Désinfection ordinateur

gedehem Messages postés 36 Statut Membre -  
lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour,

Hello lilidurhone,

Comme convenu, j'ouvre un second sujet avec mon ordinateur.

Roguekiller 1 :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Guy [Droits d'admin]
Mode : Recherche -- Date : 01/06/2013 10:22:27
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] cltmng.exe -- C:\Users\Guy\AppData\Roaming\SearchProtect\bin\cltmng.exe [7] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 4 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : SearchProtect (C:\Users\Guy\AppData\Roaming\SearchProtect\bin\cltmng.exe) [7] -> TROUVÉ
[RUN][SUSP PATH] HKUS\S-1-5-21-2863918335-1177711610-131462902-1000[...]\Run : SearchProtect (C:\Users\Guy\AppData\Roaming\SearchProtect\bin\cltmng.exe) [7] -> TROUVÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++
--- User ---
[MBR] 5f4c1928e745cce081c032db920a3b18
[BSP] 3bf292b9094ad6555292a90b4aa66b3f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 154273 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 319025152 | Size: 149471 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: USB Flash Disk USB Device +++++
--- User ---
[MBR] 964fd54748b864e4d98d1214832b7626
[BSP] 741bdcfd57bfcd34c1d2e83d60170a57 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0x72) [VISIBLE] Offset (sectors): 778135908 | Size: 557377 Mo
1 - [XXXXXX] UNKNOWN (0x65) [VISIBLE] Offset (sectors): 168689522 | Size: 945326 Mo
2 - [XXXXXX] UNKNOWN (0x79) [VISIBLE] Offset (sectors): 1869881465 | Size: 945326 Mo
3 - [XXXXXX] UNKNOWN (0x0d) [VISIBLE] Offset (sectors): 2885681152 | Size: 27 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1]_S_01062013_102227.txt >>
RKreport[1]_S_01062013_102227.txt

Rapport Roguekiller 2 :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version
Demarrage : Mode normal
Utilisateur : Guy [Droits d'admin]
Mode : Suppression -- Date : 01/06/2013 10:23:14
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 1 ¤¤¤
[SUSP PATH] cltmng.exe -- C:\Users\Guy\AppData\Roaming\SearchProtect\bin\cltmng.exe [7] -> TUÉ [TermProc]

¤¤¤ Entrees de registre : 3 ¤¤¤
[RUN][SUSP PATH] HKCU\[...]\Run : SearchProtect (C:\Users\Guy\AppData\Roaming\SearchProtect\bin\cltmng.exe) [7] -> SUPPRIMÉ
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost
::1 localhost

¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++
--- User ---
[MBR] 5f4c1928e745cce081c032db920a3b18
[BSP] 3bf292b9094ad6555292a90b4aa66b3f : Windows Vista MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 154273 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 319025152 | Size: 149471 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: USB Flash Disk USB Device +++++
--- User ---
[MBR] 964fd54748b864e4d98d1214832b7626
[BSP] 741bdcfd57bfcd34c1d2e83d60170a57 : MBR Code unknown
Partition table:
0 - [XXXXXX] UNKNOWN (0x72) [VISIBLE] Offset (sectors): 778135908 | Size: 557377 Mo
1 - [XXXXXX] UNKNOWN (0x65) [VISIBLE] Offset (sectors): 168689522 | Size: 945326 Mo
2 - [XXXXXX] UNKNOWN (0x79) [VISIBLE] Offset (sectors): 1869881465 | Size: 945326 Mo
3 - [XXXXXX] UNKNOWN (0x0d) [VISIBLE] Offset (sectors): 2885681152 | Size: 27 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2]_D_01062013_102314.txt >>
RKreport[1]_S_01062013_102227.txt ; RKreport[2]_D_01062013_102314.txt

Lien rapport ZHPDiag :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130601_z8b6d6i12n6

Lien raport AdwCleaner 1 :

https://pjjoint.malekal.com/files.php?id=20130603_q15h6f14y715

Lien rapport AdwCleaner 2 :

https://pjjoint.malekal.com/files.php?id=20130603_k9r14r813u14

Lien rapport ZHPDiag 2 :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130603_g11r9o14h6e11

Voilà c'est tout.

