FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Invité]

Lu'

Roro me dit que mon sujet n'est peut-être pas résolu


Donc comme convenu, voici le rapport zhdiag.txt

http://cjoint.com/?AHmoOGJDgxr


Merci

[roro04]

Re,

Bon, tu n'as plus le serveur UnKnown, c'est déjà ça. Pare contre, ,un hook du MBR. Tu avais réactiver tes logiciel d'émulation avec defogger? Si oui, redésactive-les et reposte le ZHPDiag.

@+

[Invité]

Ok, je le re-désactive alors

J'ai lancé ensuite le scan zhpdiag



Voici le rapport roro : http://cjoint.com/?AHmrFI3HwVV


merci


a+

[roro04]

Re,

J'ai pas le temps d'analyser ton rapport, je reprend demain.

@+

[roro04]

Re,

Désolé du retard, je suis pas mal pris en ce moment.

Il est possible que tu ais une infection MBR. On va vérifier ça.

Je vais te faire analyser un fichier sur un site d'analyse en ligne

• Rend-toi sur le site http://www.virustotal.com
• Clique sur Parcourir. Rends toi dans le répertoire du fichier suivants et clique sur le fichier.
  
  C:\PhysicalDisk0_MBR.bin
• Clique sur Send File. Si tu as un message comme quoi le fichier ŕ déjŕ été analyser, clique sur Reanalyse.
• Patiente le temps du scan.
• Sélectionne le rapport de Antivirus jusqu'ŕ VT Community puis clique droit/Copier.
• Clique droit sur le bureau puis Nouveau et enfin Document Texte. Nomme-le VT et colle le texte sélectionner dedans (Clique droit/Coller). Enregistre.
• Héberge le rapport VT sur Cjoint et donne moi le lien.

@+

[Invité]

Salut Roro


Voici comme convenu, le rapport VT

=== Rapport VT


Il n'y a rien trouvé


@+

[roro04]

Hello!

Bon, refais un ZHPDiag avec logiciels d'émulation désactivés.
Ensuite, fais malwarebytes scan complet.

@+

[Invité]

Lu roro et merci encore de ton aide


voici le rapport zhpdiag : http://cjoint.com/?AHqpyMiFqFk


et là je lance mbam


@plus et merci

[Valuu]

Yop,
pour avancer Roro, le rapport ZHPDiag n'est pas complet

[Invité]

Salut

Comment ca, il n'est pas complet?


Il manque quoi ?


J'ai pris le zhdiag.txt sur le bureau....


Je comprends pas tout ^^


@+

[Invité]

re

Car, la fin, je vois == End of the scan (1704 lines in 06mn 58s)(0)



Valuu, tu peux m'expliquer où tu vois qu'il n'est pas complet


Merci, car j'avoue que je ne vois pas

[roro04]

Salut!

Je te regarde ça demain, je n'ai vraiment pas le temps en ce moment mais demain, je pense à ton sujet.

Merci de ta compréhension.
@+

[Invité]

Salut


Tkt, je suis pas pressé


rapport malware byte :
Malwarebytes' Anti-Malware 1.51.1.1800
http://www.malwarebytes.org

Version de la base de données: 7480

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

17/08/2011 14:40:35
mbam-log-2011-08-17 (14-40-28).txt

Type d'examen: Examen complet (C:\|D:\|I:\|)
Elément(s) analysé(s): 346907
Temps écoulé: 4 heure(s), 52 minute(s), 4 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 1

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Thomas\Desktop\extinction pc.exe (Trojan.Agent) - No action taken.



Fichier(s) infecté(s):
c:\Users\Thomas\Desktop\extinction pc.exe (Trojan.Agent) - No action taken.

Attention, ce programme, c'est moi qui l'ai crée...


Extinction pc.bat compilé en extinction pc.exe...


Et dès le début de la compilation, malwarebyte a montré ses crocs....


Je pense que c'est un FP...


@plusche et prend ton temps

[roro04]

Re,

Bon, ça m chagrine tes DNS bizarres.

On va restaurer la pile TCP/IP.

• Presse les touches Windows + Rpour faire apparaître la fenêtre Exécuter.
• Tape cmd /k netsh int ip reset c:\resetlog.txt
• Poste le rapport C:\resetlog.txt
• Reposte un ZHPDiag.

@+

[Invité]

roro....

Tu parles de quel DNS?


Depuis le premier post, j'ai remis ceux en automatique


Bon, je fais ce que tu me dis


@+

[Invité]

Ya pas de rapport resetlog


Je vais refaire un zhpdiag


++

[roro04]

Re,

Euh, oui, c'est Windows+R, pardon.

Pas grave si il n'y a pas le rapport. Tu as quand-même eu un message de confirmation?

@+

[Invité]

rien n'a été réinitialiser

[roro04]

Re,

Essaye en rentrant la commande dans l'invite de commandes.

@+

[Invité]

Voici une copie d'écran

[roro04]

Re,

A OK, c'est normal, tu es sous 7! Alors recommence en lançant l'invite de commandes en tant qu'Administrateur.

@+

[Invité]

Ok


ps : non sur vista

[Invité]

J'ai fait : cela m'a indiqué truc interce ok ...etc...


Ma demandé de redémarrer...


chose faite, mais pas de rapport resetlog...


Le mieux, aurait été de créer un bat


^^


Là j'ai lance zhpdiag


@+ et merci mister

[Invité]

Lu'


voici le rapport zhpdiag : http://cjoint.com/?AHsp12E6qWV


toujours les même dns





@+

[roro04]

Re,

Bon, encore des symptomes?

@+

[Invité]

encore des symptomes? en fait, j'en ai jamais eu ....


Juste des ralentissement par ci par là....


un redémarrage.... et hop, plus rapdie que jamais



Juste je trouve que la connexion est lente...



Attend, je vais modifier dns et je te poste un zhpdiag


Je sens que j'ai fauté quelque part.....


=== Ah bien nan, les dns sont configurés automatiquement....

Donc aucun souchis

Donc..... dns normal quoi (vu que j'ai les même que 91300 ^^)


Merci encore tout le monde ^^

[Invité]

connexion lente.... mais là non


@+

[roro04]

Bon, ben tant mieux alors, on finalise.

Si nous avons utilisé Malwarebytes' Anti-Malware, tu peux le garder et passer un scan complet une fois par semaine en prenant soin de bien le mettre à jour avant de lancer le scan.
Autrement, installes-le, c'est un antimalware très efficace. Tu trouveras un tuto complet Ici

1- Nous allons mettre à jour ton pc.

Il est important d'avoir les dernières mises à jour sur ton PC. En effet, celles ci corrigent des failles de sécurité qui peuvent parfois être exploitée par un programme malveillant.

1ère étape : Java

• Télécharge JavaRa puis décompresse le sur ton bureau.
• Ouvre le dossier JavaRa puis exécute JavaRa.exe.
• Clique sur "Search For Updates".
• Sélectionne "Update Using jucheck.exe" puis clique sur "Search".
• Autorise le processus à se connecter s'il te le demande, clique sur "install" et suis la procédure d'installation.
• Une fois l'installation terminée, revient à l'écran de JavaRa et clique sur "Remove Older Versions".
• Clique sur " Oui " pour confirmer. Laisse l'outil travailler, puis clique sur " Ok " et une nouvelle fois sur " Ok ".
• Un rapport s'ouvrira, copie/colle son contenu dans ton prochain message.

/!\ Si la méthode "Update Using jucheck.exe" ne fonctionne pas, télécharge la dernière version de java à Cette adresse puis passe directement à la partie " Remove Older Versions " /!\

2ème étape : Adobe Reader

• Si tu utilises adobe reader, il est important qu'il soit à jour.
• Si il n'est pas à jour, certains programmes malveillants peuvent exploiter différentes failles et infecter ton PC ( Voir ici )
• Pour vérifier qu'adobe reader est à jour, lance le puis clique sur Aide - Rechercher les mises à jour

3ème étape : Mise à jour des logiciels

• Il est également primordial de garder tes logiciels à jour. Pour ce faire, il existe un petit utilitaire, Update Checker.
• Télécharge le Ici
• Un tutoriel pour son utilisation est disponible Ici.

2- Vacciner les supports amovibles

• Si nous n'avons pas utilisé USBfix lors de la procédure, tu peux vacciner tes supports amovibles pour éviter qu'ils ne s'infectent.
• Télécharge USBfix puis lance le. (Clique droit/Exéuter en tent qu'administrateur pour Vista/7).
• Branche tout tes médias amovibles ( Clé USB, Disque dur externe, carte SD ) puis sélectionne l'option Vacciner.
• Appuie sur Ok au message de confirmation.
• Une fois la vaccination terminée, relance usbfix et choisis l'option Désinstaller.

Note : Si ton anvirus émet une alerte, désactive le momentanément ( il s'agit d'un faux positif )


3- DelFix

• Télécharge DelFix sur ton bureau.
• Lance le.
• Clique sur Supression.
• Patiente pendant le scan jusqu'à l'ouverture du rapport.
• Copie/Colle le contenu du rapport dans ta prochaine réponse.
• Relance Delfix et clique sur Désinstallation.

Note : Le rapport se trouve également sous C:\DelFixSuppr


4- Optimisation

1ère étape : Suppression des fichiers inutiles

• Télécharge CCleaner
• Installe le, puis lance le.
• Va dans l'onglet Options puis Avancé et décoche Effacer uniquement les fichiers[...].
• Cliques sur l'onglet Nettoyeur puis cliques sur Analyser. A la fin de l'analyse, clique sur Nettoyer.
• Rends toi à l'onglet Registre puis cliques sur Chercher les erreurs. Cliques ensuite sur Corriger les erreurs séléctionnées.
• Accepte la sauvegarde puis enregistre la dans tes documents ( tu pourras la supprimer si aucun problème n'apparaît après la suppression )
• Cliques ensuite sur Corriger toutes les erreurs sélectionnées puis sur Fermer
• Tu peux renouveller ces opérations tous les jours.

2ème étape : Défragmentation

Au fur et à mesure que tu installes des logiciels, copies des fichiers etc.. le disque dur se fragmente et les accès en lecture/écriture sont plus longs.

• Télécharge Defraggler.
• Un tutoriel pour son utilisation est disponible Ici.

3ème étape : Vérification des disques

• Ouvre l'explorateur, puis fais un clique droit sur ta partition principale ( généralement C:\ )
• Clique sur Propriété puis sur l'onglet Outils
• Clique sur Vérifier maintenant puis coche les deux cases présentes.
• Clique sur Démarrer ( Tu devras éventuellement redémarrer ton PC et le scan du disque s'effectuera au prochain démarrage )

4ème étape : Désactivation des programmes au démarrage

• Clique sur Démarrer puis Exécuter.
• Tape msconfig et valide par ok.
• A l'onglet Démarrage , décoche tout les éléments sauf ceux se rapportant à ton antivirus / pare-feu / Ordinateur (programmes acer...).
• Clique sur Appliquer puis ok et redémarre ton PC.

4- Purge de la restauration système


La restauration système est un endroit que windows utilise pour créer des sauvegardes. En cas de soucis, tu peux utiliser ces sauvegardes pour revenir à un état antérieur au problème.

• Après une désinfection, il faut purger la restauration système pour supprimer toutes traces de malwares y résidant.
• Tutoriels :
  
  - Windows XP
  - Windows Vista
  - Windows 7

5- UAC ( Uniquement pour Vista/Seven )

Si tu as désactivé l'UAC, il est important de la réactiver.

- Pourquoi garder l'UAC activée?


6- Security Check

Afin de vérifier si toutes les mise à jour ont bien été installées , nous allons utiliser un petit programme.

• Télécharge Security Check ( de Screen317 ) sur ton bureau.
• Lance le, patiente pendant le scan puis poste le rapport qui s'ouvrira dans ta prochaine réponse.
• Une fois le rapport posté, tu peux supprimer Security Check.

7- Liens utiles

Ces liens sont en rapport direct avec la sécurité de ton PC.
Prends le temps de les lire pour comprendre pourquoi tu as été infecté.

- Les dangers du P2P
- La sécurité de son PC, c'est quoi?
- Sécuriser son ordinateur
- Pourquoi maintenir son navigateur à jour?
- Les toolbars c'est pas obligatoire

@+

[Invité]

Re ^^


Ok, je réponds par étape



1ère étape : Java

Rapport de javara ===

 JavaRa 1.15 Removal Log.

Report follows after line.

------------------------------------

The JavaRa removal process was started on Thu Aug 18 16:48:49 2011

------------------------------------

Finished reporting.

2ème étape : Adobe Reader
Adobe Reader est déjà à jour (par mes p'tis soins )


3ème étape : Mise à jour des logiciels
J'ai déjà update checker, en plus de Secunia PSI


DelFix ===
 # DelFix v8.3 - Rapport créé le 18/08/2011 à 16:53
# Mis à jour le 04/08/11 à 11h par Xplode
# Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
# Nom d'utilisateur : Thomas - PC-DE-THOMAS (Administrateur)
# Exécuté depuis : C:\Users\Thomas\Desktop\delfix0.exe
# Option [Suppression]


~~~~~~ Dossier(s) ~~~~~~

Supprimé : C:\ZHP
Non supprimé (1) : C:\Program Files\ZHPDiag
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\JavaRa.log
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Windows\System32\404Fix.exe
Supprimé : C:\Windows\System32\Agent.OMZ.Fix.exe
Supprimé : C:\Windows\System32\dumphive.exe
Supprimé : C:\Windows\System32\IEDFix.C.exe
Supprimé : C:\Windows\System32\IEDFix.exe
Supprimé : C:\Windows\System32\o4Patch.exe
Supprimé : C:\Windows\System32\Process.exe
Supprimé : C:\Windows\System32\SrchSTS.exe
Supprimé : C:\Windows\System32\swreg.exe
Supprimé : C:\Windows\System32\swsc.exe
Supprimé : C:\Windows\System32\swxcacls.exe
Supprimé : C:\Windows\System32\tmp.reg
Supprimé : C:\Windows\System32\tmp.txt
Supprimé : C:\Windows\System32\VACFix.exe
Supprimé : C:\Windows\System32\VCCLSID.exe
Supprimé : C:\Windows\System32\WS2Fix.exe
Supprimé : C:\Users\Thomas\defogger_reenable
Supprimé : C:\Users\Thomas\Desktop\Defogger.exe
Supprimé : C:\Users\Thomas\Desktop\defogger_disable.log
Supprimé : C:\Users\Thomas\Desktop\HijackThis.exe
Supprimé : C:\Users\Thomas\Desktop\hijackthis.log
Supprimé : C:\Users\Thomas\Desktop\JavaRa.zip
Supprimé : C:\Users\Thomas\Desktop\rapport.txt
Supprimé : C:\Users\Thomas\Desktop\SmitfraudFix.exe
Supprimé : C:\Users\Thomas\Desktop\TDSSKiller.exe
Supprimé : C:\Users\Thomas\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Thomas\Desktop\ZHPDiag2.exe
Supprimé : C:\Users\Thomas\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Hijackthis
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\App Paths\HijackThis.exe

~~~~~~ Autre ~~~~~~

- Prefetch vidé

########## EOF - "C:\DelFixSuppr.txt" - [2539 octets] ##########





4- Optimisation
J'ai déjà ccleaner et defraggler ^^

Et je m'en sers



Bref, tout est clean, merci


Merci beaucoup