[résolu]Demande de vérification après / pour une infection

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[résolu]Demande de vérification après / pour une infection

Messagepar Ephémère » 14 Jan 2012 01:06

Bonjour, bonsoir

Je viens il y a une heure environ d'être infecté par le fameux virus "Gendarmerie nationale". Du moins, c'est ce que je crois, car le bureau s'est bloqué, et que juste avant j'avais pu voir un aperçu d'une fenêtre réduite qui s'était ouverte avec une partie du fameux "activité illicite démêlée" je crois. Sauf que dès que je sens le malware je coupe direct le net, du coup quand je redémarrais, j'avais une page blanche d'IE qui ne pouvait accéder à la page... Sûrement que c'était sinon celle où ils demandaient de payer.

Quoi qu'il en soit, j'ai donc fait mode sans échec et restauration, l'histoire de et après ça, tout a l'air de refonctionner normalement... Mais je trouve ça un peu trop facile pour s'en débarrasser, c'est louche, ou alors j'ai chopé une version qui ne remplace pas explorer.exe. Juste après avoir restauré, j'avais mon Antivir qui indiquait "Service arrêté". Je l'ai réinstallé en le mettant à niveau, cela dit, je me demande si c'était déjà comme ça quand j'ai chopé le virus, ce qui expliquerait qu'il soit passé, ou s'il était bien activé mais qu'il a fait sa passoire (Et il était à jour me semble t-il...). Antivir est-il normalement censé bloquer ce genre de virus ? Je crois qu'il est passé par Adobe Reader que j'ai mis à jour (Après le rapport...), mais tout de même.

Sinon, voici le rapport Hijackthis (Obsolète ?) :

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:05:12, on 14/01/2012
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.19170)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\ATK Hotkey\HControlUser.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\Mozilla Firefox\plugin-container.exe
C:\Users\Utilisateur\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.packardbell.com/?id=9136
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.fr/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.packardbell.com/?id=9136
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.duxot.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = local;*.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll (file missing)
R3 - URLSearchHook: uTorrentBar_FR Toolbar - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - C:\Program Files\uTorrentBar_FR\tbuTor.dll
O1 - Hosts: ::1 localhost
O2 - BHO: uTorrentBar_FR Toolbar - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - C:\Program Files\uTorrentBar_FR\tbuTor.dll
O2 - BHO: Aide pour le lien d'Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Program Files\Google\Google_BAE\BAE.dll
O2 - BHO: Bing Bar Helper - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing)
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll (file missing)
O3 - Toolbar: free-downloads.net Toolbar - {ecdee021-0d17-467f-a1ff-c7a115230949} - C:\Program Files\free-downloads.net\tbfree.dll (file missing)
O3 - Toolbar: uTorrentBar_FR Toolbar - {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e} - C:\Program Files\uTorrentBar_FR\tbuTor.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\ConduitEngine.dll
O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} - "C:\Program Files\Microsoft\BingBar\BingExt.dll" (file missing)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\Packard Bell\GOOGLE_EULA\EULALauncher.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [HControlUser] "C:\Program Files\ATK Hotkey\HcontrolUser.exe"
O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin
O4 - HKLM\..\Run: [DivX Download Manager] "C:\Program Files\DivX\DivX Plus Web Player\DDmService.exe" start
O4 - HKLM\..\Run: [LifeCam] "C:\Program Files\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [APSDaemon] "C:\Program Files\Common Files\Apple\Apple Application Support\APSDaemon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [Livestation] C:\Program Files\Livestation\Livestation.exe -startup
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [uTorrent] "C:\Program Files\uTorrent\uTorrent.exe"
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O13 - Gopher Prefix:
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs:
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program Files\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: Avira Planificateur (AntiVirSchedulerService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira Protection temps réel (AntiVirService) - Avira Operations GmbH & Co. KG - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - Unknown owner - C:\Program Files\ATK Hotkey\ASLDRSrv.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Service de l’iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - C:\Program Files\WinPcap\rpcapd.exe (file missing)
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 9211 bytes


Cet ordi n'était pas le mien avant, donc s'il y a d'autres merdes ou des trucs à optimiser pour éviter que ça ne se reproduise, n'hésitez à me dire^^

Merci beaucoup
Dernière édition par Ephémère le 15 Jan 2012 17:53, édité 1 fois.
Ephémère
 
Messages: 14
Inscription: 14 Jan 2012 00:57

Re: Demande de vérification après / pour une infection

Messagepar lenapache » 14 Jan 2012 11:30

Bonjour Ephémère et bienvenue sur libellules.ch

Hijackthis n'est plus utilisé, il n'est pas assez performant, nous allons faire un audit de ce PC avec un autre outil.

Le rapport de ZHPDiag doit être posté en lien, il est parfois trop long pour tenir dans une réponse.

Image Scan

    Télécharge ZHPDiag (de Nicolas coolman)

  • Double clique sur le fichier téléchargé, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher Créer une icône sur le bureau)
  • Pour Vista et Windows 7 clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur
  • Lance ZHPDiag en double cliquant sur le raccourci de ZHPDiag présent sur ton bureau
  • Clique sur la Image en haut à gauche en haut à gauche, puis laisse l'outil scanner
  • Une fois le scan terminé, clique sur la Image et enregistre le rapport sur le bureau.
  • Sinon le rapport se trouvera aussi ici ==> c:\ZHP\ZHPDiag.txt

Image Pour poster le rapport en lien rends toi sur ce site : Image


    • Clique sur Image et va jusqu'au rapport qui a été sauvegardé

    • Clic gauche dessus clique ensuite sur Ouvrir

      Image
    • Clique ensuite sur Image
    • Une fois l'upload fini un lien apparaît clic droit dessus choisis Copier dans le menu

      Image
    • Colle le lien dans ta prochaine réponse
[/list]
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Demande de vérification après / pour une infection

Messagepar Ephémère » 14 Jan 2012 12:12

J'avais un petit doute sur Hijackthis, désolé pour la perte de temps. Voici le lien :

http://cjoint.com/?BAomlCTjTSy
Ephémère
 
Messages: 14
Inscription: 14 Jan 2012 00:57

Re: Demande de vérification après / pour une infection

Messagepar lenapache » 14 Jan 2012 13:36

On ne peut pas dire qu'il soit propre ce PC

Image Télécharge Adwcleaner ( d'Xplode ) Enregistre ce fichier sur le bureau et pas ailleurs

    Fais un clic droit sur AdwCleaner.exe qui est sur le bureau et Exécuter en tant qu'administrateur

    Clique sur Image laisse l'outil travailler
    Le scan terminé, le bloc notes s'ouvrira avec le résultat du scan. Poste son contenu dans ta prochaine réponse.
    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Demande de vérification après / pour une infection

Messagepar Ephémère » 14 Jan 2012 22:14

# AdwCleaner v1.406 - Rapport créé le 14/01/2012 à 22:08:36
# Mis à jour le 09/01/2012 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium Service Pack 2 (32 bits)
# Nom d'utilisateur : Utilisateur - PC-DE-UTILISATE (Administrateur)
# Exécuté depuis : C:\Users\Utilisateur\Desktop\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Utilisateur\AppData\Roaming\Mozilla\Extensions\{ec8030f7-c20a-464f-9b0e-13a3a9e97384}
Dossier Supprimé : C:\Users\Utilisateur\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Utilisateur\AppData\LocalLow\ConduitEngine
Dossier Supprimé : C:\Users\Utilisateur\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Program Files\Conduit
Dossier Supprimé : C:\Program Files\ConduitEngine
Dossier Supprimé : C:\Program Files\uTorrentBar_FR
Fichier Supprimé : C:\Program Files\Windows live\messenger\msimg32.dll

