, disons que j'utilise en partie un outil de coloration qui me permet de retrouver plus rapidement les lignes potentiellement infectées même si je lis le rapport en entier. Après disons que c'est l'habitude tout ce qui s'appelle Ask, Babylon, Boxore, certified search, delta, ... je sais que c'est des adwares, idem pour les autres infections System care antivirus est un rogue, ... et pour les lignes du rapport que je ne connais pas je fais des recherches (principalement pour des clés de registre, MD5) et pour les programmes inconnus je demande à l'utilisateur si il sait ce que c'est.

SysRestore et EmptyTemp, c'est des commandes pour créer un point de restauration et vider le dossier temporaire.

yoann090 · Answer

Si tu n'as plus de soucis, on va nettoyer les outils. 

* Télécharge DelFix (d'Xplode) sur ton bureau.
* Lance le, laisse la case précochée

* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
* Le rapport sera enregistré sous C:\DelFix.txt. Copie/Colle le dans ta prochaine réponse.

mouatan · Answer

Voilà le rapport. Ca a l'air d'aller maintenant. 
Aurais-tu un conseil à me transmettre pour aiguiser ma vigilance, Yoann ?
_______________________

# DelFix v10.2 - Rapport créé le 19/05/2013 à 22:04:09
# Mis à jour le 02/04/2013 par Xplode
# Nom d'utilisateur : Enseignant - CG943C170716H
# Système d'exploitation : Windows 7 Professional Service Pack 1 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

########## - EOF - ##########

yoann090 · Answer

Ouep c est bien. 

Telecharge le plus possible sur les sites des editeurs, lis les conditions d installation. Evite les sites comme Softonic ou 01net qui repack les logiciels pour y integrer toolbar, pub,...

Je te passerai plus doc demain si tu veux ;)

mouatan · Answer

Oui, ça je fais toujours super gaffe. Je ne télécharge que sur les sites des éditeurs ou via "comment ça marche" ...

Mais je crois que j'attrape des trucs en surfant - je suis sûr que certains sites nous envoient des microbes par le seul fait d'ouvrir leurs pages.

Et aussi lorsque je connecte mes clés USB sur d'autres machines. 

J'avais lu un article - je sais plus où - sur les différentes manières de protéger et de vacciner ses clés. Mais c'était pas très clair. beaucoup trop de possibilités qui ne réussissaient qu'à obscurcir la solution idéale.

mouatan · Answer

Oui, je veux bien ces doc, Yoann. Je te remercie infiniment. Et pour ton aide précieuse, et pour tes conseils. Merci encore.

mouatan · Answer

Thank's y buonanotte. ciao, a Domani.

yoann090 · Answer

Si tu veux gagner un peu de temps :
---> Désactiver vos protections (logiciel antivirus etc...)

---> Téléchargez USBFix (créé par El Desaparecido) sur votre bureau.

http://services.service-webmaster.fr/cpt-clics/clics-30453-6505.html

---> Branchez toutes vos disques amovibles (clef USB, disque dur externe, etc...) sans les ouvrir !

---> Lancez UsbFix et cliquez sur [Recherche]

---> À la fin du scan, un rapport s'affichera, postez-le dans votre prochaine réponse sur le forum ou hébergez le rapport en ligne.

http://www.security-helpzone.com/Thread-Heberger-ses-documents-gratuitement

---> Le rapport est aussi sauvegardé ici : C:\UsbFix.txt

Pense a reactiver tes protections des le scan fini.

xkira · Answer

C est l horreur quand tu as des barres inutiles comme ca! Ca fait ramer ton pc et c est inutile...
Désinstalle le au + vite

yoann090 · Answer

Bonjour xkira, je suis désolé de te dire ça mais ton message n'a guère plus d'utilité. 
Cordialement

mouatan · Answer

Bonsoir Yoann, 

voici deux rapports d'USBFIX, comme je n'ai que trois ports USB ... 

A bientôt.

mouatan · Answer

Ah oui ... ! J'ai oublié de les joindre !!! quelle tête je suis ! Je t'envoie ça, désolé.

>  http://cjoint.com/?CEvjMOK4O0v 


>  http://cjoint.com/?CEvjNE4PbHZ 


Voilà, l'oubli est réparé.

yoann090 · Answer

Relance AdwCleaner avec les 2 clés du premier rapport et clique sur Suppression. 

Pour le deuxième rapport peux tu me dire à quoi corresponde les fichiers js apparaissant dans les lignes Elements infectieux stp.

mouatan · Answer

1) J 'ai relancé AdwCleaner avec les deux clés et j'ai fait "Recherche" puis "suppression". Ensuite j'ai remis un coup de USBfix pour voir. Les éléments infectieux sont toujours là. Mais tu sais je crois que c'est une vaccination que j'avais faite et le fichier autorun.inf avait été créé pour tromper d'éventuels virus. 

En tous cas voici les deux rapports (adw et usbfix).
http://cjoint.com/?CEvx6Uc4wA3 
http://cjoint.com/?CEwaatey6Qq 
__________________________________________________________________
2) Il s'agit d'une adresse internet d'un document HTML m'intéressant que j'ai enregistré sur la clé. voici les capture écran du contenu du dossier.
 http://cjoint.com/?CEwacyOkdLC 
Tu peux voir le lien enregistré ici dans la clé : 	http://cjoint.com/?CEwafGbhmPb
Voilà. Dis-moi je te prie ce que tu en pense. Merci. Henri.

yoann090 · Answer

Arf autant pour moi, quand je disais relance en suppression avec les deux premieres clés, je n ai pas precisé je parlais de USBFix en suppression (pas adwcleaner).

