FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Darkonchounet]

Bonchoir tout le monde,

J'arrive ici sur les conseils d'un ami, puisque comme vous pouvez vous en douter, mon ordi (portable) est infecté de partout... J'espère que ça vous plait ce genre de trucs, parce que vous en avez pour quelques mois !

Bref, j'ai pas vraiment d'idées d'où toutes ces conneries peuvent provenir, mais je sais que mon antivirus (Norton, de Symantec) n'a pas été foutu de faire autre chose que de mettre tout ça en quarantaine et d'envoyer de gentils rapports en disant que tout va bien.
Le seul problème c'est que tout ne va pas bien, quelques symptômes :

- Les mises à jour Windows bloquées, impossible de les installer
- Un harcèlement de pop-up dès que je suis sur Internet
- Des crashs de certaines application de temps en temps (je ne sais pas si c'est lié) et un ordi qui rame à mort.
Quelques autres trucs encore, mais ça c'est seulement ce que j'ai pu constater. Quand je recherche un peu, il se passe des choses bien pires  

J'ai vu qu'il n'y avait pas vraiment de procédures, donc je vais vous dresser la liste des Malwares présents, et puis j'attends vos réactions, je ne sais pas comment vous fonctionnez.

Je précise également que je suis sous W7 et que j'ai déjà réussi à en virer un seul (déconnez pas les gars j'étais vachement fier après) et que ça m'a pris plusieurs heures sur plusieurs jours... Je préfère donc me tourner vers vous

Dans le doute je vous envoie pas tout le rapport d'infection de l'antivirus, je sais pas vraiment ce qu'il représente et j'ai pas envie de le balancer comme ça, mais je peux évidement vous l'envoyer.
Chaque changement de couleur représente évidemment un nouveau malware



Nom de fichier : settingsmanagersetup.exe
Nom de la menace : Trojan.StartPage
Chemin d’accès complet : c:\windows\temp\fa362784\settingsmanagersetup.exe



Nom de fichier : dtlite4481-0347.exe
Nom de la menace : Bloodhound.MalPE
Chemin d’accès complet : c:\users\user\appdata\local\temp\dtlite4481-0347.exe



Nom de fichier : iobwnedxjvdevl.exe.config
Nom de la menace : Infostealer.Limitail
Chemin d’accès complet : c:\users\user\appdata\local\temp\iobwnedxjvdevl.exe.config



Nom de fichier : custom.dll
Nom de la menace : Suspicious.Cloud.7.L
Chemin d’accès complet : c:\programdata\installmate\{2dbcc534-3a09-4ed3-ac38-722bf65fe7c2}\custom.dll



Nom de fichier : assistant_x64.dll
Nom de la menace : Backdoor.Trojan
Chemin d’accès complet : c:\program files (x86)\sw_booster\assistant_x64.dll



Nom de fichier : yi3odkcn.x64.dll
Nom de la menace : Adware.Adpopup
Chemin d’accès complet : c:\program files (x86)\youtubeadblocker\yi3odkcn.x64.dll



Nom de fichier : 201119.exe
Nom de la menace : WS.SecRiskOther.1
Chemin d’accès complet : c:\users\user\appdata\local\temp\201119.exe



Nom de fichier : yi3odkcn.dll
Nom de la menace : Trojan.Gen.2
Chemin d’accès complet : c:\program files (x86)\youtubeadblocker\yi3odkcn.dll



Nom de fichier : assistantsvc.dll
Nom de la menace : Trojan.ADH.2
Chemin d’accès complet : c:\program files (x86)\sw_booster\assistantsvc.dll



Nom de fichier : assistant.dll
Nom de la menace : Backdoor.Trojan
Chemin d’accès complet : c:\program files (x86)\sw_booster\assistant.dll



Nom de fichier : 2015-cruiser font font.exe
Nom de la menace : W32.SAPE.Cloud9.1
Chemin d’accès complet : c:\users\user\downloads\2015-cruiser font font.exe



