Aide désinfection PC d'un ami Résolu/Fermé

Question

Bonjour, 

Une fois n'est pas coûtume, je vous sollicite non pas pour moi, mais pour un ami.

Clairement, il est infecté par un virus qui se transmet par clé USB, vu que c'est lui qui me l'avait transmis :-) 

Mais je n'arrive pas à executer usbfix sur son PC (message "usbfix.exe a rencontré un problème et doit fermer"...). Par ailleurs, j'ai tenté d'installer ccleaner sur son PC, mais je n'arrive pas à l'exécuter. Bref, des trucs louches...

A tout hasard, j'ai lancé un hijackthis dont le log est plus pas.

Pour info, il est sous windows XP pro version 2002, service pack 2.

Merci d'avance pour votre aide !

 Gnognotte

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:47:10, on 08/07/3429
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIHBE.EXE
C:\WINDOWS\system32\wscript.exe
C:\Program Files\OpenOffice.org 3\program\soffice.exe
C:\Program Files\OpenOffice.org 3\program\soffice.bin
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://proxypac.cer31.recouv/proxy.pac
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8000
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 10.7.*;165.7.*;*.recouv;*.partenaires.cnav
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Liens
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Fichiers communs\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [Smapp] C:\Program Files\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Fichiers communs\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [SURVIVAL] wscript.exe //B "C:\TEMP\SURVIVAL.vbe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON SX440 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIHBE.EXE /FU "C:\TEMP\E_S13C.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [SURVIVAL] wscript.exe //B "C:\TEMP\SURVIVAL.vbe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 3.1.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: SURVIVAL.vbe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1205837772800
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1205837835143
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = domcer31.recouv.ad
O17 - HKLM\Software\..\Telephony: DomainName = domcer31.recouv.ad
O17 - HKLM\System\CCS\Services\Tcpip\..\{59BD5B5A-662A-4772-89C6-F49FD7F2CDD6}: Domain = domcer31.recouv.ad
O17 - HKLM\System\CCS\Services\Tcpip\..\{59BD5B5A-662A-4772-89C6-F49FD7F2CDD6}: NameServer = 165.7.119.71,165.7.120.36,165.7.122.50
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = domcer31.recouv.ad
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: SearchList = domcer31.recouv.ad,cer31.recouv
O17 - HKLM\System\CS1\Services\Tcpip\..\{59BD5B5A-662A-4772-89C6-F49FD7F2CDD6}: Domain = domcer31.recouv.ad
O17 - HKLM\System\CS1\Services\Tcpip\..\{59BD5B5A-662A-4772-89C6-F49FD7F2CDD6}: NameServer = 165.7.119.71,165.7.120.36,165.7.122.50
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: SearchList = domcer31.recouv.ad,cer31.recouv
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program Files\Analog Devices\SoundMAX\SMAgent.exe
O24 - Desktop Component 0: (no name) - file:///C:/TEMP/msoclip1/01/clip_image002.jpg

dante7774 · Answer

Déjà qu'il supprime le toolbar pour commences ses une merde a virus se truc a la *** ^^
Ensuite tu peut démarrer en mode sans échec et tente de re installer ccleaner et un scann anti virus.
Et qu'il utilise Firefox qui est plus sécurisé que IE.
--

Malekal_morte- · Answer

Salut,

Survival.vbe

passe USBFIx en nettoyage : https://www.malekal.com/usbfix-supprimer-virus-usb/ 


Comment Avast! est pas du tout à jour!
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

gnognotte31 · Answer

Bonjour.

Merci pour vos retours.

En ce qui concerne avast : ce PC n'est plus connecté à internet depuis pas mal de temps (pas d'abonnement), et sert à faire un peu de word & compagnie => sa protection n'est pas à jour, et mon ami ne peut pas la mettre à jour faute de connection... :-). 

En ce qui concerne USBFIX : il se lance, je clique sur "nettoyage", il entame l'action. Et plante à 5%, avec le message" Usbfix.exe a rencontré un problème et doit fermer"... Sur la fenêtre USBFIX, il en est à "header... veuillez patienter", et indique un avancement à 5%...

Du coup, je ne peux pas effectuer ce nettoyage...

