FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Ocelus]

Bonjour !

J'avais initialement posté dans "Windows" car j'avais un logiciel suspect ( voir : [Résolu] antimalware service executable c'est quoi ? )

Or a la vu apparemment de mon rapport ZHPDiag L'incruste m'a conseillé une désinfection !

Que dois-je donc faire ?

Je vous remercie de votre aide d'avance, pour tout ce que vous avez déjà fait pour moi !

Océlus

PS : Le ZHPDiag : http://cjoint.com/?DGil6c2MoQU

[g3n-h@ckm@n]

bonjour c'est pas zhpdiag ca....

[Ocelus]

Excusez moi, j'me suis simplement trompé !
Je remet : http://cjoint.com/?DGksXPYRspX

Océlus

[g3n-h@ckm@n]

re

ouais bof 2/3 clés orphelines sur le ZHPdiag

==

Laisser travailler l'outil même s'il parait bloqué

Désactiver temporairement l'antivirus , ou les agents de protection qu'il contient.
Télécharger Shortcut_Module ici :
http://www.telecharger.sosvirus.net/dow ... ut_module/
L' enregistrer sur le bureau, et le lancer



cliquer sur "Nettoyer" puis laisser tourner le scan :



Attention : il fermera les programmes en cours d'utilisation tels que IE, Firefox, Word etc...

Si l'outil détecte un proxy et qu'aucun n'a été installé et qu'il n'y a pas pas de logiciel de controle parental , cliquer sur supprimer le proxy
Il donnera un rapport en fin d’exécution , dans C:\Shortcut_Module_xx_xx_xx_xx_xx_xx.txt (les "x" étant des chiffres)
le pc va redemarrer
Héberger le rapport sur http://cjoint.com puis fournir le lien obtenu

Note : En fin de désinfection (ET PAS AVANT) relancer l'outil et cliquer sur le petit "u" en bas à droite pour le desinstaller totalement

[Ocelus]

Re,

Voila, j'ai fait ce que tu m'as dis !
Et voila le rapport :

http://cjoint.com/?DGkuYzTnlt6

Ocelus

[g3n-h@ckm@n]

ok ton antivirus est AVG mais tu as des restes de Norton et McAfee on va virer ca :

Désactive ton antivirus.

selectionne ce texte , puis CTRL + C

McAfee
Norton
Symantec
DP45977C.lfl

relance shortcut_module puis clique sur le petit "S".
un fichier "module" va s'ouvrir avec les lignes copiées , si c'est le cas referme-le et relance un nettoyage il prendra ces parametres en compte sinon fais en sorte qu il n'y ait que ca dedans , puis ferme en acceptant la modification s'il y a lieu et relance le nettoyage

poste enfin le nouveau rapport

[Ocelus]

Re,

C'est chose faite : http://cjoint.com/?DGkwtdc755j

Océlus

[g3n-h@ckm@n]

bon ben ca a pas fonctionné on va faire autrement

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Windows\CurrentVersion\RunMRU /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\*. /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\PSS\* /s
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\syswow64\Tasks\*
      %systemroot%\syswow64\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[Ocelus]

Re,

J'ai eu 2 rapports :

OTL : http://upload.sosvirus.net/www/?a=di=s2OvHrRWa2
Extra : http://upload.sosvirus.net/www/?a=di=WMDCN2J95f

Ocelus

[g3n-h@ckm@n]

colle ca en bas d'OTL puis cette fois-ci clique sur correction et poste le nouveau rapport


