internet lent [résolu]

Bonjour,


depuis quelques jours les pages internet sont longues a charger.

j'ai essayé il y a quelques jour la méthode prélimiaire de désinfection, pas mal de choses supprimées mais c'est toujours lent.


J'ai lancé 2 rapports aujourd'hui.


rapport ZHPdiag http://cjoint.com/?BDvpjOHjCyU

rapport MBAM http://cjoint.com/?BDvpk3n1nok

et Microsoft security m'a alerté cet après midi sur trojan dos sinowal Q. Il est en quarantaine.
Merci de votre aide

Bonjour,

Le rapport zhpdiag indique quelques infecions que nous allons essayer de neutraliser.
Pour commencer télécharger AdwCleaner ( d'Xplode ) sur le bureau.
http://general-changelog-team.fr/fr/outils/3-adwcleaner
Sous XP double-clic sur le fichier d'execution.
Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
Cliquer sur Recherche
Patienter le temps du scan, le rapport doit s'ouvrir spontanément à la fin.
Le rapport est sauvegardé à la racine du disque C:\AdwCleaner[R1].txt
Poster le rapport sur le forum
si il est long, l'héberger sur http://www.cjoint.com et poster le lien.

je l'ai fait il y a quelques jours ça avait donné ça  http://cjoint.com/?BDvvRXgarZd

et aujourdh'ui   http://cjoint.com/?BDvvThf8vyL

Ok il n'a pas detecté les infections restantes, on passera Ad-Remover plus tard. Avant tout il faut verifier la présence d'un rogue parce que j'ai vu que le dns n'est pas original, c'est peut-être un detournement. Lance tout de même une suppression avec Adwcleaner au cas il supprime des elements qu'il n'aurait pas listé.

Télécharger RogueKiller sur le bureau.
http://www.sur-la-toile.com/RogueKiller/
Fermer toutes les applications en cours
Lancer RogueKiller.exe
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
Laisser le prescan se terminer, cliquer sur Scan
Cliquer sur Rapport pour l'ouvrir puis copier/coller le rapport sur le forum
Si il est long, l'héberger sur http://www.cjoint.com et poster le lien.

a la fin du scan ça m'a ouvert une page internet et microsoft security a lancé une alerte

le rapport

Code:

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: marmotte [Droits d'admin]
Mode: Recherche -- Date: 21/04/2012 22:01:38

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] LVPrcInj03.dll -- H:\WINDOWS\TEMP\logishrd\LVPrcInj03.dll -> UNLOADED

¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : Root.MBR|ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000AAKS-22A7B0 +++++
--- User ---
[MBR] 93a94d3b1e07ea90254fa98f66097d46
[BSP] b6955557077ca199f66105c5e31ab690 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 131061 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 268414976 | Size: 345877 Mo
User = LL1 ... OK!
User != LL2 ... KO!
--- LL2 ---
[MBR] bb84a679f0c35fa215dd36b31dea696b
[BSP] b5c45911307a784a7e38d64cf9ee1faa : Whistler/Sinowal MBR Code!
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 131061 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 268414976 | Size: 345877 Mo

Termine : >
RKreport[1].txt

[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

Heureusement qu'on a pas passé AD-R, tu as un parasite plutôt embêtant sur ton pc. avant tout, créé un point de restauration manuellement pour pouvoir recuperer le système en cas de dégâts.
Ensuite si tu as un autre disque dur tu devrais y sauvegarder tes données importantes par sécurité.
Est ce que tu dispose d'un CD vierge?

tu fais flipper là. c'est quoi AD-R ?
j'ai fait un point de restauration cet après midi, mais je vais en refaire un.
J'ai un disque dur externe, si je transfère ça ne va pas aller dessus?

j'ai des dvd vierges, mais jamais réussi à graver

AD-R = Ad-Remover, c'est pareil que Adwcleaner mais il supprime en plus les fichiers temporaires et dans le cas d'une infection par Rogue ca peux faire quelques degats.

