24 replies to this topic

[Plop]

Bonsoir,

Un doute suite à un scan de TDSSKiller. Je me rappel pas que j'avais autant de drivers potentiellement dangereux détectés avant. 1 ou 2, mais des faux positifs. là ça fait un peu beaucoup?

Donc je me demande si j'aurrais pas un rootkit. Ci dessous screenshot.



Rapport ZHPDiag
http://www.mediafire...u8k50c77e39ujx8

Mbam détecte rien.
AVG détecte rien.
CureIt détecte le fichier Host.

Combofix rapport:
http://www.mediafire...i5lbd3q43va1t58

CCE (comodo):
Global HOSTS SYSCHANGE Repair Fail
Global SECURITY CENTER SYSCHANGE Repair OK
C:\Program Files (x86)\Google\Google Toolbar\Component\SearchWithGoogleUpdate_3CEFEC1F9BB6F303.exe Suspicious@#1eaydltz9qab VIRUS Clean OK

J'ai refait CCE en mode sans échec pour réparer le fichier Host. A priori Ok, plus d'alerte sur ce point.
Le Pc fonctionne parfaitement bien, pas de ralentissement.

Merci pour le coup de main. Format à prévoir ou pas?

[vigen]

Salut,


Petite question?

Dans TDSS Killer aurais-tu, dans la section "change parameters", coché les deux options disponible? Si oui, cela explique que tu es des fichiers comme PuranDefrag dans la liste. Refais le en décochant ces deux options.

Sais tu ce qui as provoquer la modification de ton fichier HOST?


Une clé a supprimé:
[HKLM\Software\Wow6432Node\Crystal Dew World\OpenCandy] =>Adware.OpenCandy

Une barre d'outils Google qui se balade aussi....

Je pense que Threatfire tu peux le désinstallé il sert pas a grand chose, la preuve.

A première vu rien de bien grave, a part la necessité d'un bon nettoyage !!! Il y'a des dossier trend Micro, du kaspersky, du Norton etc etc

Le formatage doit rester la solution extrème, dans ton cas, il ne me parais pas necessaire, attendons l'avis d'autres membres

Ce message a été modifié par vigen - 02 avril 2012 - 07:27 .

[lolo32]

bonjour , en cas de doute si tu a fait une image système + sauvegarde de tes fichiers perso; en 15 mm tout est réinstaller dans se cas fait le , mais si tu n'a pas d'image système attend q'un pro de la désinfection de dise !!

mais il y a pas mal de clé a virer pour un bon nettoyage!!

ps: si tu a pas d'image système, au prochain format pense à le faire!! tellement pratique et rapide après!

[loumax]

Salut Plop

Des restes d'infections à supprimer sur ton PC et un bon nettoyage à faire

1) Essaies de retrouver le rapport de TDSSKiller

2) Ce script va cibler certains éléments à supprimer :

[MD5.00000000000000000000000000000000] [APT] [{43423AA7-3322-40BE-9841-6D7B81910F3C}] (...) -- D:\T‚l‚chargements\windows-7-dreamscene-installer_windows_7_dreamscene_installer_anglais_310872.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{7004A52D-5451-435B-9294-47A0277835A7}] (...) -- D:\T‚l‚chargements\WebPlusStarterEdition_Setup.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [Startup] (...) -- D:\Logiciels\OpenHardwareMonitor\OpenHardwareMonitor.exe (.not file.)
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified	
[HKCU\Software\System32]	
EmptyFlash
EmptyTemp
FirewallRAZ

• Sélectionne le script en entier et copie le (Edition --> Copier)
• Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
• Clique sur l’icône représentant la lettre H (« coller les lignes Helper »)
• Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
• Clique sur le bouton « GO » pour lancer le nettoyage,
• Copie/colle la totalité du rapport dans ta prochaine réponse


3) Utilise ce logiciel de désinfection généraliste :