:OTL
DRV - [2013/08/07 13:43:14 | 000,070,112 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\cfwids.sys -- (cfwids)    
DRV - [2013/08/07 13:40:20 | 000,343,568 | ---- | M] (McAfee, Inc.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\mfewfpk.sys -- (mfewfpk)    
DRV - [2013/08/07 13:38:20 | 000,776,168 | ---- | M] (McAfee, Inc.) [Kernel | Boot | Running] -- C:\Windows\SysNative\drivers\mfehidk.sys -- (mfehidk)    
DRV - [2013/08/07 13:37:02 | 000,519,064 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\mfefirek.sys -- (mfefirek)    
DRV - [2013/08/07 13:36:06 | 000,310,224 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Running] -- C:\Windows\SysNative\drivers\mfeavfk.sys -- (mfeavfk)    
DRV - [2013/08/07 13:35:44 | 000,179,664 | ---- | M] (McAfee, Inc.) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\mfeapfk.sys -- (mfeapfk)    
DRV - [2013/08/07 13:20:04 | 000,069,264 | ---- | M] (McAfee, Inc.) [Kernel | Boot | Stopped] -- C:\Windows\SysNative\drivers\mfeelamk.sys -- (mfeelamk)    
DRV - [2013/07/30 03:24:22 | 000,150,104 | R--- | M] (Symantec Corporation) [Kernel | On_Demand | Stopped] -- C:\Windows\SysNative\drivers\NARAx64\0405000.009\ccSetx64.sys -- (ccSet_NARA)
IE - HKLM\..\SearchScopes\{AA9A4890-4262-4441-8977-E2FFCBFB706C}: "URL" = http://fr.yhs4.search.yahoo.com/yhs/sea ... earchTerms}
IE - HKU\S-1-5-21-912626870-1488404036-471406200-1001\..\SearchScopes\{AA9A4890-4262-4441-8977-E2FFCBFB706C}: "URL" = http://fr.yhs4.search.yahoo.com/yhs/sea ... earchTerms}
O2 - BHO: (Lync Browser Helper) - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\OCHelper.dll File not found
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\URLREDIR.DLL File not found
O2 - BHO: (Microsoft SkyDrive Pro Browser Helper) - {D0498E0A-45B7-42AE-A9AA-ABA463DBD3BF} - C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\GROOVEEX.DLL File not found
O2 - BHO: (Office Document Cache Handler) - {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files\Microsoft Office 15\root\Office15\URLREDIR.DLL File not found
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O8 - Extra context menu item: Export to Microsoft Excel - res://C:\Program Files\Microsoft Office 15\Root\Office15\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Send to OneNote - res://C:\Program Files\Microsoft Office 15\Root\Office15\ONBttnIE.dll/105 File not found
O8 - Extra context menu item: Export to Microsoft Excel - res://C:\Program Files\Microsoft Office 15\Root\Office15\EXCEL.EXE/3000 File not found
O8 - Extra context menu item: Send to OneNote - res://C:\Program Files\Microsoft Office 15\Root\Office15\ONBttnIE.dll/105 File not found
O9 - Extra Button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\ONBttnIE.dll File not found
O9 - Extra 'Tools' menuitem : Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\ONBttnIE.dll File not found
O9 - Extra Button: Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\OCHelper.dll File not found
O9 - Extra 'Tools' menuitem : Lync Click to Call - {31D09BA0-12F5-4CCE-BE8A-2923E76605DA} - C:\Program Files\Microsoft Office 15\root\VFS\ProgramFilesX64\Microsoft Office\Office15\OCHelper.dll File not found
O9 - Extra Button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office 15\root\Office15\ONBttnIE.dll File not found
O9 - Extra 'Tools' menuitem : Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program Files\Microsoft Office 15\root\Office15\ONBttnIE.dll File not found
SafeBootNet mfefire - C:\Program Files\Common Files\McAfee\SystemCore\\mfefire.exe ()    
SafeBootNet mfefirek - C:\Windows\SysNative\drivers\mfefirek.sys (McAfee, Inc.)
SafeBootNet mfefirek.sys - C:\Windows\SysNative\drivers\mfefirek.sys (McAfee, Inc.)
SafeBootNet mfehidk - C:\Windows\SysNative\drivers\mfehidk.sys (McAfee, Inc.)
SafeBootNet mfehidk.sys - C:\Windows\SysNative\drivers\mfehidk.sys (McAfee, Inc.)    
SafeBootNet mfevtp - C:\Windows\SysNative\mfevtps.exe (McAfee, Inc.)
[2013/12/22 13:59:14 | 000,000,000 | -H-- | C] () -- C:\ProgramData\DP45977C.lfl
[2014/07/05 18:29:33 | 000,000,000 | ---D | M] -- C:\ProgramData\McAfee
[2014/07/05 12:24:46 | 000,000,000 | ---D | M] -- C:\ProgramData\Norton    
[2013/12/22 14:22:38 | 000,000,000 | ---D | M] -- C:\ProgramData\NortonInstaller
[2013/12/22 14:22:46 | 000,000,000 | ---D | M] -- C:\ProgramData\Symantec    
[2014/07/05 18:29:33 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\McAfee
[2013/12/22 14:22:38 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\NortonInstaller
[2013/12/22 14:22:47 | 000,000,000 | ---D | M] -- C:\Program Files (x86)\Symantec    

:reg
[-HKEY_LOCAL_MACHINE\Software\McAfee]
[-HKEY_LOCAL_MACHINE\Software\Norton]    
[-HKEY_LOCAL_MACHINE\Software\Symantec]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0

:files
C:\Program Files\Common Files\McAfee

:commands
[emptytemp]

[Ocelus]

Re,

J'ai quelques questions sur le comment faire ! :/
Je refait les réglages comme précédemment ?
Je rajoute derrière les lignes collées précédemment ?

