Désinfection ordinateur Fermé

Question

Bonjour, Hello lilidurhone, Comme convenu, j'ouvre un second sujet avec mon ordinateur. Roguekiller 1 : RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Guy [Droits d'admin] Mode : Recherche -- Date : 01/06/2013 10:22:27 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 1 ¤¤¤ [SUSP PATH] cltmng.exe -- C:\Users\Guy\AppData\Roaming\SearchProtect\bin\cltmng.exe [7] -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 4 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : SearchProtect (C:\Users\Guy\AppData\Roaming\SearchProtect\bin\cltmng.exe) [7] -> TROUVÉ [RUN][SUSP PATH] HKUS\S-1-5-21-2863918335-1177711610-131462902-1000[...]\Run : SearchProtect (C:\Users\Guy\AppData\Roaming\SearchProtect\bin\cltmng.exe) [7] -> TROUVÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> TROUVÉ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++ --- User --- [MBR] 5f4c1928e745cce081c032db920a3b18 [BSP] 3bf292b9094ad6555292a90b4aa66b3f : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 154273 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 319025152 | Size: 149471 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: USB Flash Disk USB Device +++++ --- User --- [MBR] 964fd54748b864e4d98d1214832b7626 [BSP] 741bdcfd57bfcd34c1d2e83d60170a57 : MBR Code unknown Partition table: 0 - [XXXXXX] UNKNOWN (0x72) [VISIBLE] Offset (sectors): 778135908 | Size: 557377 Mo 1 - [XXXXXX] UNKNOWN (0x65) [VISIBLE] Offset (sectors): 168689522 | Size: 945326 Mo 2 - [XXXXXX] UNKNOWN (0x79) [VISIBLE] Offset (sectors): 1869881465 | Size: 945326 Mo 3 - [XXXXXX] UNKNOWN (0x0d) [VISIBLE] Offset (sectors): 2885681152 | Size: 27 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[1]_S_01062013_102227.txt >> RKreport[1]_S_01062013_102227.txt Rapport Roguekiller 2 : RogueKiller V8.5.4 [Mar 18 2013] par Tigzy mail : tigzyRKgmailcom Remontees : https://www.luanagames.com/index.fr.html Site Web : https://www.luanagames.com/index.fr.html Blog : http://tigzyrk.blogspot.com/ Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version Demarrage : Mode normal Utilisateur : Guy [Droits d'admin] Mode : Suppression -- Date : 01/06/2013 10:23:14 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 1 ¤¤¤ [SUSP PATH] cltmng.exe -- C:\Users\Guy\AppData\Roaming\SearchProtect\bin\cltmng.exe [7] -> TUÉ [TermProc] ¤¤¤ Entrees de registre : 3 ¤¤¤ [RUN][SUSP PATH] HKCU\[...]\Run : SearchProtect (C:\Users\Guy\AppData\Roaming\SearchProtect\bin\cltmng.exe) [7] -> SUPPRIMÉ [HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0) [HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0) ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [CHARGE] ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> C:\Windows\system32\drivers\etc\hosts 127.0.0.1 localhost ::1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: TOSHIBA MK3252GSX +++++ --- User --- [MBR] 5f4c1928e745cce081c032db920a3b18 [BSP] 3bf292b9094ad6555292a90b4aa66b3f : Windows Vista MBR Code Partition table: 0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 1500 Mo 1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 3074048 | Size: 154273 Mo 2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 319025152 | Size: 149471 Mo User = LL1 ... OK! User = LL2 ... OK! +++++ PhysicalDrive1: USB Flash Disk USB Device +++++ --- User --- [MBR] 964fd54748b864e4d98d1214832b7626 [BSP] 741bdcfd57bfcd34c1d2e83d60170a57 : MBR Code unknown Partition table: 0 - [XXXXXX] UNKNOWN (0x72) [VISIBLE] Offset (sectors): 778135908 | Size: 557377 Mo 1 - [XXXXXX] UNKNOWN (0x65) [VISIBLE] Offset (sectors): 168689522 | Size: 945326 Mo 2 - [XXXXXX] UNKNOWN (0x79) [VISIBLE] Offset (sectors): 1869881465 | Size: 945326 Mo 3 - [XXXXXX] UNKNOWN (0x0d) [VISIBLE] Offset (sectors): 2885681152 | Size: 27 Mo User = LL1 ... OK! Error reading LL2 MBR! Termine : << RKreport[2]_D_01062013_102314.txt >> RKreport[1]_S_01062013_102227.txt ; RKreport[2]_D_01062013_102314.txt Lien rapport ZHPDiag : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130601_z8b6d6i12n6 Lien raport AdwCleaner 1 : https://pjjoint.malekal.com/files.php?id=20130603_q15h6f14y715 Lien rapport AdwCleaner 2 : https://pjjoint.malekal.com/files.php?id=20130603_k9r14r813u14 Lien rapport ZHPDiag 2 : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130603_g11r9o14h6e11 Voilà c'est tout. Merci d'avance. gedehem Configuration: Windows Vista / Internet Explorer 7.0