Pour 2) ok

mouatan · Answer

bonsoir Yoann, j'ai au final passé un coup de Adwcleaner - le rapport ci-dessous - je pense que c'est ok. 

Juste, que j'ai essayé tout à l'heure USBFIX en branchant mon HD externe et deux clés USB, et à 14% tout s'est figé. J'ai du rebooter ... alors, c'est vrai que j'avais oublié de suspendre Avast, mais bon.

En tous cas, si c'est ok, je te remercie infiniment pour ta précieuse aide. 

Bonne soirée à toi.
______
# AdwCleaner v2.301 - Rapport créé le 21/05/2013 à 23:35:09
# Mis à jour le 16/05/2013 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (32 bits)
# Nom d'utilisateur : Enseignant - CG943C170716H
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Enseignant\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****


***** [Registre] *****


***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16483

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v20.0.1 (fr)

Fichier : C:\Users\Enseignant\AppData\Roaming\Mozilla\Firefox\Profiles\utyheag7.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v [Impossible d'obtenir la version]

Fichier : C:\Users\Enseignant\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [1123 octets] - [21/05/2013 23:34:26]
AdwCleaner[S1].txt - [1057 octets] - [21/05/2013 23:35:09]

########## EOF - C:\AdwCleaner[S1].txt - [1117 octets] ##########

mouatan · Answer

euh .......
Salut c'est encore moi. J'avais deux questions en suspend.

1) Dois-je désinstaller Adwcleaner et Usbfix ?

2) il y a qques temps, Dr.Web avait détecté deux soi-disant virus, qu'en pense-tu stp ? Merci d'avance Yoann. Voici le lien :


                               http://cjoint.com/?CEwxfbc4B2B

yoann090 · Answer

Non AdwCleaner tu l'oublies on en a fini avec lui.

Repasse usbfix en suppression en desactivant ton antivirus et si ca bloque (il faut quand meme attendre un peu) refais le en mode sans echec. 

Pour la suppression des outils on fera tout d un coup a la fin.

mouatan · Answer

USB reste bloqué à 14 %. J'ai essayé plusieurs fois et j'ai chaque fois été obligé de rebooter. En revanche, en mode sans échec, no problemo, ça marche.

Voici le dernier rapport. http://cjoint.com/?CEyav6Nu328

mouatan · Answer

Je sais plus .... non, non, en suppression ! Demain, je le referai en recherche d'abord, puis en suppression ensuite, et je te dirai. ciao.

mouatan · Answer

Salut, même en suppression, ça bloque à 14 % ... alors j'ai effectué l 'opération en mode sans échec. Je t'envoie ce rapport.

Mais alors pourquoi la progression s'arrête à 14 % ?

Là, actuellement je suis encore en mode sans échec.

yoann090 · Answer

Le blocage a 14% correspond a l arret des processus le cpncepteur travaille a un correctif. En mode sans echec seul les elements vitaux sont demarrés.

mouatan · Answer

bon, et que dois-je faire alors, puisque tout se bloque à ces 14% ? Que suis-je censé faire, Yoann ?

mouatan · Answer

Oui, oui en mode sans échec, ça marche effectivement. C'est ce que je te disais. Mais alors pourquoi ça passe plus en mode normal ? Je laisse comme ça, c'est pas grave ?

mouatan · Answer

Oui bien sûr, voici les deux derniers rapports d'usbfix en suppression : 


http://cjoint.com/?CEAbLoAlNON

http://cjoint.com/?CEAbLVuU6NF

Bonne soirée Yoann.

yoann090 · Answer

Bien. Plus de soucis ?

mouatan · Answer

Non, ça a l'air d'aller. Je te remercie Yoann pour ton aide précieuse. 

 Tu sais, j'aimerais bien moi aussi pouvoir aider comme toi efficacement ceux qui rencontrent des problèmes techniques. Mais j'ai l'impression qu'il faut maîtriser un sacré nombre de trucs ... ! Enfin, peut-être un jour .... 

A bientôt et au plaisir Yoann ;)

mouatan · Answer

Au fait je fais quoi de Adwcleaner et usb ? je les désinstalle ?

mouatan · Answer

OK j'ai lancé  DelFix et c'est tout bon. Voici le rapport. Merci pour tout Yoann ;)
------------
# DelFix v10.2 - Rapport créé le 30/05/2013 à 09:09:56
# Mis à jour le 02/04/2013 par Xplode
# Nom d'utilisateur : Enseignant - CG943C170716H
# Système d'exploitation : Windows 7 Professional Service Pack 1 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\USBFix
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\Users\Enseignant\Desktop\adwcleaner.exe
Supprimé : C:\Users\Enseignant\Desktop\UsbFix.exe
Supprimée : HKCU\Software\USBFix
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix

########## - EOF - ##########

yoann090 · Answer

De rien. 

Bonne continuation ;)

mouatan · Answer

Merci mon ami ! Porte-toi bien.

Virus aidez-moi !

40 réponses

Discussions similaires