FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Tib.]

Bonjour tout le monde,

Je me permet de vous contacter afin de vous exposer mon problème.
Depuis peu, mon ordinateur se trouve comme "ralenti" et j'ai remarqué quelques "bugs".
Il me semble que cela a commencé au cours de l'installation d'un logiciel ou mon ordinateur ne répondait plus et ou l'antivirus s'est désactivé sans mon action.
Depuis, je soupçonne une infection mais comment en être sur?!

En espérant que quelqu’un puisse me dire la procédure à suivre et ainsi m'aider à résoudre mon problème.

Bien cordialement.

[g3n-h@ckm@n]

salut

• Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.
• Télécharge Shortcut_Module sur ton bureau.
  
  Note : Enregistrer votre travail avant de continuer !
• Lance Shortcut_Module,
• Clic sur Nettoyer
  
  
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

[Tib.]

Bonjour,

Je vous remercie par avance pour votre aide.

Voici le lien comme demandé:
http://upload.sosvirus.net/www/index.php?action=dstep=3

Cordialement.

[g3n-h@ckm@n]

n'ouvre pas plusieurs sujets et continue ici : http://www.forum-entraide-informatique. ... lpi#123727

[Tib.]

Il me semble pas que j'ai ouvert différents sujets.

Je suis entrain d'effectuer un scan avec Malwaresbytes.

Est-ce l'étape suivante?

Cordialement.

[g3n-h@ckm@n]

ah non c'est ton lien pour shortcut_module qui est pas bon

[Tib.]

Ok, désolé, voici le nouveau lien:

http://upload.sosvirus.net/www/index.php?action=dstep=3

[g3n-h@ckm@n]

c'est pas le bon lien que tu me donnes

sinon essaie cet hebergeur http://cjoint.com

[Tib.]

Désolé je ne sais pas ce que je ne fais pas de bien.

Voici le nouveau lien :
http://cjoint.com/?3EcoLXdu3x4

Cdt

[g3n-h@ckm@n]

tu n'as pas desativé AVAST , pourtant demandé par deux fois

AV : avast! Antivirus Enabled
AS : avast! Antivirus Enabled

tu pourras recommencer en desactivant avast.

[Tib.]

Désolé il me semblait que je l'avais fait.

J'ai relancé l'analyse et cette fois il me semble que l'antivirus était désactivé.

Voici le lien:
http://cjoint.com/?3Ect4x2naFq

Cordialement.

[g3n-h@ckm@n]

re

ok le rapport de malwarebytes' ?

[Tib.]

Bonjour,

Voici le rapport Malwarebytes comme demandé:

http://cjoint.com/?3Edqtq1sw9c

Tib.

[g3n-h@ckm@n]

re

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\Install /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[Tib.]

Bonjour,


Voici les liens comme demandé:

- OTL:
http://cjoint.com/?3EeqgZPY9co


- Extras:
http://cjoint.com/?3EeqifbK82P

Tib.

[g3n-h@ckm@n]

Fais analyser le(s) fichier(s) suivants sur Virustotal :

http://www.virustotal.com/index.html

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\WINDOWS\SysWow64\rpcnetp.dll

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

[Tib.]

Voici le résultat de l'analyse:

https://www.virustotal.com/fr/file/d7fa ... 399223449/

[g3n-h@ckm@n]

des soucis persistent ?

[Tib.]

Toujours des ralentissement notamment au démarrage qui dure plus longtemps qu'auparavant.

Un rapport ZHPDiag est il nécessaire?

Que me conseillerez vous comme autre logiciel indispensable afin d'éviter d'être infecté ( en plus d'Avast et de Malwarebytes).

Tib.

[g3n-h@ckm@n]

hello en plus d'avast et malwarebytes ? rien.

==========

colle ca en bas d'OTL et clique sur correction puis poste le nouveau lien du rapport obtenu :

:OTL
FF - user.js - File not found
O3 - HKLM\..\Toolbar: (no name) - {CC1A175A-E45B-41ED-A30C-C9B1D7A0C02F} - No CLSID value found.
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Program Files (xl.exe (Adobe Systems Incorporated)
O4 - HKLM\..\Run: [iTunesHelper] C:\Program Files (x86)\iTusHelper.exe (Apple Inc.)
O4 - HKLM\..\Run: [QuickTime Task] C:\Program Files (x86)\Quik.exe (Apple Inc.)
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Main present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O7 - HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: =
[2 C:\Users\Thibault\Desktop\*.tmp files - C:\Users\Thibault\Desktop\*.tmp - ]


:reg
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0
[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{7B3A525D-9D3D-4618-AE52-A31DE98C8AC3}]

:files
%homedrive%\windows\temp\*
%homedrive%\WINDOWS\ServiceProfiles\NetworkService\AppData\Local\Temp\*

:commands
[emptytemp]

[Tib.]

Bonjour,

Voici le résultat avec ces nouvelles lignes:

- OTL :
http://cjoint.com/?3EfvGQUyx00


- Extras :
http://cjoint.com/?3EfvIEUWiHU

[g3n-h@ckm@n]

bonjour

tu n'as pas lu comme il faut tu as recliqué sur analyse

[Tib.]

Oui effectivement, désolé.

Voici le nouveau lien:

http://cjoint.com/?3EgoPFU9dfP

Tib.

[g3n-h@ckm@n]

re

bien

des soucis persistent encore ?

[Tib.]

Bonjour,

Oui effectivement mon ordinateur fonctionne mieux même si le démarrage reste sensiblement plus long.

Y a t-il d'autres manipulations à effectuer?

Encore merci pour votre aide.

Cdt.
Tib.

[g3n-h@ckm@n]

re

fais ce menage et dis quoi ensuite

http://gen-hackman.purforum.com/t50-fin-de-desinfection

[Tib.]

Bonjour,

Voici le rapport Delfix:
http://cjoint.com/?3EiuYjTUTHK

Toujours quelques ralentissement mais dans l'ensemble cela fonctionne mieux.

Cdt.

[g3n-h@ckm@n]

hello à quel niveau ?