jacques.gache · Answer

bonjour, je viens de MP lilidurhone  !!

lilidurhone · Answer

Hello

Je te prends en charge mais regarderai tes rapports demain ;)

lilidurhone · Answer

Hello


On va faire un scan généralisé pour voir si d'autres infections ne se cachent pas

Télécharge MalwareBytes' anti-malware sur le bureau
https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
Cliques droit sur l'icône Download_mbam-setup.exe afin de l'exécuter en tant qu'admin pour lancer le processus d'installation
Si la pare-feu demande l'autorisation de se connecter pour malwareBytes, accepte
Décoche pour la version d'essai pour malwarebytes pro
Il va se mettre à jour une fois faite
Va dans l'onglet recherche
Sélectionne exécuter un examen complet
Clique sur rechercher
Le scan démarre
A la fin de l'analyse, le message s'affiche: L'examen s'est terminé normalement.
Clique sur afficher les résultats pour afficher les objets trouvés
Clique sur OK pour poursuivre
Si des malwares ont été détectés, cliquer sur afficher les résultats
Sélectionne tout (ou laisser coché)
Clique sur tout supprimer
MalwareBytes va détruire les fichiers et les clés de registre et en mettre une
copie dans la quarantaine
Malwarebytes va ouvrir le bloc-note et y copier le rapport
Redémarre le PC
Une fois redémarré, double-clique sur MalwareBytes
Va dans l'onglet rapport/log
Clique dessus pour l'afficher une fois affiché, cliquer sur édition
en haut du bloc-note puis sur sélectionner tout
Reviens sur édition, puis sur copier et reviens
sur le forum dans ta réponse
Clic droit dans le cadre de la réponse et coller

Bonne chance

gedehem · Answer

Hello,

De retour avec une galère hier pour achever l'analyse complète de l'ordi.

Au bout de 2h et quelques il plantait.

J'ai donc dû procéder en deux fois : une fois le disque E /et une fois le disque C/.

Voiçi les rapports :

Disque (E:\l)
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.06.04.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Guy :: PC-DE-GUY [administrateur]

04/06/2013 17:59:51
mbam-log-2013-06-04 (17-59-51).txt

Type d'examen: Examen complet (E:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 246009
Temps écoulé: 10 minute(s), 5 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)



Disque (C:\l)
Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.06.04.02

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
Guy :: PC-DE-GUY [administrateur]

04/06/2013 20:43:21
mbam-log-2013-06-04 (20-43-21).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 436795
Temps écoulé: 2 heure(s), 42 minute(s), 56 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)


Je dois dire, que depuis les opérations précédentes (Roguekiller, ZHP et AwdCleaner) mon ordi marche beaucoup mieux, à peu près comme au début.


gedehem

lilidurhone · Answer

Hello

Peux tu refaire un zhpdiag s'il te plaît

Sur ton autre sujet je te donnerai les consignes de fin de désinfection :)

gedehem · Answer

Hello,


Lien ZHP :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130605_e9r14x5c8b10



gedehem

lilidurhone · Answer

Hello ged

Désinstalles 

Adobe Reader 8.1.4 - Français
Java 7 Update 15

 
Ils ne sont pas à jour

Pour adobe reader c'est par ici https://get2.adobe.com/fr/reader/otherversions/ (n'oublies pas de décocher Macfee security scan )
Pour java c'est par là https://www.java.com/fr/download/ (n'oublies pas de décocher ask qui te sera proposé lors de l'installation
Pour java n'oublies pas de désinstaller les anciennes versions avant d'installer la dernière version

gedehem · Answer

Hello,

Voilà, j'ai installé Adobe Reader X(10.1.4)-Français et Java 7 Update 21.

