[RESOLU] Contaminé ou pas

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[RESOLU] Contaminé ou pas

Messagepar sarawak » 31 Mar 2012 10:43

Bonjour,

http://cjoint.com/?BCFlIppgOuC

Ci-joint rapport ZHP 2 clés trouvées, anciennes contamination ou pas
Avira et Malwarebytes clean
Merci de votre aide .
Dernière édition par sarawak le 17 Avr 2012 14:37, édité 3 fois.
sarawak
 
Messages: 38
Inscription: 25 Juin 2009 15:42

Re: Contaminé ou pas ?

Messagepar zaede » 31 Mar 2012 10:56

Bonjour sarawak

Étape 1

Attention le temps de téléchargement du script a été limité à 4 jours

- Clique sur http://cjoint.com/?0CFl1E6Ueg4

- Sur la page qui s'ouvre clic droit et Tout sélectionner
- Refais un clic droit et Copier

- Double clique sur ZHPFix qui est sur le bureau.

** Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur

- Clique maintenant sur le H bleu Image (coller les lignes helper)

- Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix

Image

- Clique sur Go patiente le temps du traitement

- Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé dans C:\ZHP\ZHPFix[R1].txt

- Poste son contenu dans ta prochaine réponse


Étape 2

Télécharge :

Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :

http://www.malwarebytes.org/mbam.php
http://www.malwarebytes.org/


Mets le à jour


- Lance MalwareByte's Anti-Malware

- Onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

- A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.


- Si MalwareByte's a détecté des infections, clique sur:

Afficher les résultat

Ensuite:

Supprimer la sélection


- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

- Le rapport peut être retrouvé sous l'onglet Rapports/logs

- Ferme MBAM en cliquant sur Quitter.



Note : MalwareByte's peut être amené à redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's ici http://www.malekal.com/tutorial_Malware ... alware.php


-Poste le rapport de malwarebyte's



Tu as deux rapports à poster
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Contaminé ou pas ?

Messagepar sarawak » 31 Mar 2012 16:02

Zaede

Merci pour ton aide

Rapport ZHPFix
http://cjoint.com/?BCFq3bIw0ij

Rapport Mbam
Malwarebytes Anti-Malware 1.60.1.1000
http://www.malwarebytes.org

Version de la base de données: v2012.03.31.07

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Zim :: ROCOCO [administrateur]

31/03/2012 16:05:02
mbam-log-2012-03-31 (16-05-02).txt

Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 286098
Temps écoulé: 40 minute(s), 40 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

Etait-ce de vielle trace ou une vraie contamination
Merci
sarawak
 
Messages: 38
Inscription: 25 Juin 2009 15:42

Re: Contaminé ou pas ?

Messagepar zaede » 31 Mar 2012 17:51

Difficile a dire pour les BHO
Pour les autres , ce sont des fichiers supprimés dont il reste des clés presentes
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Contaminé ou pas

Messagepar sarawak » 02 Avr 2012 17:08

Zaede,

Bonjour je revient vers toi car les 2BHO sont toujours présentes !

Voir rapport ZHPDiag
http://cjoint.com/?BDcsgupuWEW

Merci
sarawak
 
Messages: 38
Inscription: 25 Juin 2009 15:42

Re: Contaminé ou pas

Messagepar zaede » 06 Avr 2012 20:23

Bonjour sarawak, desolé j'avais zappé ce post


- Surligne le texte en citation (sans le mot citation) ci-dessous ensuite clic droit dessus et choisis Copier dans la liste