Jamais réussi a graver, c'est a dire? échec de gravure ou tu ne sais pas comment faire?
(Inutile d'avoir peur, l'infection est de toute facon deja présente, le problème c'est que si on utilise les mauuvais outils pour la supprimer ca peut éventuellement faire des dégâts sur le système, d'ou la nécessité d'un point de restauration.)

Ah oui, chose importante également : windows est-li legal? les désinfections sur des systèmes ipiratés peuvent faire des dégats sur le système aussi.

pour la gravure quand j'ai essayé il a fallu que j'installe un logiciel, l'utilisation était un peu confuse, ça semblait graver mais en testant ensuite il n'y avait rien sur le dvd.

pour windows, pour moi oui il l'est puisque c'est le cd original avec la clé que windows m'a donné quand j'ai appelé car perdue. mais je ne suis pas sur le pc d'origine.
C'est d'ailleurs pour ça que j'ai atterri ici, car on m'a dit que c'était une version piratée, alors que non.
Donc je ne sais pas trop.

Bon je suis en train de copier mes fichiers sur le DD, y'en a encore pour quelques heures, je laisse tourner et repasse demain quand tout est fait.

Merci bonne fin de soirée

Bonne fin de soirée a toi aussi, je te met la suite de l'opération pour demain.

Pour commencer, la gravure d'un cd de demarrage de secours :
Télécharge OTLPEnet :: http://oldtimer.geekstogo.com/OTLPENet.exe sur ton Bureau
ou ici : http://www.itxassociates.com/OT-Tools/OTLPENet.exe

Quand le téléchargement sera fini, Double Clic sur OTLPENet.exe (clic droit executer en tant qu'administrateur sous vista|seven) et assures-toi d'avoir insérer un CDR vierge dans ton graveur CD/DVD.
Une fenêtre va s'ouvrir pour te demander si tu souhaites graver Le CD, clique sur le bouton Oui.
Patiente le temps de la décompression et de la gravure du CD.

Une fois le cd prêt, redémarre le pc en laissant le cd pour voir si il se lance au démarrage (le pc te demandera si tu veux démarrer le cd). Si le cd ne se lance pas, soit ton pc n'est pas configuré pour démarrer su un cd, soit le cd est mal gravé (chose rare). Dans ce cas, dis le moi je t'aiderai

Si le cd fonctionne et que tu arrive sur un systeme similaire a XP nommé Reatogo, redémarre le pc normalement et passe a la suite

utilisation de TDSSkiller :
telecharge sur ton bureau http://support.kaspersky.com/fr/downloads/utils/tdsskiller.zip , dezippe le
tu as aussi directement l'executable là : http://support.kaspersky.com/fr/downloads/utils/tdsskiller.exe
lance le programme et clique sur Start scan
Laisse l'outil scanner ton disque dur sans l'interrompre et sans utiliser le PC.
Si des fichiers infectés sont trouvées, une fenêtre va s'ouvrir:
Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
Si Suspicious file est indiqué, laisse l'option cochée sur Skip
Clique sur Continue puis sur Reboot now pour redémarrer le PC.
Copie-colle le rapport généré dans ta prochaine réponse (Il est aussi sauvegardé à la racine de ta partition système sous le nom C:\TDSSKiller_Quarantine\JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS heure de passage).

Si le pc ne démarre plus, utilise le cd pour accéder a internet et reviens sur le forum. Si le pc redémarre, refais un scan avec roguekiller et poste le rapport. Regarde la ligne Infections sur le rapport de roguekiller, si elle indique encore un rootkit passe a la suite, si elle n'indique rien, nous l'avons supprimé.

Si roguekiller détecte toujours le rootkit fait ceci :
télécharge Webroot ZeroAccess Remover depuis ce lien : http://anywhere.webrootcloudav.com/antizeroaccess.exe
Execute le programme
Répond Yes (oui) à la question, en tapant sur Y puis Entrée

Si le programme trouve l’infection, des lignes rouges doivent apparaître comme ici : http://www.malekal.com/wp-content/uploads/WebRoot_ZeroAccess_Remover.png
Le programme t'informe qu’un des fichiers systèmes a été patché et vous propose de le nettoyer. comme cela : http://www.malekal.com/wp-content/uploads/WebRoot_ZeroAccess_Remover3.png
Tape Y (oui) et Entrée pour lancer le nettoyage.
Si l’opération a réussi, tu dois avoir le message Cleaned en vert. comme là : http://www.malekal.com/wp-content/uploads/WebRoot_ZeroAccess_Remover4.png
Appuye sur une touche pour quitter et redémarre l’ordinateur.

Si le redemarrage ne se fait pas, utilise le cd et revient, si tu redemarre sans problème refais un scan roguekiller et poste le rapport. On poursuivra après mais ceci devrait deja nettoyer le systeme.

bonjour,

en allumant le pc ce matim plus d internet
il a fallu que j aille a un point de restauration
gravure du cd ok
redemarrage sur cd sans qu il soit demande, reatogo x pe lance
j ai essaye le shut down mais rien ne s est passe oblie de forcer l arret. j avais enlever le cd, peut etre la cause
impossible de charger killer j ai un 403 forbidden

non c'est bon j'ai réussi
rapport

Code:

10:44:51.0234 3460    TDSS rootkit removing tool 2.7.31.0 Apr 20 2012 19:49:47
10:44:51.0343 3460    ============================================================
10:44:51.0343 3460    Current date / time: 2012/04/22 10:44:51.0343
10:44:51.0343 3460    SystemInfo:
10:44:51.0343 3460   
10:44:51.0343 3460    OS Version: 5.1.2600 ServicePack: 3.0
10:44:51.0343 3460    Product type: Workstation
10:44:51.0343 3460    ComputerName: marmotte
10:44:51.0343 3460    UserName: marmotte
10:44:51.0343 3460    Windows directory: H:\WINDOWS
10:44:51.0343 3460    System windows directory: H:\WINDOWS
10:44:51.0343 3460    Processor architecture: Intel x86
10:44:51.0343 3460    Number of processors: 3
10:44:51.0343 3460    Page size: 0x1000
10:44:51.0343 3460    Boot type: Normal boot
10:44:51.0343 3460    ============================================================
10:44:53.0734 3460    Drive \Device\Harddisk0\DR0 - Size: 0x7470C06000 (465.76 Gb), SectorSize: 0x200, Cylinders: 0xED81, SectorsPerTrack: 0x3F, TracksPerCylinder: 0xFF, Type 'K0', Flags 0x00000054
10:44:53.0750 3460    \Device\Harddisk0\DR0:
10:44:53.0750 3460    MBR partitions:
10:44:53.0750 3460    \Device\Harddisk0\DR0\Partition0: MBR, Type 0x7, StartLBA 0x3F, BlocksNum 0xFFFAC05
10:44:53.0750 3460    \Device\Harddisk0\DR0\Partition1: MBR, Type 0x7, StartLBA 0xFFFB000, BlocksNum 0x2A38A800
10:44:54.0140 3460    C:  \Device\Harddisk0\DR0\Partition1
10:44:54.0187 3460    H:  \Device\Harddisk0\DR0\Partition0
10:44:54.0234 3460    Initialize success
10:44:54.0234 3460    ============================================================

heu le rapport j'ai juste une ligne? et dans un autre sous dossier une autre

[InfectedObject]
Verdict: Rootkit.Boot.Sinowal.b

[InfectedObject]
Type: MBR
Name: \Device\Harddisk0\DR0

il est toujours là

Code:

RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRKgmailcom
Remontees: http://www.sur-la-toile.com/discussion-193725-1-BRogueKillerD-Remontees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows XP (5.1.2600 Service Pack 3) 32 bits version
Demarrage : Mode normal
Utilisateur: marmotte [Droits d'admin]
Mode: Recherche -- Date: 22/04/2012 10:59:32

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] LVPrcInj03.dll -- H:\WINDOWS\TEMP\logishrd\LVPrcInj03.dll -> UNLOADED

¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000AAKS-22A7B0 +++++
--- User ---
[MBR] 93a94d3b1e07ea90254fa98f66097d46
[BSP] b6955557077ca199f66105c5e31ab690 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 131061 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 268414976 | Size: 345877 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : >
RKreport[1].txt ; RKreport[2].txt

j'ai fait zeroaccess, il n'a rien trouvé, me dit tout clean et lignes vertes
check rootkit device not found!

Argghhhh

demarrage sans souci, rescan avec rogukiller
et l'infection est toujours là. j'ai microsoft security en route et qui à chque fois me met en quarantaine dos sinowal Q! est ce que c'est parce qu'il est en quarantaine qu'il n'a pas été supprimé?

Code:

Mode: Recherche -- Date: 22/04/2012 11:11:33

¤¤¤ Processus malicieux: 1 ¤¤¤
[SUSP PATH] LVPrcInj03.dll -- H:\WINDOWS\TEMP\logishrd\LVPrcInj03.dll -> UNLOADED

¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection : ZeroAccess ¤¤¤
[ZeroAccess] (LOCKED) windir\NtUpdateKBxxxx present!

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000AAKS-22A7B0 +++++
--- User ---
[MBR] 93a94d3b1e07ea90254fa98f66097d46
[BSP] b6955557077ca199f66105c5e31ab690 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 131061 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 268414976 | Size: 345877 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : >
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt

Bon ok il est têtu, on va sortir l'artillerie lourde
Attention, ce programme peut être dangereux (cela dit tu as sauvegardé tes données et on a un cd d démarrage ^^) ne touche pas au pc pendant qu'il travaille, même pas à la souris.

Désactive les logiciels de protection (Antivirus, Antispywares) ensuite :
Télécharge Combofix : http://download.bleepingcomputer.com/sUBs/ComboFix.exe et sauvegarde le sur ton bureau et pas ailleurs!

Double-clic sur combofix, accepte la licence d'utilisation et laisse toi guider.
Éventuellement, installe la console de récupération comme cela est conseillé

Attends que combofix ai terminé, un rapport sera créé. Poste le rapport.
Si le rapport ne passe pas, héberge le et poste le lien

PS : si Combofix ne se lance pas, renomme le fichier Combofix et retente.

S'il ne se lance toujours pas, tente en mode sans échec sans prise en charge du réseau : Redémarre en mode sans échec, pour cela, redémarre l'ordinateur, avant le logo Windows, tapote sur la touche F8, un menu va apparaître, choisis Mode sans échec et appuye sur la touche entrée du clavier.

j ai le rapport mais ton lien est tronque pour l explication je ne vois pas le tuto pour l heberger

Si tu as deja lancé combofix le lien vers le tuto ne sert a rien poste le rapport il se trouve dans le lecteur C: normalement.

Si tu n'a pas encore lancé combofix voici le tuto : http://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix

je pensais que c etait une explication pour heberger le fichier

http://cjoint.com/?3Dwn2pf0HvK

pas de soucis particuliers suite a l'utilisation de combofix?
internet fonctionne? le menu demarré est present? pas de message d'erreur?

non rien de particulier
en redemarrant firefox il m'a dit que ce n'était plus mon navigateur par défaut

ca ce n'est pas grave, l'important c'est le bon fonctionnement du pc parce que Combofix est très dangereux.

En attendant le retour de Hornet (titi qui a changé de pseudo) refais un scan avec roguekiller pour voir et poste le rapport.

Code:

Mode: Recherche -- Date: 22/04/2012 14:26:11

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 1 ¤¤¤
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [CHARGE] ¤¤¤

¤¤¤ Infection :  ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
127.0.0.1      localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD5000AAKS-22A7B0 +++++
--- User ---
[MBR] 93a94d3b1e07ea90254fa98f66097d46
[BSP] b6955557077ca199f66105c5e31ab690 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 131061 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 268414976 | Size: 345877 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : >
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt

Bon, l'infection a disparu, voila une bonne chose. Refait un scan ZHPdiag pour rechercher d'autres problèmes, mais le pc devrait déjà se sentir mieux