[résolu] Désinfection suite téléchargement excel sur .Net

Bonjour,

un ami a récolté des malwares en voulant télécharger Excel sur 01.Net.

J'ai déjà exécuté Windows défender en scan rapide et supprimé un Trojan mais l'infection est plus sévère

Son PC ne peux plus être connecté sans être envahi de fenêtres de connexion et d'installation de programmes pirates.
Je voudrais procéder à la désinfection de son PC en exécutant les logiciels de scan (malwarebytes et ZHPDiag notamment) transférés de mon PC sur le sien par clé USB et de vous retransmettre les diagnostiques sur cjoint.

Sa configuration

PC fixe HP Pavilion P6 series, sous Windows 8

Merci de votre aide
Cordialement
Silene

Bonjour,

dis à ton ami de suivre les indications pour passer adwcleaner, malwarebytes et zhpdiag comme expliqué ici et poste les rapports : https://morbak-home.forumgratuit.org/t390-debuter-une-desinfection

Bonjour,

voici le premier lien cjoint concernant le scan ADWCleaner : http://www.cjoint.com/c/EFsopa4gZr
Voici le lien pour Malwarebytes : http://www.cjoint.com/c/EFsots71jxr
Voici le lien pour ZhpDiag : http://www.cjoint.com/c/EFsovUrj0r

Je vois que le premier et le troisième lien ne sont pas actifs (j'ai collé les liens juste après les deux points ce qui doit empêcher l'identification du texte comme étant un lien.

Je recommence l'opération pour ces deux liens

laisse c'est normal qu'ils ne soient pas actif c'est simplement dû au fait qu'il n'y a pas d'espace entre les : et le lien. j'ai édité pour rassembler tes messages et activer les liens.

Tout a bien été mis en quarantaine avec malwarebytes et adwcleaner? (pour adwcleaner tu as posté une recherche et non une suppression).
Le rapport de zhpdiag montre étrangement beaucoup de trace d'infections qui auraient du sauter avec adwcleaner et malwarebytes.

Les rapports sont très longs c'est rare mais j'ai deja vu pire. Le plus gros des détections est fait par une seule infection.

Non je n'ai déclenché aucune action de mise en quarantaine, je n'ai fait que les recherches.

Je recommence et fait les mises en quarantaine

http://www.cjoint.com/c/EFsqMHGLAr

J'ai donc repassé ADWCleaner et supprimé les menaces identifiées

Puis un scan de Malwarebytes qui ne détecte plus de menaces

et enfin ZhpDiag donc j'ai hébergé le rapport sous le lien ci-dessus.

Merci de votre aide

Attention à bien suivre les indications données dans les modes d'emploi. On peut voir que le scan zhpdiag est incomplet pare que la liste blanche est activée. Ce qui indique que tu ne l'as pas exécuté en faisant un clique droit/executer en tant qu'admin.

Pour malwarebytes on voit aussi sur le premier rapport que le scan rootkit n'est pas activé et que tu as fait un scan "menaces" et non "personnalisé" donc tu n'as pas scanné tout le disque dur et des menaces peuvent persister.

fais analyser ces fichiers (si présents) sur virustotal et donne les liens correspondant aux analyses :
- c:\windows\ylz.exe
- C:\Windows\ylz.dat
- c:\windows\mylz.exe
- C:\Windows\hgfs.sys 
- C:\Windows\prleth.sys
- C:\ProgramData\Ovasrujoenohn\1.0.1.0\geiatoxi.exe
Si tu as besoin d'un tuto pour virustotal : https://morbak-home.forumgratuit.org/t644-comment-utiliser-virustotal

http://www.cjoint.com/c/EFsrtVVIkr

http://www.cjoint.com/c/EFsulcY64r

Suite à une expiration de cession je ne suis pasûr que mon dernier message soit bien parti, je le répète donc.

Les liens ci-dessus correspondent à :

Malwarebytes exécuté en mode personnalisé

et à ZhpDiag complet exécuté en tant qu'administrateur

Pour les tests par virus total je les ferais un peu plus tard

Je crois comprendre qu'il faut être connecté pour ces tests et pour le moment nous avons isolé de tout réseau

le PC infecté

pour les analyses oui il faut une connexion internet.
Pour malwarebytes tu as oublié l'activation de la recherche rootkit : Rootkits: Désactivé(e) et le scan n'a duré qu'une minute, il y a surement eu une erreur
Mais ca n'est pas un drame, inutile de refaire une analyse pour l'instant.

maintenant  passe JRT en suivant ces instructions : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois#14656

Edit : pour les fichiers à analyser j'ai plus simple : copie les sur le bureau dans un nouveau dossier, et ensuite clic droit sur le dossier contenant les fichiers suspect, puis sélectionne "envoyer vers/dossier compressé"
Une fois fait, tu aura donc un fichier zip sur le bureau contenant l'ensemble des fichiers suspect, envoie le ici en cliquant sur upload : http://morbak-home.ddns.net/suspects/

Voila la liste complète des fichiers à copier dans le dossier :
c:\windows\ylz.exe
c:\windows\mylz.exe
C:\ProgramData\Ovasrujoenohn\1.0.1.0\geiatoxi.exe
C:\Windows\prleth.sys
C:\Windows\hgfs.sys
C:\Windows\ylz.dat
C:\Users\christophe\AppData\Local\FEF4F24B-1434475514-BB9E-BBEB-74FFC6ABE3AF\snsk2E6C.tmp

Bonjour

En créant le dossiers des fichiers à analyser, j'ai du faire une fausse manip en recherchant le fichier
C:\ProgramData\Ovasrujoenohn\1.0.1.0\geiatoxi.exe

Comme ce fichier n'apparaissait pas j'ai essayé de rendre visible les fichiers cachés et en fait j'ai masqué tous les fichiers utilisateur "Christophe"

Suite à cette manip, l'utilisateur Christophe n'apparait plus et je n'ai même plus accès au panneau de configuration.
Je crains le pire!

S'il est juste masqué, normalement ca devrait être récupérable et sans réélles conséquences. Windows utilise les fichiers cachés quotidiennement, ca n'est que visuel pour l'utilisateur.

Dans la recherche de windows, tape "options des dossiers"
ca va ouvrir la fenêtre qui permet d'afficher les fichiers cachés. Dans l'onglet affichage, coche "afficher les fichiers cachés" et décoche "masquer les fichiers protégés du système".

Dis moi si ensuite le dossier utilisateur est revenu.

Merci, le dossier utilisateur est revenu, il faudra que je décoche les cases fichiers caché sur les dossiers utilisateurs courants

J'ai passé JRT et vous donne ci-dessous le lien du rapport

http://www.cjoint.com/c/EFtrhPLa017

maintenant passe TDSSKiller comme indiqué ii : https://morbak-home.forumgratuit.org/t998p20-programmes-de-desinfection-les-modes-d-emplois#14697

http://www.cjoint.com/c/EFtscZKJ3u7

Je n'ai pas trouvé la possibilité d'enregistrer le rapport de TDSSKILLER? je l'ai donc copier dans wordpad

avec le lien cjoint ci-dessus

le rapport de TDSS est enregistré automatiquement dans le disque C. Il indique les fichiers que je trouve suspect comme "suspect" aussi ^^

On va voir ce que pense roguekiller mais ca sent le rootkit (donc prévoir changement des mots de passe après désinfection) : https://morbak-home.forumgratuit.org/t998p20-desinfection-modes-d-emplois-des-logiciels#14675

Attention, il semble y avoir un petit bug avec roguekiller quand il t'affiche le message pour acheter la version premium, si le scan se termine instantanément, re-clic sur le bouton scan ca devrait repartir.

Il y a aussi un petit soucis avec les fichiers hgfs.sys et prleth.sys; ils font 0 octets, tu peux vérifier la taille des fichiers originaux?
pour rappel, tu les trouvera ici :
C:\Windows\prleth.sys
C:\Windows\hgfs.sys

Lien pour le rapport de roguekiller

http://www.cjoint.com/c/EFukiBzcRH7

Concernant les deux fichiers hgfs.sys et prleth.sys : il sont à 0 octets

ok, ferme roguekiller il n'a rien vu de suspect. un dernier scan et on finira avec zhpfix.

Passe malwarebytes complet comme expliqué ici : https://morbak-home.forumgratuit.org/t998-desinfection-modes-d-emplois-des-logiciels#14657

Le dernier scan n'avait pas été fait correctement, il doit durer au moins 30 minutes pour le disque entier. Fais bien cette partie là avant de lancer le scan :
Aller dans l'onglet "Examen", cocher "Examen Personnalisé" et cliquer sur "Configurer l'examen"
Dans la partie gauche de la fenêtre, cocher la recherche de Rootkit
Dans la partie droite, cocher tous les disques (partitions, clés usb, cartes sd...) et cliquer sur "Examiner maintenant"

Après 2h45 de scan voici le rapport de Malwarebytes exécuté comme décrit dans votre message

http://www.cjoint.com/c/EFupYzSJmP7

ouvre ce lien et copie son contenu intégralement : http://morbak-home.ddns.net/fix/fix.txt

Puis passe zhpfix comme indiqué là : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois#14664

Ensuite donne moi des nouvelles du pc.

Lien du rapport zhpfix

http://www.cjoint.com/c/EFurdiZnWZ7

Le fonctionnement du PC semble à peu près correct mais nous n'avons toujours pas essayé le fonctionnement connecté.

Je n'ai encore eu le temps de prendre une connaissance plus approfondi de ce PC notamment des différents programmes installés.

Le dernier installé concernait une imprimante scanner qui ne peut plus être lancée, il faudra que je la réinstalle.
Je te tiendrai au courant quand j'aurai progressé avec ce PC

Le soucis de l'imprimante est dû au passage de zhpfix ou c'était déjà problématique avant?

Avant de réinstaller quelque chose, repasse TDSSKiller pour voir s'il indique encore un élément suspicieux, puis fait un nouveau rapport zhpdiag pour vérifier que les éléments ont bien été supprimés.

Pour rappel :
TDSSKiller : https://morbak-home.forumgratuit.org/t998p20-programmes-de-desinfection-les-modes-d-emplois#14697
ZHPDiag : https://morbak-home.forumgratuit.org/t998-programmes-de-desinfection-les-modes-d-emplois#14662

Lien rapport TDSSKILLER

http://www.cjoint.com/c/EFvjCWjKdi7

Concernant zhpdiag je rencontre le problème suivant

ouverture exécution en tant qu'administrateur = erreur de socket n° 11001, hôte non trouvé

supprimé le raccourci et refait l'insatallation de zhpdiag pas de changement

Ca arrive quand le serveur de mise à jour n'est pas dispo en général, tu peux quand même lancer un scan ou pas du tout?

Je ne peux pas lancer de scan, je suis toujours bloqué par le message d'erreur. Quand au serveur de mise à jour comme je ne suis pas connecté sur internet il ne peut pas être en cause