Merci d'avance.

gedehem

18 réponses

  1. jacques.gache Messages postés 34829 Statut Contributeur sécurité 1 645
     
    bonjour, je viens de MP lilidurhone !!
    1
    1. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
       
      Merci jacques ;)
      0
  2. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    Je te prends en charge mais regarderai tes rapports demain ;)
    0
  3. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    On va faire un scan généralisé pour voir si d'autres infections ne se cachent pas

    Télécharge MalwareBytes' anti-malware sur le bureau
    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
    Cliques droit sur l'icône Download_mbam-setup.exe afin de l'exécuter en tant qu'admin pour lancer le processus d'installation
    Si la pare-feu demande l'autorisation de se connecter pour malwareBytes, accepte
    Décoche pour la version d'essai pour malwarebytes pro
    Il va se mettre à jour une fois faite
    Va dans l'onglet recherche
    Sélectionne exécuter un examen complet
    Clique sur rechercher
    Le scan démarre
    A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
    Clique sur afficher les résultats pour afficher les objets trouvés
    Clique sur OK pour poursuivre
    Si des malwares ont été détectés, cliquer sur afficher les résultats
    Sélectionne tout (ou laisser coché)
    Clique sur tout supprimer
    MalwareBytes va détruire les fichiers et les clés de registre et en mettre une
    copie dans la quarantaine
    Malwarebytes va ouvrir le bloc-note et y copier le rapport
    Redémarre le PC
    Une fois redémarré, double-clique sur MalwareBytes
    Va dans l'onglet rapport/log
    Clique dessus pour l'afficher une fois affiché, cliquer sur édition
    en haut du bloc-note puis sur sélectionner tout
    Reviens sur édition, puis sur copier et reviens
    sur le forum dans ta réponse
    Clic droit dans le cadre de la réponse et coller

    Bonne chance
    0
  4. gedehem Messages postés 36 Statut Membre
     
    Hello,

    De retour avec une galère hier pour achever l'analyse complète de l'ordi.

    Au bout de 2h et quelques il plantait.

    J'ai donc dû procéder en deux fois : une fois le disque E /et une fois le disque C/.

    Voiçi les rapports :

    Disque (E:\l)
    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.06.04.02

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    Guy :: PC-DE-GUY [administrateur]

    04/06/2013 17:59:51
    mbam-log-2013-06-04 (17-59-51).txt

    Type d'examen: Examen complet (E:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 246009
    Temps écoulé: 10 minute(s), 5 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)

    Disque (C:\l)
    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.06.04.02

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    Guy :: PC-DE-GUY [administrateur]

    04/06/2013 20:43:21
    mbam-log-2013-06-04 (20-43-21).txt

    Type d'examen: Examen complet (C:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 436795
    Temps écoulé: 2 heure(s), 42 minute(s), 56 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)

    Je dois dire, que depuis les opérations précédentes (Roguekiller, ZHP et AwdCleaner) mon ordi marche beaucoup mieux, à peu près comme au début.

    gedehem
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    Peux tu refaire un zhpdiag s'il te plaît

    Sur ton autre sujet je te donnerai les consignes de fin de désinfection :)

    0
  7. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello ged

    Désinstalles

    Adobe Reader 8.1.4 - Français
    Java 7 Update 15

    Ils ne sont pas à jour

    Pour adobe reader c'est par ici https://get2.adobe.com/fr/reader/otherversions/ (n'oublies pas de décocher Macfee security scan )
    Pour java c'est par là https://www.java.com/fr/download/ (n'oublies pas de décocher ask qui te sera proposé lors de l'installation
    Pour java n'oublies pas de désinstaller les anciennes versions avant d'installer la dernière version
    0
  8. gedehem Messages postés 36 Statut Membre
     
    Hello,

    Voilà, j'ai installé Adobe Reader X(10.1.4)-Français et Java 7 Update 21.