• Lance MBAM et fais les mises à jour
• Puis va dans l'onglet "Recherche", coche "Exécuter un examen complet" puis "Rechercher"
• Sélectionne tes disques durs" puis clique sur "Lancer l’examen"
• A la fin de l'analyse, clique sur Afficher les résultats
• Coche tous les éléments détectés puis clique sur Supprimer la sélection
• Enregistre le rapport
• S'il t'est demandé de redémarrer l'ordinateur, clique sur Yes
• Poste dans ta prochaine réponse le rapport apparaissant après la suppression

[Plop]

Bonsoir et merci pour votre aide,

Vigen:
Nettoyage clé open.candy adware Ok
Nettoyage des trace Norton et Kaspersky Ok
Il me restera ceux de Trend que j'ai oublié.
Je m'étais pas aperçu d'une modif de mon fichier Host.

Loumax:
Fix ZHP fait.
Ci-joint le nouveau rapport
http://www.mediafire...endx1422hoc1xab


Rapport d'hier de TDSSkiller (toutes les options activées)
http://www.mediafire...5bawwglrucqc549
Sans les 2 options activés, 1 seul objet 'sptd.sys' (c'est le drivers de Alcohol 52%)

Rapport de ce jour Mbam scan complet RAS
http://www.mediafire...4q4ak9qq0u13dxv

lolo32:
Pour le backup, j'ai Easus todo backup free. Mais malheureusement, j'ai installé le logiciel il y'a un bon moment maintenant et j'avais eu la flemme de faire la sauvegarde en me disant que je ferais ça demain et puis finalement à force de repousser, ba voila jamais fait finalement lol


Donc Tdsskiller serait plus sensible qu'avant? parce-qu’il me semble que j'ai toujours activé ces 2 options et que j'avais pas autant de faux positif. 1 ou 2 si je me souviens bien. Pour vous, c'est ok, pas besoins de formater?

[vigen]

Plus sensible non !!! Il fait exactement ce que tu lui demande quand tu actives ces deux options

[loumax]

Des infections présentes qui ne l'étaient pas dans le précédant log !

Durant la désinfection il serait préférable que tu désinstalle ton logiciel de P2P : uTorrent.exe
Lire : Les risques sécuritaires du peer-to-peer en 10 points

*********************
Les logiciels d'émulation de CD comme Daemon Tools peuvent gêner les outils de désinfection. Utilise Defogger pour les désactiver temporairement :

* Télécharge Defogger (de jpshortstuff) sur ton Bureau
http://www.jpshortst...om/Defogger.exe
* Lance le
* Une fenêtre apparait : clique sur "Disable"
* Fais redémarrer l'ordinateur si l'outil te le demande
* Quand nous aurons terminé la désinfection, tu pourras réactiver ces logiciels en relançant Defogger et en cliquant sur "Re-enable"

A suivre :
*Télécharge aswMBR sur ton bureau
*Lance aswMBR.exe, accepte la mise à jour > OK
*Clique sur "Scan"


*Le scan terminé, clique sur "Save log" enregistre le rapport sur le bureau et poste le dans ta prochaine réponse.



NOTE. aswMBR va créer un fichier MBR.dat sur ​​ton bureau, ceci est une copie de ton MBR. Ne le supprime pas.

[Plop]

Ci joint le log,
http://www.mediafire...ws4zsxv226mfgh6

J'ai supprimé utorrent, mais je l'ai pas utilisé depuis un bon moment et il est pas actif au démarrage de Windows.

Je sais pas si c'est important ou pas, mais comme j'avais jamais vu ça avant; il y'a quelques jours Google m'a demandé de taper un captcha pour vérifier si c'était bien moi et pas un robot qui transmettait un trafic très important. enfin un message dans ce genre là. j'ai tapé le captcha, sinon je pouvais plus utiliser le moteur de recherche Google. Et je téléchargeait absolument rien; d'ou mon interrogation sur le trafic important.

