[résolu]Suspicion d'etre infecté

schtroumpf(ette) timide Messages : 29 Réputation : 0

Bonjour,
Il s'agit du Eee PC de ma fille.
Pensant être infecté je vous adresse les rapports, et vous remercie de bien vouloir m'aider. Nétant pas très calé dans le domaine je vous demande d'être undulgent si je m'égare dans la procédure.
Rapport 1. Malwarebytes anti-malware
http://cjoint.com/?0Ctftn566F5

2- Rapport Adwcleaner

http://cjoint.com/?0CtpDu5Dc445456D5

3- Rapport ZHPDiag
http://cjoint.com/?0Ctqgaoz456tk

Merci de votre aide

(Re)Bonjour,

Tu as effectivement quelques infections, comme snapdo, tuto4pc... Ces programmes modifient les moteurs de recherche, page d'accueils, ajoutent des barres d'outils aux navigateurs et ajoutent des processus au démarrage de Windows, ce qui à pour effet de ralentir (inutilement) le système.

Poste le rapport S1 de Adwcleaner (celui qui correspond donc au premier nettoyage) puis fait ceci :
Télécharger JRT sur le bureau : http://www.bleepingcomputer.com/download/junkware-removal-tool/dl/131/
Fermer les programmes en cours et couper la protection de l'antivirus le temps de l'exécution du programme
Double cliquer sur JRT.exe (Sous Vista/7/8 : clic droit/Exécuter en tant qu'admin)
Suivre les instructions du programme et appuyer sur une touche quand il le demande
Une fois le rapport affiché, l'héberger et donner le lien sur le forum
Tuto ici : http://assiste.free.fr/Assiste/Junkware_Removal_Tool_JRT.html#Junkware_Removal_Tool_JRT_utilisation

Petite parenthèse : il ne faut pas modifier les rapports, le nom de la session est indispensable pour pouvoir creer des scripts notament en fin de désinfection. si tu souhaite conserver l'anonymat pour des raisons de securité, tu peux heberger les rapports sur cjoint en indiquant une adresse mail qui permettra d'effacer le rapport une fois que je l'aurais consulté (après mes réponses donc) ou simplement me prévenir, et je modifierait les liens de maniere a les rendre inutilisable

Invité

Ci joint rapport demandé, et j'effectue JRT à suivre

Code:: # AdwCleaner v3.020 - Rapport créé le 04/03/2014 à 15:33:16
# Mis à jour le 27/02/2014 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : celine lerein - CELINELEREIN-PC
# Exécuté depuis : C:\Users\celine lerein\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\HUL62XYG\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\apn
Dossier Supprimé : C:\Program Files (x86)\BearShare Applications
Dossier Supprimé : C:\windows\SysWOW64\AI_RecycleBin
Dossier Supprimé : C:\Users\celine lerein\AppData\Local\BenchUpdater
Dossier Supprimé : C:\Users\celine lerein\AppData\Local\Google\Chrome\User Data\Default\Extensions\algmakeomkafjglfhpomolfhjppoojff
Dossier Supprimé : C:\Users\celine lerein\AppData\Local\Google\Chrome\User Data\Default\Extensions\cekcjpgehmohobmdiikfnopibipmgnml
Dossier Supprimé : C:\Users\celine lerein\AppData\Local\Google\Chrome\User Data\Default\Extensions\ejnmnhkgiphcaeefbaooconkceehicfi
Dossier Supprimé : C:\Users\celine lerein\AppData\Local\Google\Chrome\User Data\Default\Extensions\pbpohikckhbcljgombipcdoinkaedlfa

***** [ Raccourcis ] *****

***** [ Registre ] *****

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.16518

-\\ Google Chrome v33.0.1750.146

[ Fichier : C:\Users\celine lerein\AppData\Local\Google\Chrome\User Data\Default\preferences ]

*************************

AdwCleaner[R0].txt - [39968 octets] - [17/01/2014 18:00:48]
AdwCleaner[R1].txt - [1769 octets] - [04/03/2014 15:29:44]
AdwCleaner[S0].txt - [34401 octets] - [17/01/2014 18:04:44]
AdwCleaner[S1].txt - [1706 octets] - [04/03/2014 15:33:16]

########## EOF - C:\AdwCleaner\AdwCleaner[S1].txt - [1766 octets] ##########

hello, j'ai édité le premier message pour supprimer un petit bout. inutile de dire d'où tu viens (bienvenue chez nous), sauf si un nettoyage a déjà été fait. Si rien n'a été fait, ca fait une mauvaise pub aux sites qui peuvent simplement être trop surchargés et donc ne pas pouvoir donner de réponses à tout le monde.

Je laisse la désinfection à hornet et je n'interviendrais que pour faire mon travail de modérateur si besoin (comme pour editer des messages qui contiennent des rapports éventuellement trop longs pour le forum)

schtroumpf(ette) timide Messages : 29 Réputation : 0

Trouves le lien pour CJOINT du rapport
http://cjoint.com/?3CvqgF5PFhmM

maintenant fais ceci :
Ouvrir ce lien et copier tout le texte qu'il contient (CTRL+A puis CTRL+C) : http://cjoint.com/data3/CvqCtnThwq_zhpfix.txt
Désactiver l'antivirus le temps de l'utilisation de ZHPFix
Fermer tous les programmes en cours d'utilisation
Double-cliquer sur l'icône ZHPFix sur le bureau.
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
Cliquer sur Importer
/!\ S'assurer que les lignes sont copiées comme dans le lien et qu'aucune n'est coupée.
Vérifier également qu'il n'y a aucune ligne en plus du script fourni
Cliquer sur GO en bas à gauche pour lancer le nettoyage.
Confirmer la suppression, et le vidage de la corbeille.
/!\ Si des fichiers importants se trouvent dans la corbeille, les enlever avant de confirmer le nettoyage, ou refuser le nettoyage de la corbeille.
Si Windows lance la désinstallation de certains programmes, faire la désinstallation jusqu'au bout.
Le bureau disparaitra peut-être et certains programmes seront fermés, c'est normal.
Note : un redémarrage sera peut-être nécessaire, si ZHPFix le demande, accepter.
Héberger le rapport ZHPFixReport.txt et poster le lien dans la prochaine réponse.
S'il ne s'ouvre pas automatiquement, il est disponible sur le bureau.
Sinon, Pour XP voir dans le dossier : C:\Documents and Settings\....\Local Settings\Application Data\ZHP\ZHPFix[R1].txt
Pour Vista ou supérieur voir : C:\Users\....\AppData\Roaming\ZHP\ZHPFix[R1].txt (les ... correspondent au nom de la session utilisée)

Note : il est possible que suite a l'utilisation de ZHPFix, les icônes de la barre de tâche ne s'affichent plus, une simple fermeture de la session règle le problème.

schtroumpf(ette) timide Messages : 29 Réputation : 0

Rapport zhpfix:

http://cjoint.com/?3Cvrp3F15i9X

encore merci pour la suite à donner.

En voulant copier le lien une nouvelle fenetre s'est installée sans le demander.

quelle genre de fenetre?

Refais une analyse ZHPDiag (pour voir les restes) en suivant ces indications (différentes de celles que tu as suivi pour le premier rapport) :
Fermer les programmes en cours le temps de l'execution de ZHPDiag
Lancer ZHPDiag.exe (sous Vista/7/8, clic droit/exécuter en tant qu'admin)
Cliquer sur le bouton Configurer
Cliquer sur la loupe la plus à droite (celle sans symboles supplémentaire)
A la question Voulez vous un rapport Full options? dire OUI
Pour ne pas ralentir l'analyse, éviter de se servir du pc pendant le scan.
Si le programme demande d'utiliser SIGCHECK, accepter pour un rapport plus détaillé.
A la fin de l'analyse, un rapport est créé directement sur le bureau, il se nomme ZHPDiag.txt.
Sinon, Pour XP voir dans le dossier : C:\Documents and Settings\....\Local Settings\Application Data\ZHP
Pour Vista ou supérieur voir : C:\Users\....\AppData\Roaming\ZHP
Héberger le rapport sur http://www.cjoint.com et poster le lien sur le forum.

schtroumpf(ette) timide Messages : 29 Réputation : 0

rapport ZHPDiag

http://cjoint.com/?DCvrMdF6de

La fenêtre qui s'est ouverte est une pub pour un antivirus.

Etrange, mais le forum etant gratuit, il arrive que des pubs s'ouvrent, voila pourquoi on suggère l'installation de Adblock plus sur les navigateur, ca permet de ne pas être ennuyé avec ca.