    Pour Java j'ai encore Java (TM) 6 Update 7. Faut-il que je le désinstalle ?

    gedehem
    0
  9. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Oui

    Refais un zhpdiag
    0
  10. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello ged

    Tu as une possible infection USB

    Fais ceci

    Recherche :
    * Télécharge http://general-changelog-team.fr/downloads/viewdownload/15-outils-de-el-desaparecido/79-usbfix (créé par El Desaparecido) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    * Si le premier lien ne marche pas utilises le second https://www.commentcamarche.net/download/s/USBfix
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
    * Au menu principal, clique sur "Recherche"
    * Laisse travailler l'outil
    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    0
  11. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello ged

    Suppression
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
    * Clique sur "Suppression"
    * Laisse travailler l'outil
    * Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
    * A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    0
  12. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Refais un zhpdiag
    0
  13. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Ok je regarderaï ca
    0
  14. lilidurhone Messages postés 800 Date d'inscription   Statut Contributeur sécurité Dernière intervention   3 818
     
    Hello

    Attention script personnalisé à ne pas reproduire sur un autre ordinateur risque de plantage

    * Copies uniquement les lignes indiquées en gras ci-dessous dans le presse papier(tu surlignes avec la souris puis clic droit copier)

    M3 - MFPP: Plugins - [Guy] -- C:\Users\Guy\AppData\Roaming\Mozilla\Firefox\Profiles\1tbgvasc.default\searchplugins\Mysearchdial.xml =>Adware.MyWebSearch
    M0 - MFSP: prefs.js [Guy - 1tbgvasc.default] http://start.mysearchdial.com =>Adware.MyWebSearch
    M2 - MFEP: prefs.js [Guy - 1tbgvasc.default\webbooster@iminent.com] [] Iminent Minibar v6.21.4.1 (..) =>Adware.IMBooster
    M2 - MFEP: prefs.js [Guy - 1tbgvasc.default\{5a95a9e0-59dd-4314-bd84-4d18ca83a0e2}] [] Wajam v1.26 (..) =>Toolbar.Wajam
    M2 - MFEP: prefs.js [Guy - 1tbgvasc.default\{ad9a41d2-9a49-4fa6-a79e-71a0785364c8}] [] MySearchDial v7.0 (..) =>Adware.MyWebSearch
    O39 - APT:Automatic Planified Task - C:\Windows\Tasks\Dealply.job [282] =>PUP.DealPly
    O39 - APT:Automatic Planified Task - C:\Windows\Tasks\SpeedMaxPc Registration3.job [436] =>PUP.SpeedMaxPc
    O39 - APT:Automatic Planified Task - C:\Windows\Tasks\SpeedMaxPc Update3.job [394] =>PUP.SpeedMaxPc
    O39 - APT:Automatic Planified Task - C:\Windows\Tasks\SpeedMaxPc.job [372] =>PUP.SpeedMaxPc
    [MD5.00000000000000000000000000000000] [APT] [Dealply] (...) -- C:\Users\Guy\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.exe (.not file.) [0] =>PUP.DealPly
    [MD5.00000000000000000000000000000000] [APT] [SpeedMaxPc] (...) -- C:\Program Files\SpeedMaxPc\SpeedMaxPc\SpeedMaxPc.exe (.not file.) [0] =>PUP.SpeedMaxPc
    [MD5.00000000000000000000000000000000] [APT] [SpeedMaxPc Update3] (...) -- C:\Program Files\Common Files\SpeedMaxPc\UUS3\Update3.exe (.not file.) [0] =>PUP.SpeedMaxPc