La version d'USBFIX installée a été téléchargée hier soir, et j'ai fait le test en l'installant en mode "normal" en tant qu'administrateur du PC, et également en mode sans échec, toujours en tant qu'administrateur. Ca plante de la même manière... :-(

Merci d'avance pour votre aide.

Malekal_morte- · Answer

ok,

bon déjà désinstalle Avast!.
Mets la dernière version : http://http://www.malekal.com/2010/11/12/tutorial-sur-lantivirus-avast-v9/


ensuite :


Faire un Scan OTL - Temps : Environ 40min
=====================
OTL permet de diagnostiquer les programmes qui tournent et déceler des infections - Le programme va générer deux rapports OTL.txt et Extras.txt 
Fournir les deux rapports :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/    

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.    
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)    

Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).

* Lance OTL    
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :    



netsvcs   
msconfig   
safebootminimal   
safebootnetwork   
activex   
drivers32   
%ALLUSERSPROFILE%\Application Data\*.   
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.dll /s
%APPDATA%\*.   
%APPDATA%\*.exe /s   
%temp%\*.exe /s   
%SYSTEMDRIVE%\*.exe   
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles   
%windir%\Tasks\*.job /lockedfiles   
%systemroot%\system32\drivers\*.sys /lockedfiles   
%systemroot%\System32\config\*.sav   
/md5start   
explorer.exe   
winlogon.exe
services.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Command Processor /s
HKEY_CURRENT_USER\Software\Microsoft\Command Processor /s
CREATERESTOREPOINT   
nslookup www.google.fr /c
ping www.google.fr /c
ipconfig /all /c
SAVEMBR:0   
hklm\software\clients\startmenuinternet|command /rs   
hklm\software\clients\startmenuinternet|command /64 /rs



* Clique sur le bouton Analyse.

**** Si durant le scan - OTL ne répond pas, ne touche à rien et laisse le scan se poursuivre ****

* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent).
Donne le ou les liens pjjoint qui pointent vers ces rapports ici dans une réponse.
Je répète : donne le lien du rapport pjjoint ici en réponse.

NE PAS COPIER/COLLER LE RAPPORT ICI - DONNER LE LIEN PJJOINT DANS UN NOUVEAU MESSAGE

gnognotte31 · Answer

OK, merci pour le retour rapide et précis !

Je fais ces manipulations, et je vous tiens au courant dès que c'est terminé.

Merci

gnognotte31 · Answer

Les nouvelles du front : 

=> je n'arrivais à rien faire ou presque en mode "normal", je suis passé en mode sans échec.

=> dans les 2 cas, je n'arrive pas à désinstaller Avast (message "avast.setup a rencontré un problème et doit fermer".

=> j'ai tenté d'installer la dernière version (pour voir s'il propose de désinstaller la précédente), et ça donne "the installer is unable to initialize early avast! silf-defense with error 0x0000043c! Aborting!". C'est peut-être lié au fait qu'il y a l'ancienne version, mais dans le doute, je détaille les soucis...

Voilà les liens : 
OTL.txt : 
https://pjjoint.malekal.com/files.php?id=20140609_e15b10w6r10s15

Extras.txt : 
https://pjjoint.malekal.com/files.php?id=20140609_i11c7k7k13l9

Merci pour votre aide

gnognotte31 · Answer

Bonsoir, 

désolé pour le temps de réponse, j'étais absent pour la journée, et ça m'a pris du temps pour réussir à tout passer.

Pour la faire courte, après avoir suivi les instructions de votre lien, j'ai pu désinstaller Avast!, exécuter Usbfix, faire un peu de "ménage" avec Ccleaner.

L'installation d'Avast! dernière version est en cours, ça se passe normalement jusqu'à présent.

Avez-vous pu jeter un oeil sur les rapports OTL, ou vaut-il mieux que je vous fasse passer un autre rapport (je vous laisse me dire avec quel outil le faire) ?

D'avance merci

Malekal_morte- · Answer

Le rapport est OK, pas/plus infecté. 

Par contre Windows n'est pas à jour, faut installer le service pack 3.
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left

Malekal_morte- · Answer

:)

Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/


~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
 
 
Like the angel you are, you laugh creating a lightness in my chest,
Your eyes they penetrate me,
(Your answer's always 'maybe')
That's when I got up and left