***** [Registre] *****

[*] Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\conduitEngine
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKLM\SOFTWARE\Conduit
Clé Supprimée : HKLM\SOFTWARE\conduitEngine
Clé Supprimée : HKLM\SOFTWARE\OpenCandy NSIS SDK
Clé Supprimée : HKLM\SOFTWARE\uTorrentBar_FR
Clé Supprimée : HKLM\SOFTWARE\Messenger Plus!\OpenCandy
Clé Supprimée : HKLM\SOFTWARE\Classes\Conduit.Engine
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3c471948-f874-49f5-b338-4f214a2ee0b1}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4
Clé Supprimée : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\conduitEngine
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar_FR Toolbar
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{30F9B915-B755-4826-820B-08FBA6BD249D}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}]

***** [Navigateurs] *****

-\\ Internet Explorer v8.0.6001.19170

[OK] Le registre ne contient aucune entrée illégitime.

-\\ Mozilla Firefox v9.0.1 (fr)

Profil : t8wfu7za.default
Fichier : C:\Users\Utilisateur\AppData\Roaming\Mozilla\Firefox\Profiles\t8wfu7za.default\prefs.js

Supprimée : user_pref("browser.search.defaultenginename", "Web Search...");

*************************

AdwCleaner[S1].txt - [3998 octets] - [14/01/2012 22:08:36]

*************************

Dossier Temporaire : 20 dossier(s) et 42 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S1].txt - [4220 octets] ##########


Voilà le travail, je me disais bien qu'il devait y avoir des trucs pas nets...
Ephémère
 
Messages: 14
Inscription: 14 Jan 2012 00:57

Re: Demande de vérification après / pour une infection

Messagepar lenapache » 14 Jan 2012 22:24

Ce n'est peut être pas encore fini, refais un scan avec ZHPDiag poste ensuite son rapport en lien.
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Demande de vérification après / pour une infection

Messagepar Ephémère » 14 Jan 2012 22:31

Voici le nouveau diagnostic : http://cjoint.com/?BAowESfldIn
Ephémère
 
Messages: 14
Inscription: 14 Jan 2012 00:57

Re: Demande de vérification après / pour une infection

Messagepar lenapache » 15 Jan 2012 09:47

Bonjour Ephémère

Le dernier rapport de ZHPDiag posté montre encore des traces d'infection on va les neutraliser avec ZHPFix et avec l'aide d'un script.

Attention le temps de téléchargement du script a été limité à 4 jours

  • Clique sur Script ZHPfix
  • Sur la page qui s'ouvre clic droit et Tout sélectionner
  • Refais un clic droit et Copier
  • Double clique sur ZHPFix qui est sur le bureau.
    • Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
    • Clique maintenant sur le Image (coller les lignes helper)
    • Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix

      Image
    • Clique sur Image patiente le temps du traitement
  • Un rapport nommé ZHPFix[R1].txt sera créé et sauvegardé sur le bureau poste son contenu dans ta prochaine réponse
  • Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt
  • Redémarre ton PC et poste le rapport de ZHPFix
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Demande de vérification après / pour une infection

Messagepar Ephémère » 15 Jan 2012 16:25

Rapport de ZHPFix 1.12.3378 par Nicolas Coolman, Update du 10/01/2011
Fichier d'export Registre :
Run by Utilisateur at 15/01/2012 16:20:37
Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)
Web site : http://www.premiumorange.com/zeb-help-p ... hpfix.html
Web site : http://nicolascoolman.skyrock.com/

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\AppDataLow\Software\uTorrentBar_FR
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}

========== Valeur(s) du Registre ==========
ABSENT URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
SUPPRIME URLSearchHook: {05eeb91a-aef7-4f8a-978f-fb83e7b03f8e}
SUPPRIME TCP Query User{97335A0D-0DF6-43B7-A1C0-C02D9CA61655}C:/world of warcraft/wow-3.1.0.9767-to-3.1.1.9806-frfr-downloader.exe
SUPPRIME UDP Query User{E0F056F2-F349-4396-B5AE-96516271AE2E}C:/world of warcraft/wow-3.1.0.9767-to-3.1.1.9806-frfr-downloader.exe