Pour Java j'ai encore Java (TM) 6 Update 7. Faut-il que je le désinstalle ?


gedehem

lilidurhone · Answer

Oui

Refais un zhpdiag

gedehem · Answer

Hello lili,

Lien ZHP :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130606_p11q9d15l13m7


gedehem

lilidurhone · Answer

Hello ged


Tu as une possible infection USB

Fais ceci

Recherche :
* Télécharge http://general-changelog-team.fr/downloads/viewdownload/15-outils-de-el-desaparecido/79-usbfix (créé par El Desaparecido) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
* Si le premier lien ne marche pas utilises le second https://www.commentcamarche.net/download/s/USBfix
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
* Au menu principal, clique sur "Recherche"
* Laisse travailler l'outil
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

gedehem · Answer

Hello lili,

Lien USBFix :

https://pjjoint.malekal.com/files.php?id=20130606_w13t6q5j14r11


gedehem

lilidurhone · Answer

Hello ged


Suppression
* Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
* Lance USBFix (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
* Clique sur "Suppression"
* Laisse travailler l'outil
* Ton Bureau va disparaitre puis l'ordinateur va redémarrer : c'est normal
* A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

gedehem · Answer

Hello lili,

Lien USBFix Clean :

https://pjjoint.malekal.com/files.php?id=20130606_z14j12w14j5n13



gedehem

lilidurhone · Answer

Refais un zhpdiag

gedehem · Answer

Hello lili,

Lien ZHP :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130606_l11x14k14g12j10


gedehem

lilidurhone · Answer

Ok je regarderaï ca

lilidurhone · Answer

Hello

Attention script personnalisé à ne pas reproduire sur un autre ordinateur risque de plantage


* Copies uniquement les lignes indiquées en gras ci-dessous dans le presse papier(tu surlignes avec la souris puis clic droit copier) 

M3 - MFPP: Plugins - [Guy] -- C:\Users\Guy\AppData\Roaming\Mozilla\Firefox\Profiles\1tbgvasc.default\searchplugins\Mysearchdial.xml   =>Adware.MyWebSearch
M0 - MFSP: prefs.js [Guy - 1tbgvasc.default] http://start.mysearchdial.com   =>Adware.MyWebSearch
M2 - MFEP: prefs.js [Guy - 1tbgvasc.default\webbooster@iminent.com] [] Iminent Minibar v6.21.4.1 (..)   =>Adware.IMBooster
M2 - MFEP: prefs.js [Guy - 1tbgvasc.default\{5a95a9e0-59dd-4314-bd84-4d18ca83a0e2}] [] Wajam v1.26 (..)   =>Toolbar.Wajam
M2 - MFEP: prefs.js [Guy - 1tbgvasc.default\{ad9a41d2-9a49-4fa6-a79e-71a0785364c8}] [] MySearchDial v7.0 (..)   =>Adware.MyWebSearch
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\Dealply.job   [282]   =>PUP.DealPly
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\SpeedMaxPc Registration3.job   [436]   =>PUP.SpeedMaxPc
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\SpeedMaxPc Update3.job   [394]   =>PUP.SpeedMaxPc
O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\SpeedMaxPc.job   [372]   =>PUP.SpeedMaxPc
[MD5.00000000000000000000000000000000] [APT] [Dealply] (...) -- C:\Users\Guy\AppData\Roaming\Dealply\UPDATE~1\UPDATE~1.exe (.not file.)   [0]   =>PUP.DealPly
[MD5.00000000000000000000000000000000] [APT] [SpeedMaxPc] (...) -- C:\Program Files\SpeedMaxPc\SpeedMaxPc\SpeedMaxPc.exe (.not file.)   [0]   =>PUP.SpeedMaxPc
[MD5.00000000000000000000000000000000] [APT] [SpeedMaxPc Update3] (...) -- C:\Program Files\Common Files\SpeedMaxPc\UUS3\Update3.exe (.not file.)   [0]   =>PUP.SpeedMaxPc
O42 - Logiciel: Iminent - (.Iminent.) [HKLM] -- {29C7E8BE-FBD9-4D91-BC4F-B470C718D554}   =>Adware.IMBooster
O42 - Logiciel: SpeedMaxPc - (.SpeedMaxPc.) [HKLM] -- {D894938C-8EE1-4854-9254-8F9AEF2BFE46}   =>PUP.SpeedMaxPc
[HKCU\Software\BabSolution]   =>Hijacker.BabSolution
[HKCU\Software\Mixi.DJ]
O43 - CFD: 18/05/2013 - 16:30:49 - [5,353] ----D C:\ProgramData\BrowserProtect   =>Hijacker.Eazel
O45 - LFCP:[MD5.D31192CE4A981FA5C943178EE4A29102] - 18/05/2013 - 11:42:29 ---A- - C:\Windows\Prefetch\BROWSERPROTECT.EXE-042AB4BC.pf   =>Hijacker.Eazel
O69 - SBI: SearchScopes [HKCU] {94AE486C-6A38-47EB-B07C-0C4D841721B9} [DefaultScope] - (Mysearchdial) - http://start.mysearchdial.com   =>Adware.MyWebSearch
O69 - SBI: SearchScopes [HKCU] {A35921C9-F3CA-4440-8B55-15220F312C28} - ({A35921C9-F3CA-4440-8B55-15220F312C28}) - http://search.babylon.com   =>Toolbar.Babylon
O69 - SBI: SearchScopes [HKCU] {C72B17C2-2333-440D-B065-57EE74DFC5CA} - ({C72B17C2-2333-440D-B065-57EE74DFC5CA}) - http://search.babylon.com   =>Toolbar.Babylon
O69 - SBI: SearchScopes [HKCU] {26C348B8-F365-4267-8111-92C328076CA1} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
O69 - SBI: SearchScopes [HKCU] {38B0C5D2-1019-E8DE-2E36-3E0F9470D4BF} - (MixiDJ V30 Customized Web Search) - http://search.conduit.com   =>Toolbar.MixiDJ
[HKLM\Software\Classes\.bk1]   =>Adware.VirtualGirl
[HKLM\Software\Classes\.bk2]   =>Adware.VirtualGirl
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08C06D61-F1F3-4799-86F8-BE1A89362C85}]   =>Toolbar.Orange
[HKLM\Software\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}]   =>Toolbar.Orange
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{D894938C-8EE1-4854-9254-8F9AEF2BFE46}]   =>PUP.SpeedMaxPc
[HKCU\Software\Mixi.DJ]   =>Toolbar.MixiDJ
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F1057DD419AED0B468AD8888429E139A]   =>Adware.IMBooster
[HKLM\Software\Google\Chrome\Extensions\pflphaooapbgpeakohlggbpidpppgdff]   =>Adware.MyWebSearch
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1122B43D-30EE-403F-9BFA-3CC99B0CADDD}]   =>Toolbar.MixiDJ
[HKLM\Software\Classes\esrv.mysearchdialESrvc]   =>Adware.MyWebSearch
[HKLM\Software\Classes\esrv.mysearchdialESrvc.1]   =>Adware.MyWebSearch
C:\ProgramData\BrowserProtect   =>Hijacker.Eazel
C:\Users\Guy\AppData\Roaming\Mozilla\Firefox\Profiles\1tbgvasc.default\Extensions\webbooster@iminent.com   =>Adware.IMBooster
O90 - PUC: "EB8E7C929DBF19D4CBF44B077C815D45" . (.Iminent.) -- C:\Windows\Installer\{29C7E8BE-FBD9-4D91-BC4F-B470C718D554}\imbooster.ico   =>Adware.IMBooster
Sysrestore
EmptyTemp
EmptyCLSID
FirewallRaz



* Lance ZHPFix (icône seringue)en tant qu'administrateur puis clique sur OK pour continuer.

* Tu dois voir les lignes ci-dessus dans le cadre blanc de ZHPFix, vérifie bien que ce sont ces lignes.

* Si tu ne vois pas les lignes clic droit dans l'encadré puis coller

* Clique sur le bouton GO pour lancer le nettoyage, et laisse l'outil travailler.

* Redémarre le PC et poste le rapport C:\ZHP\ZHPFixReport.txt

Désinfection ordinateur

18 réponses

Discussions similaires