O87 - FAEL: "{58E47893-9F21-45C8-A25C-01FF3F3DF673}" |In - Public - P6 - TRUE | .(...) -- E:\fscommand\CKSocketServer.exe (.not file.) => Fichier absent
O87 - FAEL: "{B247A7FC-AAF7-4632-95E9-4282EBA80FB4}" |In - Public - P17 - TRUE | .(...) -- E:\fscommand\CKSocketServer.exe (.not file.) => Fichier absent
O87 - FAEL: "{EB14FFEB-B0A6-4006-AE38-33CF7CEA3E08}" |In - Private - P6 - TRUE | .(...) -- E:\fscommand\CKSocketServer.exe (.not file.) => Fichier absent
O87 - FAEL: "{66075315-189A-4103-93EA-A6AFD2221602}" |In - Private - P17 - TRUE | .(...) -- E:\fscommand\CKSocketServer.exe (.not file.) => Fichier absent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]





- Double clique sur ZHPFix qui est sur le bureau.

** Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'adminstrateur

- Clique maintenant sur le H bleu http://img51.xooimage.com/files/f/3/5/h ... 26894a.jpg (coller les lignes helper)

- Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix

http://img63.xooimage.com/files/a/b/c/z ... 73d5b0.jpg

- Clique sur GO
Patiente le temps du traitement

- Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau poste son contenu dans ta prochaine réponse
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Contaminé ou pas

Messagepar sarawak » 09 Avr 2012 15:15

Bonjour Zaede,

Merci de ton aide

http://cjoint.com/?BDjqnThkeIQ

Bonne fêtes de Pâques
sarawak
 
Messages: 38
Inscription: 25 Juin 2009 15:42

Re: Contaminé ou pas

Messagepar sarawak » 09 Avr 2012 15:34

Après reboot du pc; nouveau Rapport ZHPDiag

http://cjoint.com/?BDjqFxRnR6x

Les clefs sont toujours présentes:

---\\ Scan Additionnel (O88)
Database Version : 9067 - (06/03/2012)
Clés trouvées (Keys found) : 2
Valeurs trouvées (Values found) : 0
Dossiers trouvés (Folders found) : 0
Fichiers trouvés (Files found) : 0

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO
[HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}] =>Trojan.BHO
~ Scan Additionnel in 00mn 06s
sarawak
 
Messages: 38
Inscription: 25 Juin 2009 15:42

Re: Contaminé ou pas

Messagepar zaede » 09 Avr 2012 16:22

Bonjour Sarawak, elles font de la résistance


- Télécharge OTM.exe (de Old_Timer) http://oldtimer.geekstogo.com/OTM.exe sur ton bureau

- Double-clique sur OTM.exe.

- Copie le texte qui se trouve dans code et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved

Image

Code: Tout sélectionner
:Processes
explorer.exe

:Reg
[-HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}]
[-HKLM\Software\Classes\TypeLib\{86676e13-d6d8-4652-9fcf-f2047f1fb000}]

:Commands
[EmptyTemp]
[Reboot]



- Clique sur MoveIt! pour lancer la suppression.

- Copie/colle dans ton prochain post le résultat qui apparaît dans le cadre Results puis clique sur Exit

Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur YES.


NOTE: Tu peux également retrouver le rapport de OTM dans C:\_OTM\MovedFiles.
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Contaminé ou pas

Messagepar sarawak » 10 Avr 2012 08:00

Bonjour

J'ai exécuté OTM ci dessous le rapport
http://cjoint.com/?BDkiSNIKQGM

Voici un nouveau rapport ZHPDiag après le reboot du PC
http://cjoint.com/?BDkiZHnbP55


Il resterait encore une clef qui résiste non ?

Je te laisse me piloter pour la suite

Merci
sarawak
 
Messages: 38
Inscription: 25 Juin 2009 15:42

Re: Contaminé ou pas

Messagepar zaede » 10 Avr 2012 23:18

Bonsoir sarawak, pas sur que cette clé soit encore la

Clique sur les touches Windows R
Dans la fenetre qui s'ouvre, tape: regedit
Navigue jusqu'a la clé {83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}

HKEY_CURRENT_USER ==> Software==> Microsoft==>Windows ==>CurrentVersion ==>Ext ==> Stats ==>{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}
Verifie si la clé est encore presente. Si oui, clic droit sur la clé et supprimer
Referme la base de registre et redémarre le PC
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Contaminé ou pas

Messagepar sarawak » 11 Avr 2012 15:17

Bonjour Zaede

J'ai supprimé la clef manuellement, reboot du PC je vérifie dans la BDR la clef est absente
je crois alors la partie gagnée, je surf, revérification la clef toujours absente .Je lance ZHPDiag
pour confirmer et oh surprise la clef revient pendant le scan.

J'ai fais plusieurs fois la Manip au cas ou et toujours même résultat.

Quand pense-tu Docteur

Merci
sarawak
 
Messages: 38
Inscription: 25 Juin 2009 15:42

Re: Contaminé ou pas

Messagepar zaede » 11 Avr 2012 23:35

Bonsoir sarawak, je pense que cette clé n'a guère d'incidence sur le PC
Clique sur la clé et verifie son contenu
Poste le eventuellement ici
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Contaminé ou pas

Messagepar sarawak » 12 Avr 2012 15:07

Bonjour,

Voici une capture de la clef
http://cjoint.com/?BDmqdu7ux7u

Voici une capture de la clef et sa sous-clef
http://cjoint.com/?BDmp77Yvj37

Le PC fonctionne normalement

Merci
sarawak
 
Messages: 38
Inscription: 25 Juin 2009 15:42

Re: Contaminé ou pas

Messagepar zaede » 12 Avr 2012 23:41

Bonsoir sarawak

Cette clé est encore en observation . Elle fait partie de partner

http://www.systemlookup.com/CLSID/55616 ... 4_dll.html

C'est un PC ACER?
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Contaminé ou pas

Messagepar sarawak » 13 Avr 2012 07:51

Bonjour Zaede,

Effectivement c'est un PC ACER

Tu me conseil quoi maintenant STP

Merci
sarawak
 
Messages: 38
Inscription: 25 Juin 2009 15:42

Re: Contaminé ou pas

Messagepar zaede » 13 Avr 2012 15:42

Re, de laisser cette clé, elle se trouve sur les ACER
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Contaminé ou pas

Messagepar sarawak » 13 Avr 2012 19:36

Bonsoir Zaede,

GRRRR pour les ACER sur cette pratique

Je te remercie pour m'avoir donné du temps, bon courage à toi dans ce que tu fais;
merci également à toute l’équipe de votre site.

J'attend ton feu vert pour mettre mon premier poste en résolu

Merci
sarawak
 
Messages: 38
Inscription: 25 Juin 2009 15:42

Re: Contaminé ou pas

Messagepar zaede » 13 Avr 2012 21:41

On y va pour le final


- On va maintenant procéder au nettoyage des outils téléchargés.

- Télécharge DelFix (d'Xplode) sur ton bureau :

- Lance le et clique sur Recherche

- Le scan fini clique sur Suppression

- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message.

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation.


Garde:

- MalwareByte's, l Un scan tous les dix jours après une mise à jour de l'outil aidera ton PC à rester en forme



Et maintenant je te fais le traditionnel discours de prévention et de sécurité.

- Windows Update parfaitement à jour (catégories critique, Services Pack et Services Release)
- pare-feu bien paramétré
- antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
- une attitude prudente vis à vis de la navigation (pas de sites douteux) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
- une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
- nettoyage hebdomadaire du système (suppression des fichiers inutiles, nettoyage de la base de registre, scandisk, défragmentation)



Verifie si ta console Java est à jour:

Java Sun et télécharge la dernière version (si ta version actuelle n'est pas à jour)

Après installation et redémarrage (toujours si elle n'était pas à jour), va dans panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.

Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.

En cas de problèmes chez Sun, tu peux aller télécharger la dernière version chez File Hippo

- Si tu considères ton problème comme résolu, édite le premier post et met [Résolu] devant le titre


a bientôt sur libellules.ch :hello:
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités