Pc contaminé

Pc contaminé#18344

par babygamer - mar. 3 avr. 2012 17:19

- mar. 3 avr. 2012 17:19 #18344

Bonsoir,

Voila j'ai fais un scanne avec ZHPDiag du pc mon frère et j'ai constaté qu'il est plus que infecté.
Je ne veux pas faire de bêtise de désinfection.
Voici le rapport:
http://pjjoint.malekal.com/files.php?re ... w7u9l14w13
Tout en sachant que j'ai déjà utiliser les logiciels suivant:

Toolbar-SD
Malawarebyte

J'ai réactivé le gestionnaire de tâche, sauf que maintenant j'ai un problème avec RunVer.exe, message d'erreur disant que le fichier est introuvable.
Autre problème rencontré, Je n'arrive pas a installer Microsoft Essential Security.

Merci

Re: Pc contaminé#18345

par Invité - mar. 3 avr. 2012 17:30

- mar. 3 avr. 2012 17:30 #18345

Salut Babygamer

Effectivement, le PC est bien infecté, il y a des adwares et barres d'outils.

J'ai vu deux fichiers cachés très suspects.
Ces lignes sont suspectes.

O58 - SDL:[MD5.F0601CCDF7C086EC92E515E5E9FDEF8B] - 30/12/1899 - 06:26:27 RSH-- . (...) -- C:\WINDOWS\system32\E7E9D5C9A9.sys [88]
O58 - SDL:[MD5.F274311302802436E41B10D0B444930C] - 30/12/1899 - 06:26:35 -SHA- . (...) -- C:\WINDOWS\system32\KGyGaAvL.sys [7520]
[MD5.549227586C1CF1BE608A0974FF1A74E6] [SPRF][24/11/2009] (...) -- C:\Documents and Settings\All Users\Application Data\E7E9D5C9A9.sys [88]
[MD5.9E853AD12089F6BFF4DAAEBDCFE28739] [SPRF][29/11/2009] (...) -- C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys [2516]

Si tu arrives à afficher les fichiers et dossiers cachés, pourrais tu analyser
sur Virus Total ces deux fichiers.
C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys
C:\Documents and Settings\All Users\Application Data\E7E9D5C9A9.sys

Ils m'ont l'air mauvais ces fichiers.

Ensuite, tu vas faire ceci :
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Re: Pc contaminé#18361

par babygamer - mar. 3 avr. 2012 17:53

- mar. 3 avr. 2012 17:53 #18361

Re

C'est ça a marché en mode sans échec voici le rapport de AdwCleaner:
http://pjjoint.malekal.com/files.php?re ... 15t11k9b11

Au redémarrage de la machine je n'ai pas u le message d'erreur avec RunVer.exe, mais une fenêtre m'indiquant que la façon dont le pc démarre a changé, et j'ai choisis l'option démarrer normalement.

@+

Re: Pc contaminé#18363

par Invité - mar. 3 avr. 2012 17:56

- mar. 3 avr. 2012 17:56 #18363

On va vérifier s'il n'y a pas un rootkit :

Télécharge TDSSKiller (de Kaspersky) sur ton bureau
http://support.kaspersky.com/downloads/ ... killer.exe

Double clique sur TDSSKiller pour le lancer (avec Vista/Seven, clic droit
dessus, et sur exécuter en tant qu'administrateur

Clique sur Start scan, et laisse l'outil travailler

Si des fichiers infectés sont trouvés, une nouvelle fenêtre va s'ouvrir

Si TDSS. tdl2 est détecté, l'option delete sera cochée par défaut

Si TDSS.tdl3 est détecté, vérifie que Cure est bien cochée

Si TDSS.tdl4 (\HardDisk0\MBR) est détecté, vérifie que Cure
est bien cochée

Si Suspicious file est indiqué, laisse l'option cochée sur Skip

Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
(Lorsque c'est un fichier .sys, faire Cure)

Clique sur Continue, puis sur Reboot now pour
redémarrer le PC

Poste le rapport qui est sauvegardé dans C:\TDSSKiller_Quarantine\
JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS
heure de passage).