    O42 - Logiciel: Iminent - (.Iminent.) [HKLM] -- {29C7E8BE-FBD9-4D91-BC4F-B470C718D554} =>Adware.IMBooster
    O42 - Logiciel: SpeedMaxPc - (.SpeedMaxPc.) [HKLM] -- {D894938C-8EE1-4854-9254-8F9AEF2BFE46} =>PUP.SpeedMaxPc
    [HKCU\Software\BabSolution] =>Hijacker.BabSolution
    [HKCU\Software\Mixi.DJ]
    O43 - CFD: 18/05/2013 - 16:30:49 - [5,353] ----D C:\ProgramData\BrowserProtect =>Hijacker.Eazel
    O45 - LFCP:[MD5.D31192CE4A981FA5C943178EE4A29102] - 18/05/2013 - 11:42:29 ---A- - C:\Windows\Prefetch\BROWSERPROTECT.EXE-042AB4BC.pf =>Hijacker.Eazel
    O69 - SBI: SearchScopes [HKCU] {94AE486C-6A38-47EB-B07C-0C4D841721B9} [DefaultScope] - (Mysearchdial) - http://start.mysearchdial.com =>Adware.MyWebSearch
    O69 - SBI: SearchScopes [HKCU] {A35921C9-F3CA-4440-8B55-15220F312C28} - ({A35921C9-F3CA-4440-8B55-15220F312C28}) - http://search.babylon.com =>Toolbar.Babylon
    O69 - SBI: SearchScopes [HKCU] {C72B17C2-2333-440D-B065-57EE74DFC5CA} - ({C72B17C2-2333-440D-B065-57EE74DFC5CA}) - http://search.babylon.com =>Toolbar.Babylon
    O69 - SBI: SearchScopes [HKCU] {26C348B8-F365-4267-8111-92C328076CA1} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
    O69 - SBI: SearchScopes [HKCU] {38B0C5D2-1019-E8DE-2E36-3E0F9470D4BF} - (MixiDJ V30 Customized Web Search) - http://search.conduit.com =>Toolbar.MixiDJ
    [HKLM\Software\Classes\.bk1] =>Adware.VirtualGirl
    [HKLM\Software\Classes\.bk2] =>Adware.VirtualGirl
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08C06D61-F1F3-4799-86F8-BE1A89362C85}] =>Toolbar.Orange
    [HKLM\Software\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}] =>Toolbar.Orange
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D894938C-8EE1-4854-9254-8F9AEF2BFE46}] =>PUP.SpeedMaxPc
    [HKCU\Software\Mixi.DJ] =>Toolbar.MixiDJ
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F1057DD419AED0B468AD8888429E139A] =>Adware.IMBooster
    [HKLM\Software\Google\Chrome\Extensions\pflphaooapbgpeakohlggbpidpppgdff] =>Adware.MyWebSearch
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1122B43D-30EE-403F-9BFA-3CC99B0CADDD}] =>Toolbar.MixiDJ
    [HKLM\Software\Classes\esrv.mysearchdialESrvc] =>Adware.MyWebSearch
    [HKLM\Software\Classes\esrv.mysearchdialESrvc.1] =>Adware.MyWebSearch
    C:\ProgramData\BrowserProtect =>Hijacker.Eazel
    C:\Users\Guy\AppData\Roaming\Mozilla\Firefox\Profiles\1tbgvasc.default\Extensions\webbooster@iminent.com =>Adware.IMBooster
    O90 - PUC: "EB8E7C929DBF19D4CBF44B077C815D45" . (.Iminent.) -- C:\Windows\Installer\{29C7E8BE-FBD9-4D91-BC4F-B470C718D554}\imbooster.ico =>Adware.IMBooster
    Sysrestore
    EmptyTemp
    EmptyCLSID
    FirewallRaz


    * Lance ZHPFix (icône seringue)en tant qu'administrateur puis clique sur OK pour continuer.

    * Tu dois voir les lignes ci-dessus dans le cadre blanc de ZHPFix, vérifie bien que ce sont ces lignes.

    * Si tu ne vois pas les lignes clic droit dans l'encadré puis coller

    * Clique sur le bouton GO pour lancer le nettoyage, et laisse l'outil travailler.

    * Redémarre le PC et poste le rapport C:\ZHP\ZHPFixReport.txt

    0