Désinstalle java 6 update 29 et super anti spyware
Tu as plusieurs antivirus, fais un choix entre Panda et Microsoft security essential et désinstalle l'autre : https://morbak-home.forumgratuit.org/t370-desinstaller-son-antivirus

Rends toi sur www.virustotal et fais analyser les fichiers ci dessous si présent :
C:\windows\system32\drivers\ktzyyoud.sys
C:\windows\system32\drivers\lgbnulpe.sys
C:\Users\celine lerein\Desktop\WinRar 4.11 (X86-X64)\Bonus 1\Keygen.exe

Aide pour virustotal : https://morbak-home.forumgratuit.org/t644-comment-scanner-un-fichier-avec-virustotal
Si le fichier ne peux pas être analysé, copie le sur le bureau, et fais analyser la copie.
Si on te dit que le fichier a déjà été analysé, clic sur Réanalyser.
Donne moi les liens des 3 pages d'analyses.

Tu as installé des programmes depuis que la création de ce sujet?
je vois ca sur ton rapport :

O43 - CFD: 21/03/2014 - 17:09:04 - [1,317] ----D C:\Program Files (x86)\ScanTack
O43 - CFD: 21/03/2014 - 16:40:19 - [4,348] ----D C:\Program Files (x86)\stv_fr_3

schtroumpf(ette) timide Messages : 29 Réputation : 0

Analyse Virus total: Lien:
https://www.virustotal.com/fr/file/776303a0a9794f0abc8696c395892d84de3050c5adb76e2f7fe64f594090e1/analysis/1395423353/

schtroumpf(ette) timide Messages : 29 Réputation : 0

oui, Les MAJ microsoft office au nombre de 30

je pensais plutot a un programme Clin d oeil

Tu as fait le reste des indications?

Si oui, on continue :
Télécharger RogueKiller (de Tigzy) sur le bureau.
Pour windows 32 bits : http://www.sur-la-toile.com/RogueKiller/RogueKiller.exe
ou pour windows 64 bits : http://www.sur-la-toile.com/RogueKiller/RogueKillerX64.exe
Fermer toutes les applications en cours
Lancer RogueKiller.exe
Sous Vista/7/8, clic droit/exécuter en tant qu'admin.
Si l'infection bloque le programme, il faut le relancer plusieurs fois ou le renommer en winlogon.exe
Laisser le prescan se faire et accepter la licence pour permettre l'installation du programme
Cliquer sur Scan
Lorsque le scan est fini, le rapport apparaitra sur le bureau sous le nom RKreport.....txt
Sinon cliquer sur Rapport pour l'ouvrir et l'enregistrer
L'héberger sur http://www.cjoint.com et poster le lien.

schtroumpf(ette) timide Messages : 29 Réputation : 0

Rapport de RK
http://cjoint.com/?DCv5thVHRUml

Si RogueKiller est toujours ouvert, clic sur suppression et poste le rapport (clic sur le bouton rapport si il n'apparait pas automatiquement)

Si tu l'as fermé, relance le,
refais un scan pour débloquer la suppression
clic sur suppression et poste le rapport.

puis repasse zhpfix avec ces lignes : http://cjoint.com/data3/3Cvts5QOr_zhpfix.txt

schtroumpf(ette) timide Messages : 29 Réputation : 0

Nouveau rapport Rk après suppression

http://cjoint.com/?3vxq7piGL1

Et ZHPFIx
http://cjoint.com/?3CvxDR1Mhm

Merci pour la suite à donner.

Bonne nuit

Gilles

Le keygen avait laissé un processus en cours, c'est mauvais signe si tu avais bien fermé les programmes avant de passer zhpfix. Les crack/keygens sont très souvent vecteurs d'infections particulièrement grave qui peuvent aller jusqu'au vol de mot de passe. Plus d'infos : http://forum.malekal.com/danger-des-cracks-t893.html

Pour demain :
- utiliser un peu le pc et me donner des nouvelles (rapidité, problèmes/messages d'erreur éventuels etc...)

- Puis faire une nouvelle analyse zhpdiag (oui ca fait beaucoup mais c'est pour s'assurer que tout ce qu'on supprime ne revient pas et voir ce qu'il reste) :
Lancer ZHPDiag.exe (sous Vista/7/8, clic droit/exécuter en tant qu'admin)
Cliquer sur le bouton Configurer
Cliquer sur la loupe la plus à droite (celle sans symboles supplémentaire)
A la question Voulez vous un rapport Full options? dire OUI
Pour ne pas ralentir l'analyse, éviter de se servir du pc pendant le scan.
Si le programme demande d'utiliser SIGCHECK, accepter pour un rapport plus détaillé.
A la fin de l'analyse, un rapport est créé directement sur le bureau, il se nomme ZHPDiag.txt.
Sinon, Pour XP voir dans le dossier : C:\Documents and Settings\....\Local Settings\Application Data\ZHP
Pour Vista ou supérieur voir : C:\Users\....\AppData\Roaming\ZHP
Héberger le rapport sur http://www.cjoint.com et poster le lien sur le forum.

Je ne sais pas si je serai disponible dans la matinée mais je reviendrai dès que possible.
Bonne nuit.

schtroumpf(ette) timide Messages : 29 Réputation : 0

Bonjour
voici le rapport ZHPDiag de ce matin.
http://cjoint.com/?CwklH3AfoO
Le pc reste un peu lent, mais je n'ai pas eu de nouvelles fenêtres intempestives sous Chrome ni sous IE.

Le lecteur E correspond a quoi? un port usb? lecteur CD?

Tu peux desinstaller acrobat.com et Adobe Air si tu n'utilise pas (ils ne sont pas nécéssaiere au fonctionnement d'adobe reader)

Desinstalle le logiciel Scantack si possible

Tu connais les logiciels Appcloud updater et genesis?
si oui, verifie qu'ils fonctionnent
si non, tu peux les desinstaller si ils apparaissent dans le panneau de config

on va optimiser un peu :
repasse zhpfix avec ces lignes : http://cjoint.com/data3/3CwkPz5qNnTB_zhpfix.txt
poste le rapport de nettoyage

puis dans le menu demarrer, tape : msconfig
valide avec Entrée pour ouvrir l'utilitaire de configuration systeme
dans l'onglet Démarrage, tu peux tout décocher sauf l'anvirus
Valide et accepte le redémarrage.
Après redémarrage tu aura un message rappelant que tu as utilisé l'utilitaire de configuration, coche la case "ne plus afficher" et valide.

Dis moi ensuite comment va le pc.

Si la désactivation des démarrages provoque des soucis de fonctionnement, préviens moi.

schtroumpf(ette) timide Messages : 29 Réputation : 0

Rapport ZHPFIX
http://cjoint.com/?34Cwk5quozUk
Je continue avec msconfig

schtroumpf(ette) timide Messages : 29 Réputation : 0

Dans ordinateur, je n'ai pas de lecteur "E".
Après avoir gardé uniquement Panda Cloud antivirus,le démarrage a été un plus rapide.
c'est une bonne amélioration.
Je dois te préciser que juste avant, j'ai passé le nettoyeur Bleachbit.
J'aurai peut être du attendre que ce nettoyage soit terminé.

En general oui, il vaut mieux attendre la fin mais bon, ca n'est pas non plus un drame ^^

Pas de soucis suite a msconfig?
les programmes cités fonctionnent ou sont désinstallés? (la suppression de programmes non utilisé allège le disque dur ce qui ameliore les performances de ce dernier)

On peut passer a la dernière étape?

schtroumpf(ette) timide Messages : 29 Réputation : 0

J'ai réussi à désinstaller les programmes précités.
Passons à la dernière étape.

Dernière étape, faire ce qui est indiqué ici : https://morbak-home.forumgratuit.org/t390-que-faire-avant-et-apres-une-desinfection#4974

Dans ton cas la modification des mots de passe n'est pas nécessaire (cela dit tu es libre de les modifier si tu le souhaite).

Après le passage de Delfix, vérifier sur le bureau et sur le disque C qu'il ne reste aucun rapport/dossier/exécutable des programmes utilisés.

Ces catégories contiennent des infos qui pourraient être intéressantes (entretien du pc et tutos) :
https://morbak-home.forumgratuit.org/f20-informations-utiles
https://morbak-home.forumgratuit.org/f46-tutoriels

Après confirmation que tout est fait, le sujet sera verrouillé et placé dans les sujets résolus. En cas de problèmes, un simple MP aux modérateurs en cliquant ici permettra le déverrouillage pour reprendre.

schtroumpf(ette) timide Messages : 29 Réputation : 0

Merci de m'avoir aidé dans ce travail de dépannage un peu déconcertant vu le nombre de manipulation à effectuer. Je mets en résolu.

Merci et A+

Gilles

» [résolu] pc infecte hier ?
» [résolu] PC avec pubs, probablement infecté jusqu'a la moelle
» Suspicion d'infection affectant les menus déroulant
» [résolu]Backgroundcontainer.dll
» [résolu]Une m***e sur mon PC