Re: Pc contaminé#18364

par babygamer - mar. 3 avr. 2012 18:05

- mar. 3 avr. 2012 18:05 #18364

Re

Aucun fichier détécter 0
Je fais quoi maintenant ?

Re: Pc contaminé#18365

par Invité - mar. 3 avr. 2012 18:07

- mar. 3 avr. 2012 18:07 #18365

Analyse moi ces fichiers sur Virus Total
Si tu arrives à afficher les fichiers et dossiers cachés, pourrais tu analyser
sur Virus Total ces deux fichiers.
C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys
C:\Documents and Settings\All Users\Application Data\E7E9D5C9A9.sys

Puis refait moi un ZHPDiag.

Re: Pc contaminé#18367

par babygamer - mar. 3 avr. 2012 18:32

- mar. 3 avr. 2012 18:32 #18367

Re

Impossible de trouver les deux fichiers même en sélectionnant afficher les fichier systèmes.
Voici le rapport de ZHPDiag:
http://pjjoint.malekal.com/files.php?re ... 2r7y612h14

Re: Pc contaminé#18368

par Invité - mar. 3 avr. 2012 18:40

- mar. 3 avr. 2012 18:40 #18368

Impossible de trouver les deux fichiers même en sélectionnant afficher les fichier systèmes.
Parce qu'ils ont l'attribut système
Tu sais comment afficher l'intégralité des fichiers?

Est-ce que ton frère se sert des barres d'outils ?

Je reviens plus tard dans la soirée.

Re: Pc contaminé#18369

par babygamer - mar. 3 avr. 2012 18:50

- mar. 3 avr. 2012 18:50 #18369

Pour afficher les fichier système:
Outil = Option des dossiers = Affichage, et en décoche Masquer les fichiers protégés du système d'exploitation.

Est-ce que ton frère se sert des barres d'outils ?Aucune idée mais je croix plutôt qu'il installe n'importe quoi sur son PC.

Merci pour ton aide a ce soir sinon

Re: Pc contaminé#18404

par Invité - mar. 3 avr. 2012 22:41

- mar. 3 avr. 2012 22:41 #18404

Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessuscopier

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings] WarnOnHTTPSToHTTPRedirect: Modified
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Intl: Modified
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] XMLLookup: Modified
O3 - Toolbar: interdescargas-FR Toolbar - {31c322dc-5878-452e-a2d8-c4aab9973c9a} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\interdescargas-FR\prxtbint2.dll
O3 - Toolbar: Messenger Plus Toolbar - {b760d5a4-8d24-4cb6-942e-d6bb540ad88c} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus\prxtbMess.dll
O3 - Toolbar: SpeedBit Video Downloader - {0329E7D6-6F54-462D-93F6-F5C3118BADF2} . (.Pas de propriétaire - IE Toolbar Engine.) -- C:\Program Files\SpeedBit Video Downloader\Toolbar\tbcore3.dll
O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} . (.Microsoft Corporation. - Extensions du client Bing.) -- C:\Program Files\Microsoft\BingBar
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (...) -- (.not file.)
O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} . (...) -- (.not file.)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}] =Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}] =Toolbar.Agent
[HKLM\Software\Classes\CLSID\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}] =Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3017FB3E-9A77-4396-88C5-0EC9548FB42F}] =Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3017FB3E-9A77-4396-88C5-0EC9548FB42F}] =Toolbar.Agent
[HKLM\Software\Classes\CLSID\{3017FB3E-9A77-4396-88C5-0EC9548FB42F}] =Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3017FB3E-9A77-4396-88C5-0EC9548FB42F}] =Toolbar.Agent
[HKLM\Software\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}] =Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{b0c726ab-f9f3-4c9a-9839-38ccb9e9260a}] =Adware.SPointer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FF7C3CF0-4B15-11D1-ABED-709549C10000}] =Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FF7C3CF0-4B15-11D1-ABED-709549C10000}] =Toolbar.Agent
[HKLM\Software\Classes\CLSID\{FF7C3CF0-4B15-11D1-ABED-709549C10000}] =Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FF7C3CF0-4B15-11D1-ABED-709549C10000}] =Toolbar.Agent
C:\Program Files\interdescargas-FR =Toolbar.Conduit
C:\Documents and Settings\Administrateur\Application Data\Desktopicon =Adware.ADON
C:\Documents and Settings\Administrateur\Local Settings\Application Data\interdescargas-FR =Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Messenger_Plus Toolbar] =Toolbar.Conduit
O42 - Logiciel: Java(TM) 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160070}
O42 - Logiciel: Messenger Plus Toolbar - (.Messenger Plus.) [HKLM] -- Messenger_Plus Toolbar

• Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
- Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Note: le rapport est sauvegardé dans C:\ZHP\ZHPFixReport.txt

Redémarre ton PC

Ensuite, poste moi un nouveau rapport ZHPDiag

Re: Pc contaminé#18462

par babygamer - jeu. 5 avr. 2012 11:37

- jeu. 5 avr. 2012 11:37 #18462

Bonjour Jawa,

Désolé pour le retard, je pouvais pas accéder au forum hier !
Voici le rapport de ZHPFix:
http://pjjoint.malekal.com/files.php?re ... p8g8x14q55

@+

Re: Pc contaminé#18484

par Invité - jeu. 5 avr. 2012 16:50

- jeu. 5 avr. 2012 16:50 #18484

Salut
Pourrais tu refaire ZHPDiag pour que je vérifie.

Re: Pc contaminé#18485

par babygamer - jeu. 5 avr. 2012 18:01

- jeu. 5 avr. 2012 18:01 #18485

Re

Voici le rapport de ZHPDiag:
http://pjjoint.malekal.com/files.php?re ... p13w12q6j7
Sauf que je n'arrive pas a installer MSE toujours pareille.
Voici le code du message d'erreur: 0x80070643
J'ai même suivie ce tuto mais toujours rien:
http://answers.microsoft.com/fr-fr/prot ... 3b5c808ac9

@+

Re: Pc contaminé#18487

par Invité - jeu. 5 avr. 2012 18:11

- jeu. 5 avr. 2012 18:11 #18487

Sauf que je n'arrive pas a installer MSE toujours pareille.
Voici le code du message d'erreur: 0x80070643Je sais pas du tout.

As tu essayé un autre anti-virus ?
Si tu peux pas l'installer, met un autre anti-virus.

Télécharge USBFix (de El Desaparecido) sur ton bureau
http://general-changelog-team.fr/fr/dow ... /19-usbfix

# Si l'antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement.

# Branche toutes tes sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

# Double clique sur UsbFix.exe.

#Clique sur Recherche.

# Laisse travailler l'outil.

# À la fin du scan, un rapport va s'afficher, poste-le dans ta prochaine réponse sur le forum.

# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Re: Pc contaminé#18491

par babygamer - jeu. 5 avr. 2012 19:06

- jeu. 5 avr. 2012 19:06 #18491

Re

Voici le rapport:
http://pjjoint.malekal.com/files.php?re ... 4p7t8d13e6

@+

Re: Pc contaminé#18514

par Invité - jeu. 5 avr. 2012 22:24

- jeu. 5 avr. 2012 22:24 #18514

Relance USBFix, et clique sur suppression.

Poste le rapport.

Re: Pc contaminé#18626

par roro04 - sam. 7 avr. 2012 15:31

- sam. 7 avr. 2012 15:31 #18626

Hello!

Des nouvelles?

++

Re: Pc contaminé#21346

par micka76000 - lun. 30 avr. 2012 14:54

- lun. 30 avr. 2012 14:54 #21346

Bonjour,

Nous n'avons plus de nouvelle de l'auteur de ce sujet depuis plusieurs semaines. Nous considérons donc ce problème comme résolu ou abandonné par son auteur. La prochaine fois, merci de nous tenir au courant de l'évolution de votre problème, ou à faire un UP régulièrement !

Ce sujet est verrouillé, si vous souhaitez le reprendre, merci de contacter par message privé un membre de l'équipe de modération du forum.

À bientôt sur FEI !

Sujet verrouillé

Options
18 messages

Page 1 sur 1
18 messages

FORUM D’ENTRAIDE INFORMATIQUE (FEI)
Site d’assistance et de sécurité informatique