Il y'a une quinzaine de jours, j'ai eu également des problèmes de connections; je pensais à un problème chez Numéricable et j'ai quand même tenté de supprimer K9 web protection. suite au désinstalle, je n'ai plus eu de problème de connections. ça n'a peut être pas de rapport avec l'infection.

Dans les processus, j'ai un truc louche. PenWens.exe. J'ai jamais installé ce truc. Je l'ai désinstalle, n'est plus en mémoire.

Je repasse demain soir. Merci encore Loumax pour le suivi de mon problème.

[manzai]

PenWes est un Adware. Sur certains PC quand tu le désinstalle,il modifie tes DNS a ton insu pour que tu es plus acces à Internet.

Dans la barre des taches , tape "ncpa.cpl"
Dans ta carte réseau , fais clique droit > propriété
Va dans paramètre IPv4 > clique droit > Propriété
S'il a changé tes DNS , coche pour que tu as des DNS automatiquement (DNS de ton FAI qui est Numericable)

Je pense que ça va résoudre tes soucis Internet

[loumax]

Bonjour

1) Ce script va cibler certains éléments à supprimer :

 Plop.txt   24,76 Ko   29 Nombre de téléchargements 

• Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
• Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
• Clique sur l’icône représentant la lettre H (« coller les lignes Helper »)
• Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
• Clique sur le bouton « GO » pour lancer le nettoyage
• Après la suppression, redémarre le PC
• Copie/colle la totalité du rapport dans ta prochaine réponse

------------------------------2------------------------------

• Lance ZHPDiag, clique sur la flèche verte pour effectuer la mise à jour
• Relance le logiciel, clique sur le tournevis en haut à droite, clique sur "Tous"
• Ensuite clique sur la loupe pour lancer une nouvelle analyse, poste le rapport dans ta prochaine réponse

[Plop]

Yop,

Alors pour les DNS, je suis bien en auto.

Loumax, ci joint les rapports des 2 étapes,
Rapport ZHPFIX:
http://www.mediafire...r3fff3if29r7xii

Rapport ZHPDiag avec redémarrage du Pc entre les 2: (bien que j'ai installé la maj avec la flèche verte, ZHPDiag indique toujours une maj disponible)
http://www.mediafire...165tbdy1mhaa1g7

Lors d'un démarrage de chrome, celui-ci m'a prévenu d'une tentative de changement de moteur de recherche et sachant pas quoi faire, il a remis Google. Drôle de message et ça sent le roussi.

[loumax]

Re

1) Ce script va cibler certains éléments à supprimer :

[MD5.00000000000000000000000000000000] [APT] [Programme de mise … jour en ligne de Divx] (...) -- C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe (.not file.)	
[MD5.00000000000000000000000000000000] [APT] [Startup] (...) -- D:\Logiciels\OpenHardwareMonitor\OpenHardwareMonitor.exe (.not file.)
[HKCU\Software\BitTorrent]	
O43 - CFD: 03/04/2012 - 17:22:04 - [1,258] ----D- C:\Users\Seb\AppData\Roaming\uTorrent  

• Ouvre ce lien, sélectionne le script en entier et copie le (Edition --> Copier)
• Fais un clic-droit sur le raccourci de ZHPFix et choisis "Exécuter en temps qu'administrateur"
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
• Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
• Clique sur le bouton « GO » pour lancer le nettoyage,
• Copie/colle la totalité du rapport dans ta prochaine réponse


2) Utilises-tu ces (programmes) logiciels :
-Gibson Research
-HWiNFO64
-TourWeaver
-VOS
-Keriver
-Moobz


3) Plus d'infection visible via ZHPDiag, mais je préfére vérifier avec un autre outil de diagnostic
• Télécharge OTL sur ton Bureau.
• Lance le (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur).
• Sous Personnalisation, copie-colle ce script :

netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE\%Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32drivers\*.sys /lockedfiles
%systemroot%\System32config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop

• Coche la case "tous les utilisateurs" puis clique sur le bouton "Analyse"
• Patiente pendant l'analyse jusqu'à l'apparition des deux rapports OTL.txt et Extras.txt
• Rends toi sur ce site, clique sur "Parcourir", sélectionne le rapport de OTL et clique sur Envoyer le fichier. Patiente pendant l'envoi du fichier, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

[Plop]

Me revoilà,

Donc rapport ZHPFix:
http://www.mediafire...9f69cpzg5kmtjim

Tourweaver et HWinfo64 j'utilise plus. Mais ces 2 là sont clean normalement. c'est assez connu.
Le reste je connais pas, ou bien ça fait longtemps que j'ai pas utilisé ça.

Pour OTL ça plante (reste bloqué) sur Scanning Chrome settings avec le message:
List index out of bounds (1245)

Merci pour ce nettoyage Loumax.

[loumax]

Bonjour

Tourweaver et HWinfo64 j'utilise plus. Mais ces 2 là sont clean normalement. c'est assez connu.
Le reste je connais pas, ou bien ça fait longtemps que j'ai pas utilisé ça.

Ok, on s'en occupera après

Pour OTL ça plante (reste bloqué) sur Scanning Chrome settings avec le message:
List index out of bounds (1245)

Merci pour ce nettoyage Loumax.

Essais de relancer OTL sans le script.

[Plop]

Bonsoir,

OTL avec le script est passé aujourd'hui.

Ci-joint le rapport OTL:
http://www.mediafire...fc5qit3p1i12pza
Et le fichier Extra:
http://www.mediafire...yqcgaw34z732ak1

[Plop]

Re,

J'ai remis en fin d’après-midi K9 Web Protection, et j'ai eu encore par moment des problème de connections. Parfois aucunes connections, et parfois les pages qui s'affichent lentement et incomplètes.

J'ai désactivé le Firewall de ma Box pour voir, et là je me suis rendu compte qu'au démarrage de Chrome dans la barre des taches était marqué un message avec association proxy ou un truc dans ce genre là. Alors j'ai fait un ZHPFix ProxyFix, et là j'ai plus de problème.

Du coup, je sais pas laquelles des 2 manips à résolu mon problème avec K9. Je vais attendre une dizaine de jours sans le firewall de ma box pour voir si c'est ok, et après je tenterai de le remettre.

[loumax]

On va pouvoir mettre un nom sur ton infection
http://forum.malekal...ert-t21809.html



* Fais un double-clic sur l'icône d'OTL pour le lancer
/!\ pour Vista/Seven fais un clic-droit sur l'icône d'OTL et choisis Exécuter en tant qu'administrateur \!/

* Assure toi d'avoir fermé toutes les applications en court de fonctionnement.

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal" soit cochée.

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL "Personnalisation"


 Plop.txt   23,56 Ko   41 Nombre de téléchargements 



* Cliques sur l'icône "Correction" (en haut à gauche) .
* Laisse le scan aller à son terme sans te servir du PC
* A la fin du scan un rapport va s'ouvrir "OTL.Txt"
* Copie et colle le rapports dans ta réponse stp...
* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

[Plop]

Mais lol, c'est une infection qui circule sur des sites pornos. Erf jsuis pris la main dans le sac
Nan sérieusement ça fait un bien longtemps que j'ai pas côtoyé ce type de sites. Sans K9, ça sent les popup du site Planetelolo. Hey n'aller pas imaginer un site sur de belles poitrines, c'est un site de liens non x.



Treve de plaisenterie, ci joint le rapport OTL
http://www.mediafire...wn5s480jdb3my25

Je sais pas comment t'as fait pour trouver ça, mais chapeau l'artiste, c'est un métier. Sinon, j'ai pas compris ce quel fait cette infection?

Et OTL a créer un dossier avec les objet éliminés placé dedans, je peux effacer?

[loumax]

Salut Plop

http://www.sunbeltse...CF39D444E13D649
Mais aussi : Grâce à l'ouverture d'un port internet, il peut accéder et contrôler à distance un ordinateur à l'insu de son utilisateur.

-Dis moi comment va le PC, surf etc...

****************************
• Télécharge USBFix (de El desaparecido et C_XX) sur ton Bureau
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, lecteur mp3 etc...) sans les ouvrir
• Fais un clic droit sur le programme USBFix et choisis 'Exécuter en tant qu'administrateur'.
• Au menu principal, clique sur "Suppression"
• Ton Bureau va disparaitre, puis l'ordinateur va redémarrer : c'est normal
• Laisse travailler l'outil jusqu'au bout
• A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse

****************************
-Relance OTL pour une analyse de contrôle, ensuite fais la même chose avec ZHPDiag

Et OTL a créer un dossier avec les objet éliminés placé dedans, je peux effacer?

Si tu parle du rapport de suppression OTL qui doit se trouver sur ton bureau, tu peux le supprimer.

[Plop]

Bonsoir Loumax,

Alors rapport USBFix:
http://www.mediafire...tqaq63vz0do2c2c

Rapport ZhpDiag:
http://www.mediafire...04la0cmqt34an5c

Pour OTL, j'ai toujours la même erreur. ça passe pas ce soir.

Au niveau surf, c'est Ok, sauf peut être le site infomars qui s'ouvre plus lentement par moment ce soir. Une fois que je suis dedans, plus de pb.
Pour le moment je suis avec K9 web protection, mais firewall de ma box désactivé.

je vais me pioter, fatigué ce soir. bn.

[loumax]

Ok, j'attends que tu refasse une tentative OTL >> j'aimerais bien voir ce qu'il nous dit

Pour la suite, par mesure de prudence :

ESET ONLINE SCANNER

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur le logo :
http://download.eset...staller_enu.exe
Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner. Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
Une fois le scanner installé, configure-le en cochant la case "Remove found threats" et en cochant la case "Scan archives" de même que la case "scan for the potentially unsafe applications."

Lance la recherche antivirale en cliquant sur le bouton "Start": l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":

Une nouvelle fenêtre aparaît: clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"

Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse



Nota : ce scan peut être très long et prendre plusieurs heures.

[Plop]

Bonsoir Loumax,

log Eset: http://www.mediafire...p1snsw9xpwwkaqf

C:\Program Files (x86)\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe Win32/Adware.Toolbar.Dealio application deleted - quarantined
D:\Téléchargements\CrystalDiskMark3_0_1c-en.exe Win32/OpenCandy application deleted - quarantined
D:\Téléchargements\Mipony-Installer (1).exe Win32/Toolbar.Babylon application deleted - quarantined
D:\Téléchargements\pdfcreator_pdfcreator_1.2.3_francais_11085.exe multiple threats deleted - quarantined

Pour les 3 toolbars, elles ne sont pas installées.
Pour CrystalDiskmark, là je pense à un fp.


OTL, ça passe pas. Pour ma connection, c'est toujours Ok sans le firewall de ma box. Demain je l'activerai.

[loumax]

Bonjour Plop

Oui rien de bien méchant sur les détections de Eset, par acquit de conscience, tu peux toujours faire une analyse complète avec Malwarebytes en mode sans échec avec prise en charge réseau, sans oublier d'effectuer les mises à jour avant le scan.

Maintenant tu peux passer à la Procédure de nettoyage après désinfection

[Plop]

Bonsoir Loumax,

Le firewall de ma box provoque des problèmes de connections. Je vais le laisser désactivé. Mise a part ça, le Pc tourne comme un horloge.
Merci encore pour ce nettoyage de printemps.

[loumax]

Salut Plop

Impeccable
Le firewall de la box tu peux t'en passer, mais c'est étonnant qu'il génère ces problèmes, peut-être voir avec ton fournisseur d’accès ...

L'essentiel est que ton PC fonctionne correctement

Je passe le sujet en résolu, je fermerais plus tard, donc si soucis n'hésite pas à poster.

A++