Nom de fichier : mxrz5oor.exe.part
Nom de la menace : W32.SAPE.Cloud9.1
Chemin d’accès complet : c:\users\user\appdata\local\temp\mxrz5oor.exe.part



Nom de fichier : 2015-cruiser font font.exe
Nom de la menace : W32.SAPE.Cloud9.1
Chemin d’accès complet : c:\users\user\downloads\2015-cruiser font font.exe



Nom de fichier : amktztes.exe.part
Nom de la menace : W32.SAPE.Cloud9.1
Chemin d’accès complet : c:\users\user\appdata\local\temp\amktztes.exe.part

Voilà, c'est tout, mais c'est déjà beaucoup --'

Merci d'avance, et je suis bien évidemment dispo pour toutes autres infos à donner.

Bon courage 

[2011N2]

Bonjour,



Non non on ne va pas en avoir pour des mois tu verras.

1/ Passe Shortcut_Module et poste le rapport hébergé : http://www.forum-entraide-informatique. ... e-tutoriel

2/ Passe AdwCleaner et poste le rapport : http://www.forum-entraide-informatique. ... r-tutoriel

Gabriel.

[Darkonchounet]

Merci de ta réponse, j'ai terminé les analyses :

Rapport Shortcut_Module : http://cjoint.com/?0Eftxgoy0gc

Rapport AdwCleaner :


# AdwCleaner v3.207 - Rapport créé le 05/05/2014 à 19:26:53
# Mis à jour le 05/05/2014 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : Mathieu - MATH-THINKPAD
# Exécuté depuis : C:\Users\Mathieu\Downloads\adwcleaner.exe
# Option : Nettoyer

***** [ Services ] *****

[#] Service Supprimé : F06DEFF2-5B9C-490D-910F-35D3A91196222
[#] Service Supprimé : SystemkService

***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\apn
Dossier Supprimé : C:\ProgramData\systemk
Dossier Supprimé : C:\ProgramData\safewweb
Dossier Supprimé : C:\Program Files (x86)\Settings Manager
Dossier Supprimé : C:\Program Files (x86)\safewweb
Dossier Supprimé : C:\Users\Administrateur\AppData\Local\Google\Chrome\User Data\Default\Extensions\jeimdpgnclinppdjhcafbibghpdlgopn
Dossier Supprimé : C:\Users\HomeGroupUser$\AppData\Local\Google\Chrome\User Data\Default\Extensions\jeimdpgnclinppdjhcafbibghpdlgopn
Dossier Supprimé : C:\Users\Invité\AppData\Local\Google\Chrome\User Data\Default\Extensions\jeimdpgnclinppdjhcafbibghpdlgopn
Dossier Supprimé : C:\Users\Mathieu\AppData\Local\Google\Chrome\User Data\Default\Extensions\jeimdpgnclinppdjhcafbibghpdlgopn

***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browsemngr.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\browsermngr.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\bundlesweetimsetup.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\cltmngsvc.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\delta babylon.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\delta tb.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\delta2.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\deltainstaller.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\deltasetup.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\deltatb.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\deltatb_2501-c733154b.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\iminentsetup.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\sweetimsetup.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\tbdelta.exetoolbar783881609.exe
Valeur Supprimée : HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls [x64]
Valeur Supprimée : HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls [x86]
Valeur Supprimée : HKLM\SYSTEM\ControlSet002\Control\Session Manager\AppCertDlls [x64]
Valeur Supprimée : HKLM\SYSTEM\ControlSet002\Control\Session Manager\AppCertDlls [x86]
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\S-1400290070
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{5F189DF5-2D05-472B-9091-84D9848AE48B}{3e9deaca}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{54739D49-AC03-4C57-9264-C5195596B3A1}
Clé Supprimée : HKCU\Software\RegisteredApplicationsEx
Clé Supprimée : HKLM\Software\{77D46E27-0E41-4478-87A6-AABE6FBCF252}
Clé Supprimée : HKLM\Software\SystemK
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\searchsettings.exe
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\vonteera

***** [ Navigateurs ] *****

-\\ Internet Explorer v11.0.9600.16521


-\\ Mozilla Firefox v28.0 (fr)

[ Fichier : C:\Users\Mathieu\AppData\Roaming\Mozilla\Firefox\Profiles\98d28645.default-1390652792618\prefs.js ]

Ligne Supprimée : user_pref("browser.search.order.1", "default-search.net");
Ligne Supprimée : user_pref("browser.startup.homepage", "hxxp://www.default-search.net?sid=476aid=125it ... 307src=hmp");
Ligne Supprimée : user_pref("extensions.APN_TB.first-previous-keyword-url", "hxxp://www.default-search.net/search?sid=476ai ... 07src=dsp=");
Ligne Supprimée : user_pref("extensions.ORJ-V7C.previous-keyword-url", "\"hxxp://www.default-search.net/search?sid=476ai ... 07src=dsp=\"");

-\\ Google Chrome v

*************************

AdwCleaner[R0].txt - [8553 octets] - [18/01/2014 23:19:23]
AdwCleaner[R1].txt - [2404 octets] - [18/01/2014 23:22:36]
AdwCleaner[R2].txt - [10038 octets] - [25/01/2014 11:33:07]
AdwCleaner[R3].txt - [2866 octets] - [25/01/2014 11:37:09]
AdwCleaner[R4].txt - [1628 octets] - [25/01/2014 14:29:31]
AdwCleaner[R5].txt - [6635 octets] - [17/03/2014 19:05:48]
AdwCleaner[R6].txt - [5719 octets] - [05/05/2014 19:26:29]
AdwCleaner[S0].txt - [6344 octets] - [18/01/2014 23:20:12]
AdwCleaner[S1].txt - [2356 octets] - [18/01/2014 23:23:12]
AdwCleaner[S2].txt - [9677 octets] - [25/01/2014 11:33:28]
AdwCleaner[S3].txt - [5971 octets] - [17/03/2014 19:11:03]
AdwCleaner[S4].txt - [5450 octets] - [05/05/2014 19:26:53]

########## EOF - C:\AdwCleaner\AdwCleaner[S4].txt - [5510 octets] ##########

[2011N2]

Re,

Bien.

Fais un diagnostic de ton PC avec ZHPDiag et poste le rapport hébergé : http://www.forum-entraide-informatique. ... g-tutoriel

Gabriel.

[Darkonchounet]

Voilà le rapport http://cjoint.com/?3EfvBClQ9z5

[2011N2]

Re,

1/ Désinstalle McAfee Security Scan Plus.

2/ Fais ZHPFix comme ceci avec ces lignes, et poste le rapport.

Gabriel.

[Darkonchounet]

Rapport de ZHPFix 2014.4.13.3 par Nicolas Coolman, Update du 13/04/2014
Fichier d'export Registre :
Run by Mathieu at 06/05/2014 11:16:35
High Elevated Privileges : OK
Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée (00mn 27s)
Dossier Prefetcher vidé

========== Clés du Registre ==========
SUPPRIMÉ: HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilFortunitas_RASMANCS
SUPPRIMÉ:* HKLM\Software\Classes\CLSID\{C98EE38D-21E4-4A50-907D-2B56FEC7013E}

========== Dossiers ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichiers ==========
SUPPRIMÉS Temporaires Windows (29) (4 934 401 octets)
SUPPRIMÉS Flash Cookies (0) (0 octets)

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
2 : Clés du Registre
1 : Dossiers
2 : Fichiers
1 : Restauration Système


End of clean in 00mn 50s

========== Chemin de fichier rapport ==========
C:\Users\Mathieu\AppData\Roaming\ZHP\ZHPFix[R1].txt - 06/05/2014 11:17:03 [995]

[2011N2]

Bonjour,

Passe MBAM et poste le rapport : http://www.forum-entraide-informatique. ... m-tutoriel

Gabriel.

[Darkonchounet]

Malwarebytes Anti-Malware
http://www.malwarebytes.org

Scan Date: 06/05/2014
Scan Time: 12:27:17
Logfile:
Administrator: Yes

Version: 2.00.1.1004
Malware Database: v2014.05.06.03
Rootkit Database: v2014.03.27.01
License: Trial
Malware Protection: Enabled
Malicious Website Protection: Enabled
Chameleon: Disabled

OS: Windows 7 Service Pack 1
CPU: x64
File System: NTFS
User: Mathieu

Scan Type: Threat Scan
Result: Completed
Objects Scanned: 278550
Time Elapsed: 11 min, 20 sec

Memory: Enabled
Startup: Enabled
Filesystem: Enabled
Archives: Enabled
Rootkits: Enabled
Shuriken: Enabled
PUP: Enabled
PUM: Enabled

Processes: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Registry Keys: 1
PUP.Optional.SiteFinder.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\EXPLORER BARS\{CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}, Quarantined, [34cc35cbbd4326daa4a8829d16ec02fe],

Registry Values: 2
PUP.Optional.SiteFinder.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\URLSEARCHHOOKS|{CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}, Quarantined, [34cc35cbbd4326daa4a8829d16ec02fe],
PUP.Optional.SiteFinder.A, HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\INTERNET EXPLORER\URLSEARCHHOOKS\{CCC7B159-1D8C-11E3-B2AD-F3EF3D58318D}, Quarantined, [56aaa35d49b77f813814e8374bb71ee2],

Registry Data: 0
(No malicious items detected)

Folders: 0
(No malicious items detected)

Files: 0
(No malicious items detected)

Physical Sectors: 0
(No malicious items detected)


(end)

[2011N2]

Re,

OK pour MBAM.

Comment se comporte le PC ?

Fais un nouveau rapport ZHPDiag.

Gabriel.

[Darkonchounet]

Le PC fonctionne beaucoup mieux, j'ai pu mettre à jour Windows Lundi dans la soirée, et j'avais fait un scan avec MalwareBytes hier....
Je n'ai aucune idée de si c'est totalement réglée, mais j'ai aucune trace d'un quelconque virus quand j'utilise mon ordi.


http://cjoint.com/?3EhliDfsVh9

Merci en tout cas, je me doutais bien que ça ne prendrait pas des mois, mais ce fut très rapide ^^

[2011N2]

Bonjour,

Ce n'est pas tout à fait terminé, il reste la finalisation.

La voici : http://www.forum-entraide-informatique. ... nalisation
Tiens-moi au courant de ton avancée au fur et à mesure.

Gabriel.

[g3n-h@ckm@n]

bonjour il reste une extension pourrie dans chrome à virer via script S_M :

Désactive Norton.

selectionne ce texte , puis CTRL + C

jeimdpgnclinppdjhcafbibghpdlgopn
ssAfeweib

relance shortcut_module puis clique sur le petit "S" en bas.
un fichier "module" va s'ouvrir avec les lignes copiées , si c'est le cas referme-le et relance un nettoyage il prendra ces parametres en compte sinon fais en sorte qu il n'y ait que ca dedans , puis ferme en acceptant la modification s'il y a lieu et relance le nettoyage

poste enfin le nouveau rapport

[Darkonchounet]

Voilà le rapport DelFix :

# DelFix v10.7 - Rapport créé le 07/05/2014 à 12:02:40
# Mis à jour le 27/04/2014 par Xplode
# Nom d'utilisateur : Mathieu - MATH-THINKPAD
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)

~ Activation de l'UAC ... OK

~ Suppression des outils de désinfection ...

Supprimé : C:\USBFix
Supprimé : C:\Shortcut_Module
Supprimé : C:\AdwCleaner
Supprimé : C:\Users\Mathieu\AppData\Roaming\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Mathieu\Desktop\Shortcut_Module_05_05_2014_19_16_53.txt
Supprimé : C:\Users\Mathieu\Desktop\UsbFix.lnk
Supprimé : C:\Users\Mathieu\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Mathieu\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Mathieu\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Mathieu\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Mathieu\Downloads\adwcleaner.exe
Supprimé : C:\Users\Mathieu\Downloads\Shortcut_Module.exe
Supprimé : C:\Users\Mathieu\Downloads\UsbFix.exe
Supprimé : C:\Users\Mathieu\Downloads\zhpdiag2.exe
Supprimée : HKCU\Software\USBFix
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Shortcut_Module
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\USBFix
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~ Sauvegarde de la base de registre ... OK

~ Purge de la restauration système ...

Supprimé : RP #39 [Windows Update | 04/19/2014 01:00:33]
Supprimé : RP #40 [Windows Update | 04/20/2014 01:00:25]
Supprimé : RP #41 [Windows Update | 04/22/2014 01:00:20]
Supprimé : RP #42 [Windows Update | 04/23/2014 01:00:20]
Supprimé : RP #43 [Windows Update | 04/24/2014 01:00:22]
Supprimé : RP #44 [Windows Update | 04/25/2014 01:00:37]
Supprimé : RP #66 [Windows Update | 05/06/2014 01:00:31]
Supprimé : RP #67 [Removed Google Drive | 05/06/2014 09:11:17]
Supprimé : RP #68 [ZHPFix Restore System Point | 05/06/2014 09:16:16]
Supprimé : RP #69 [Windows Update | 05/07/2014 01:00:25]
Supprimé : RP #70 [Windows Update | 05/07/2014 09:44:31]
Supprimé : RP #71 [Installed Adobe Flash Player 12 ActiveX. | 05/07/2014 09:56:51]

Nouveau point de restauration créé !

~ Réinitialisation des paramètres système ... OK

########## - EOF - ##########



Et pour le rapport S_M version 2 :
http://cjoint.com/?3EhnHZC9QOV

[2011N2]

Re,

Nickel.

Gabriel.

[Darkonchounet]

Désolé j'ai pris du retard, j'ai fait un stage intensif de bilboquet

Mais voilà, j'ai fait tout le nécessaire je suis allé visiter les quelques autres topics utiles, la vérification de mon disque dur s'est faite en moins de deux.

Voilà le rapport nécessaire :

Results of screen317's Security Check version 0.99.82
Windows 7 Service Pack 1 x64 (UAC is disabled!)
Internet Explorer 11
``````````````Antivirus/Firewall Check:``````````````
Norton Internet Security
WMI entry may not exist for antivirus; attempting automatic update.
`````````Anti-malware/Other Utilities Check:`````````
Secunia PSI (3.0.0.9016)
Java 7 Update 55
Adobe Flash Player 13.0.0.206
Adobe Reader 10.1.7 Adobe Reader out of Date!
Mozilla Firefox (28.0)
Google Chrome 34.0.1847.131
````````Process Check: objlist.exe by Laurent````````
Norton ccSvcHst.exe
Malwarebytes Anti-Malware mbamservice.exe
Malwarebytes Anti-Malware mbam.exe
Malwarebytes Anti-Malware mbamscheduler.exe
Intel Intel(R) Small Business Advantage Service Intel.SmallBusinessAdvantage.WindowsService.exe
`````````````````System Health check`````````````````
Total Fragmentation on Drive C: =
````````````````````End of Log``````````````````````


En tout cas, merci beaucoup, vous êtes très efficaces, et très sympa. Merci !

[2011N2]

Bonjour,

Pas de problème.

Mets Adobe Reader à jour : https://get.adobe.com/fr/reader/
Pense à décocher l'installation facultative avant de lancer le téléchargement.

Gabriel.