========== Fichier(s) ==========
SUPPRIME File: c:\users\utilisateur\appdata\roaming\mozilla\firefox\profiles\t8wfu7za.default\searchplugins\web-search.xml
ABSENT Folder/File: c:\users\utilisateur\appdata\roaming\mozilla\firefox\profiles\t8wfu7za.default\searchplugins\web-search.xml


========== Récapitulatif ==========
4 : Clé(s) du Registre
4 : Valeur(s) du Registre
2 : Fichier(s)


End of clean in 00mn 00s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 15/01/2012 16:20:37 [1695]


Voilà^^. Je me demande bien le genre de conneries qu'il pouvait y avoir...
Ephémère
 
Messages: 14
Inscription: 14 Jan 2012 00:57

Re: Demande de vérification après / pour une infection

Messagepar lenapache » 15 Jan 2012 17:26

C'est Ok


Image On va maintenant procéder au nettoyage des outils téléchargés.

  • Télécharge Delfix (d'Xplode) sur ton bureau.
  • Lance le et clique sur Image
  • Le scan fini clique sur Image
  • La suppression des outils effectuée relance DelFix clique sur Image


Image Je te donne quelques consignes de sécurité :

  • Windows Update ( http://www.windowsupdate.com/ ) parfaitement à jour (catégories critique, Services Pack et Services Release)
  • Antivirus bien paramétré et mis à jour régulièrement (quotidiennement s'il le faut) avec un scan complet régulier (journalier s'il le faut).
  • Une attitude prudente vis à vis de la navigation (pas de sites douteux : cracks, warez, sexe...) et vis à vis de la messagerie (fichiers joints aux messages doivent être scannés avant d'être ouverts)
  • Une attitude vigilante (être à l'affût d'un fonctionnement inhabituel de son système)
  • Scan hebdomadaire antimalware
  • Verifie si ta console Java est à jour:
    Java Sun http://www.java.com/fr/download/manual.jsp et télécharge la dernière version (si ta version actuelle n'est pas à jour)
  • Après installation et redémarrage (toujours si elle n'etait pas à jour), va dans panneau de configuration/Ajouter-Supprimer des programmes afin de désinstaller l'ancienne version, ceci pour récupérer de l'espace disque et éventuellement pour virer les failles présentes dans cette ancienne version.
  • Retourne ensuite chez Java ci-dessus et clique sur le bouton "Vérifier l'installation" pour t'assurer que tout est en ordre.
    En cas de problèmes chez Sun, tu peux aller télécharger la dernière version chez File Hippo http://www.filehippo.com/download_jre_32/

Edite ton premier post et mets aprés le titre de ton sujet (Résolu) comme ceci : Demande de vérification après / pour une infection (Résolu)
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie

Re: Demande de vérification après / pour une infection (Réso

Messagepar Ephémère » 15 Jan 2012 17:56

Et bien merci beaucoup pour ces services. A vrai dire, j'étais déjà venu une première sur le forum il y a longtemps de cela, et l'aide apportée par Loup Blanc me semble t-il, avait été extrêmement précieuse. Je ne sais pas si je dois justement recommander votre forum, ou au contraire ne pas le faire pour vous épargner trop de travail !
Ephémère
 
Messages: 14
Inscription: 14 Jan 2012 00:57

Re: Demande de vérification après / pour une infection (Réso

Messagepar lenapache » 15 Jan 2012 19:37

Je ne sais pas si je dois justement recommander votre forum, ou au contraire ne pas le faire pour vous épargner trop de travail !


Un petit coup de pub n'est pas de refus
Granmére à poréte ale passe
Avatar de l’utilisateur
lenapache
Super Libellulien
Super Libellulien
 
Messages: 5589
Inscription: 11 Sep 2011 11:32
Localisation: Picardie


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités