Pc infecté ... Fermé

Question

Bonjour, 



Configuration: Windows XP / Firefox 26.0

Tout d'abord bonjour à tous et toutes :)
Voila je doit avoir certainement mon Pc infecté car il rame de plus en plus et j'ai plein de fenêtres publicitaire qui s'affiche dans tous les coins et rien ne fonctionne pour les supprimer y-à-t'il une bonne âme ici qui saurait me donner un coup de main pour désinfecter mon pc ...

Merçi d'avance ...

Fish66 · Answer

Bonsoir, Télécharge : AdwCleaner (merci à Xplode) Lance AdwCleaner Clique sur Scanner puis Nettoyer, et patiente le temps du nettoyage. Poste le rapport qui apparait en fin de recherche. (Le rapport est sauvegardé aussi sous C:\AdwCleaner\AdwCleaner[x].txt) ---------------------------- Pour éviter d'avoir des publicités et des toolbars, tu peux lire <<< ceci >>> @+

serguei · Answer

Bonsoir Fish66 ...

Tout d'abord merçi de ton aide le rapport je le post ici ???

Merçi.

serguei · Answer

En tous cas un grand merçi plus de publicité intempestive et mon Pc va déjà beaucoup mieux :)
Je vais mettre ce post comme résolu ...

Une très bonne soirée à toi Fish66 ;)

Fish66 · Answer

Bonsoir,

* Télécharge sur le bureau RogueKiller (par tigzy)    
https://www.luanagames.com/index.fr.html  

* ( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )    
* Quitte tous tes programmes en cours    
* Lance RogueKiller.exe   

Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe   

* Laisse le prescan se terminer, clique sur Scan   

* Clique sur Rapport pour l'ouvrir puis copie/colle le sur le dans ton prochain message

serguei · Answer

Voila le rapport je n'ai pas fermé le roguekiller car il à trouvé quelque chose et je ne sais pas quoi faire ... RogueKiller V8.8.1 [Jan 14 2014] par Tigzy mail : tigzyRKgmailcom Remontees : http://www.adlice.com/forum/ Site Web : http://www.sur-la-toile.com/RogueKiller/ Blog : http://www.adlice.com Systeme d'exploitation : Windows XP (5.1.2600 Service Pack 3) 32 bits version Demarrage : Mode normal Utilisateur : Serge [Droits d'admin] Mode : Recherche -- Date : 01/16/2014 19:00:42 | ARK || FAK || MBR | ¤¤¤ Processus malicieux : 0 ¤¤¤ ¤¤¤ Entrees de registre : 1 ¤¤¤ [HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ ¤¤¤ Tâches planifiées : 0 ¤¤¤ ¤¤¤ Entrées Startup : 0 ¤¤¤ ¤¤¤ Navigateurs web : 0 ¤¤¤ ¤¤¤ Addons navigateur : 0 ¤¤¤ ¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤ ¤¤¤ Driver : [NON CHARGE 0xc0000033] ¤¤¤ ¤¤¤ Ruches Externes: ¤¤¤ ¤¤¤ Infection : ¤¤¤ ¤¤¤ Fichier HOSTS: ¤¤¤ --> %SystemRoot%\System32\drivers\etc\hosts 127.0.0.1 localhost ¤¤¤ MBR Verif: ¤¤¤ +++++ PhysicalDrive0: (\.\PHYSICALDRIVE0 @ IDE) MAXTOR STM3250820A +++++ --- User --- [MBR] cd8b38d48f67c4eb0aa7c21275f2bd7c [BSP] d1c0a1705464abba5787df420600162a : Windows XP MBR Code Partition table: 0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 238464 Mo User = LL1 ... OK! User = LL2 ... OK! Termine : << RKreport[0]_S_01162014_190042.txt >>

Fish66 · Answer

D'accord!
Suivant l'ordre fais ceci stp :
1/
 Télécharge: Junkware Removal Tool à partir ce lien : https://www.bleepingcomputer.com/download/junkware-removal-tool/dl/131/

!!! Ne clique pas sur Download !!! , attends simplement que la fenetre de telechargement arrive pour confirmation 

*  Enregistre ce fichier sur le bureau. 

*  Ferme tout tes navigateurs 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé. 
Sous Vista/7/8, clic droit et Exécuter en temps qu'administrateur. 

* NB: Le bureau disparaitra un instant, c'est normal. 

*  Laisse le programme travailler ne touche plus à rien 

*  Poste le rapport généré à la fin de l'analyse. 

Tuto : http://hackinginterdit.blogspot.fr/2013/02/junkware-removal-tool.html 

2/
* Télécharge ZHPDiag de Nicolas Coolman à partir ce lien : 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
* Une fois le téléchargement achevé, 
* Double-clique sur l'icône pour lancer le programme. Sous Vista , Seven ou Windows 8 clic droit « exécuter en tant qu'administrateur » 
* Dans la fenêtre ZHPDiag qui vient de s'ouvrir , clique sur "Configurer" 
* Clique sur la loupe en bas à gauche sans signe pour lancer l'analyse. 
* Clique sur OUI à la question "Voulez-vous un rapport full options" 
* Laisse l'outil travailler, il peut être assez long. 
* Un rapport s'ouvre. Ce rapport se trouve également sur ton bureau 
* Héberge le rapport ZHPDiag.txt de ton bureau sur : FEC Upload ou : malekal.com 
* Fais copier/coller le lien fourni dans ta prochaine réponse 

Aide ZHPDiag :http://nicolascoolman.webs.com/tutorials.htm

@+

serguei · Answer

Voila déjà le premier rapport de junkware et que dois-je faire avec le roguekiller ??? 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Junkware Removal Tool (JRT) by Thisisu
Version: 6.1.0 (01.07.2014:1)
OS: Microsoft Windows XP x86
Ran by Serge on jeu. 16/01/2014 at 19:20:21,14
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~




~~~ Services



~~~ Registry Values

Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\DisplayName
Successfully repaired: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}\URL



~~~ Registry Keys

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{1AA60054-57D9-4F99-9A55-D0FBFBE7ECD3}



~~~ Files



~~~ Folders



~~~ FireFox

Successfully deleted: [File] C:\Documents and Settings\Serge\Application Data\mozilla\firefox\profiles\bfd78uhf.default\user.js
Successfully deleted: [File] C:\Documents and Settings\Serge\Application Data\mozilla\firefox\profiles\wgi69yff.default-1345206938234\user.js
Successfully deleted: [File] C:\Documents and Settings\Serge\Application Data\mozilla\firefox\profiles\2m15f64a.default-1345242289750\user.js





~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan was completed on jeu. 16/01/2014 at 19:29:10,76
End of JRT log
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Je fais le deuxième de suite ...

serguei · Answer

Et voila le deuxième rapport sous forme de lien en espérant que je ne me suis pas trompé de lien ...

https://forums-fec.be/upload/www/?a=d&i=3697481351

Fish66 · Answer

On continue alors ! :-) --------------- /!\ ATTENTION : cette analyse peut durer quelques heures /!\ * Télécharge MBAM et installe le selon l'emplacement par défaut https://www.malwarebytes.com/mwb-download/ * Installe-le puis configure-le comme indiqué : <<< ICI >>> * si tu n'as rien modifié fais directement quitter sinon enregistrer * Lance Malwarebytes' Anti-Malware ================================= Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse. ==> Ce logiciel gratuit est à garder. ================================= * Fais la mise à jour * Clique dans l'onglet "Recherche" * Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher" * Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen" A la fin de l'analyse, si MBAM n'a rien trouvé : * Clique sur OK, le rapport s'ouvre spontanément Si des menaces ont été détectées : * Clique sur OK puis "Afficher les résultats" *Vérifie que toutes les lignes sont cochées * Choisis l'option "Supprimer la sélection" * Si MBAM demande le redémarrage de Windows : Clique sur "Oui" * Le rapport s'ouvre automatiquement après la suppression, il se trouve aussi dans l'onglet "Rapports/Logs" * Copie/colle le rapport dans le prochain message Remarque : - S'il y'a un problème de mise à jour de mbam, tu peux la faire manuellement en téléchargeant ce fichier puis en l'exécutant. ================================= Si tu as besoin d'aide tu peux voir ce tutoriel : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/ A demain Bonne nuit ¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤

serguei · Answer

Et voila le dernier rapport ...

Malwarebytes Anti-Malware (Essai) 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2014.01.16.05

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Serge :: KRATOS-38F83359 [administrateur]

Protection: Activé

16/01/2014 21:11:24
mbam-log-2014-01-16 (21-11-24).txt

Type d'examen: Examen complet (A:\|C:\|D:\|E:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 271168
Temps écoulé: 1 heure(s), 12 minute(s), 36 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6DB9FDFE-B718-4962-BE0C-0A5FCE7F7F7B} (PUP.Optional.JumpFlip) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1
C:\Documents and Settings\Serge\Local Settings\Temp\CT3285358 (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

Fichier(s) détecté(s): 11
C:\Documents and Settings\Serge\Local Settings\Temp\mYq4qBJs.exe.part (PUP.Optional.Bandoo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Serge\Local Settings\Temp\G1x5s9Fx.exe.part (PUP.Optional.Bandoo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Serge\Local Settings\Temp\5aChzirZ.exe.part (PUP.Optional.Bandoo) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Serge\Local Settings\Temp\CDBurnerXP-updates\cdbxp_setup_4.5.2.4214.exe (PUP.Optional.OpenCandy) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Serge\Local Settings\Temp\is42483369\4469563_stp\JumpFlipSetup.exe (PUP.Optional.JumpFlip.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Serge\Mes documents\Téléchargements\01net_Revo_Uninstaller.exe (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Serge\Mes documents\Téléchargements\SoftonicDownloader_pour_windows-live-messenger-msn-messenger.exe (PUP.Optional.Softonic.A) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{C7F68F95-616C-4D03-BD01-EF5095860CAE}\RP265\A0072317.exe (PUP.Optional.JumpFlip.A) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{C7F68F95-616C-4D03-BD01-EF5095860CAE}\RP265\A0072361.exe (PUP.Optional.JumpFlip.A) -> Mis en quarantaine et supprimé avec succès.
C:\System Volume Information\_restore{C7F68F95-616C-4D03-BD01-EF5095860CAE}\RP271\A0072942.dll (PUP.Optional.JumpFlip.A) -> Mis en quarantaine et supprimé avec succès.
C:\Documents and Settings\Serge\Local Settings\Temp\CT3285358\ddt.csf (PUP.Optional.Conduit.A) -> Mis en quarantaine et supprimé avec succès.

(fin)

Demain je ne serais pas chez moi mais je viendrais quand même voir tes remarques au sujet du rapport on se dit à dimanche soir si il y à encore des choses à faire ...

Un grand merçi encore pour tout déjà et une très bonne nuit à toi aussi :)

Fish66 · Answer

Bonsoir,
Pour bien vérifier que le  fichier ci-dessous est  infecté rend toi sur ce site
Virus Total
 
*     Clique sur " choose  file "
*     Vas sur ton disque chercher ce fichier à cet emplacement :
      
C:\Documents and Settings\Serge\Application Data\ezpinst.exe

 
*     Clique ensuite sur le bouton «  Scan it » 
*     Patiente le temps de l'analyse qui dépend de la taille du fichier
*     Une fois celle-ci terminée, apparaît le rang de détection (Detection Ratio)
*     Communique-le dans ta prochaine réponse sur le forum et communique en même temps le lien de la page VirusTotal en le copiant dans la barre d'adresse et en le collant dans ta prochaine réponse
 
@+

serguei · Answer

Voila je suis revenu et le ratio est de 0/47.

Et j'espère te copier le bon lien ...

https://www.virustotal.com/fr/file/622499137c93feeb4f09652d15e15b677c38de95e19031268fbbfcb117050bd3/analysis/

Un grand merçi.

Fish66 · Answer

Bonjour,
1/
 (il y a 2 semaines, 1 jour)
Refais l'analyse du fichier ci : https://forums.commentcamarche.net/forum/affich-29504572-pc-infecte#15
Clique sur "Réanalyse" puis poste le l'adresse du lien de virus total.

2/
Lance ZHPDiag depuis le bureau

Ensuite coche tout au tournevis (aide  ici) puis lance l'analyse, ferme le et héberge le rapport. colle le lien dans ta prochaine réponse

@+

serguei · Answer

Bonsoir voici déjà le premier lien que j'ai refait via virus total ...

https://www.virustotal.com/fr/file/622499137c93feeb4f09652d15e15b677c38de95e19031268fbbfcb117050bd3/analysis/1390239134/

Je lance Zhpdiag tout de suite ...

serguei · Answer

Et voila le lien d'hébergement du rapport de Zhpdiag ...

https://forums-fec.be/upload/www/?a=d&i=9143387543 

:)

Fish66 · Answer

Bonsoir,
Avant de finaliser, tu vas faire ceci : 
--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").



Script ZHPFix
SysRestore
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe
OPT:O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe
OPT:O4 - HKUS\S-1-5-21-1715567821-1935655697-682003330-1004\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe



=> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7/Win8, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)
=> Une fois ZHPFix ouvert, clique sur "importer" puis sur "ok" et ensuite colle le texte dans la fenêtre, clique sur GO en bas de page et confirme par oui pour lancer le nettoyage des données 

=> laisse travailler l'outil et ne touche à rien ...
=> S'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !


Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...
Ce rapport est copié sur le bureau

( ce rapport est en outre sauvegardé dans ce dossier C:/ZHP/ZHPDIAG)

Bonne soirée

serguei · Answer

Voila le rapport demandé ...

High Elevated Privileges : OK
Windows XP Home Edition Service Pack 3 (Build 2600)

Corbeille vidée (00mn 06s)

========== Valeurs du Registre ==========
SUPPRIMÉ RunValue: ctfmon.exe

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
1 : Valeurs du Registre
1 : Restauration Système


End of clean in 00mn 12s

========== Chemin de fichier rapport ==========
C:\Documents and Settings\Serge\Application Data\ZHP\ZHPFix[R1].txt - 23/01/2014 19:04:53 [600]

Un énorme merçi pour tout ce que tu fais pour moi ... :)

Fish66 · Answer

Bonsoir, Pour finir : Updatechecker : Téléchage updatechecker pour t'indiquer les logiciels qui ne sont pas à jour et te permet aussi d'effectuer ces mises à jour Tu peux l'utiliser une fois par semaine =========================================== Vacciner les supports amovibles : *Télécharge : MKV (créé par El Desaparecido) sur ton Bureau. *Si ton antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement. *Branche toutes tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir. *Double clique sur MKV.exe. *Clique sur Vacciner. =========================================== Suppression des outils de désinfections: Télecharge Delfix sur ton bureau : <<< ICI >>> ou <<< ICI >>> * Coche la case suivante : => Supprimer les outils de désinfection (coché par défaut) * Clique ensuite sur Exécuter puis patiente pendant le processus de suppression. * Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau * Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport =========================================== Défragmentation : Défragmente tes disques dur par defraggler Tu peux lutiliser une fois par trimestre =========================================== Nettoyage des fichiers et des clés de registre * Télécharge et installe CCleaner version Slim * Lance-le.(clic droit "en tant qu'administrateur" pour Vista et Seven) Va dans Options puis * Avancé et décoche la case Effacer uniquement les fichiers etc.... * Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. * Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse . ** Aide ici : https://www.malekal.com/tutoriel-ccleaner/ Tu peux utiliser Ccleaner une fois par semaine =========================================== Purger les points de restauration système * Désactive et réactive la restauration de système en suivant les procédures indiquées dans ces liens : Windows XP Windows Vista Windows 7 Windows 8 * Après avoir vidé la restauration du système, il est nécessaire de créer un nouveau point de restauration ... =========================================== Conseils : 1/ Je te conseille d'utiliser le navigateur Firefox et d'installer les modules complémentaires WOT pour t'indiquer les sites douteux et Adblock plus pour bloquer les publicités... 2/ Aussi tu peux garder Malwarebytes et l'utiliser aussi une fois par semaine. 3/ Un peu de lecture : * Les dangers du Peer-To-Peer, Emule etc.. * Comment Sécuriser son ordinateur... *Pourquoi et comment je me fais infecter *pourquoi maintenir son navigateur à jour Bonne soirée

serguei · Answer

Voici le dernier rapport demandé 

# DelFix v10.6 - Rapport créé le 25/01/2014 à 23:43:37
# Mis à jour le 11/11/2013 par Xplode
# Nom d'utilisateur : Serge - KRATOS-38F83359
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)

~ Suppression des outils de désinfection ...

Supprimé : C:\AdwCleaner
Supprimé : C:\Documents and Settings\Serge\Application Data\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Documents and Settings\Serge\Mes documents\Téléchargements\adwcleaner.exe
Supprimé : C:\Documents and Settings\Serge\Mes documents\Téléchargements\ZHPDiag2.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner

########## - EOF - ##########

J'ai fait tout ce que tu m'as dit et mon ordinateur est comme neuf je suis vraiment mais alors vraiment très content :)

Et vraiment un grand merci ...

Fish66 · Answer

Salut,
De rien!  :-)
Sois prudent et bon surf...

serguei · Answer

Bonsoir Fish66 ...

J'ai de nouveau un petit soucis j'ai encore mon bureau qui arrive de plus en plus tard quand j'allume mon Pc est-ce normal merçi ...

Bien à toi.