Ocelus

[g3n-h@ckm@n]

non tu colles juste tout ce texte là en bas d'otl , tu touches pas aux réglages et tu cliques sur correction , de toutes facons à la correction les réglages ne sont pas pris en compte , il n'y a que le script qui est géré

si il y a des lignes en bas d'OTL tu les vires pour y mettre celles-ci

[Ocelus]

Salut,

J'ai un gros problème, j'ai fait comme tu as dis, comme précédemment mon PC demande redémarrage ... Et la, impossible, a chaque fois il me dit qu'il a mal redémarré !
Et impossible de le faire bien redémarré ...
Que faire !

Ocelus

[Ocelus]

J'ai lancé une "actualisation" ... Ca va virer toutes mes applications apparament, du coup, les antivirus en trop par la même occasion ...

[g3n-h@ckm@n]

salut

ok tiens moi au courant

[Ocelus]

Re,

J'ai donc mon PC quasiment a neuf !
Je fais quoi maintenant ?

J'ai juste re-installé Chrome pour le moment !

[Ocelus]

Encore des soucis !

Je n'ai installé que Chrome, mais j'ai d'horribles lags rien qu'en tapant ce texte !

Une fenetre d'installation c'est ouverte seule, me proposant d'installer des trucs tel que RegClean Pro etc ..
J'ai tout "Decline" mais ça a eu le temps d'installer un truc avant que je ferme le processus via le gestionnaire des taches !
Le truc en question m'a ouverte des pages windows me disant que j'avias 26Gb de données potentiellement risqué etc ... Le processus avait un nom commencant par nsd38 me semble, et quand celui-ci tournait ( je l'ai coupé ), McAfee prenait 97% de mon processeur ..

Ma page Chrome a redemarré toute seule ...

J'ai l'impression que mon Pc ne veut pas être utilisé !

[Ocelus]

J'ai encore des fenetre windows s'ouvrant et qui m'installe des trucs comme des Tv pour mon ordi, McAfee m'a apparament protégé contre un cheval de Troie ...
Pourtant me semblait avoir telechargé Chrome sur le site de l'éditeur ...

J'ai la liste des Processus : http://cjoint.com/?DGlnMguJ74G

Mon processeur monte a plus de 80% d'utilisation, a cause de McAffe on Access Service Scanner ...

[Ocelus]

Je vais balancer un coup de mbam, telechargé sur le site de l'éditeur, ça peut pas empirer la chose !

[Ocelus]

J'ai AnyProtect que j'ai jamais installé qui me it que j'ai 2175 fichiers en danger.
J'ai un truc Windows Version Installer qui s'est ouvert pour m'installer je ne sais quoi, mbam s'est affolé a son ouverture, et le processus associé : nshD160.tmp
Mbam s'est aussi affolé pour un certain "BlockAndSurf" que j'ai dans mes processus ... D'ou ça vient, j'en sais rien.

Le scan éclair de mbam m'a détecte plus de 200 objets infectés :')
Du coup j'vais lancer un scan complet, histoire d'enlever le plus gros !

[Ocelus]

J'ai tout mis en quarantaine :

http://cjoint.com/?DGln4oNjmkQ
Et je lance un scan complet.

[g3n-h@ckm@n]

ah mon avis c'est pas sur le site de l editeur que tu as téléchargé chrome ^^

tu pourras refaire ca du coup

http://www.forum-entraide-informatique. ... ste#136945

[Ocelus]

Salut,

Désolé pour le temps que j'ai mis à répondre !

-- http://cjoint.com/?DGmwyYZHaW5

Ocelus

[g3n-h@ckm@n]

refais ca ?

http://www.forum-entraide-informatique. ... ste#136979

[Ocelus]

Re,

J'ai refait :

OTL - http://cjoint.com/?DGnoKYarDhl
Extra - http://cjoint.com/?DGnoMNj7AIQ

Ocelus'

[g3n-h@ckm@n]

re

je rève ou tu n'as pas d'antivirus ?

[Ocelus]

Euh ... Normalement, j'ai McAfee, et le truc par défaut de Windows ? Que j'avais peut-etre desactivé ?

[g3n-h@ckm@n]

bien

colle ca en bas d' OTL puis clique sur correction et poste le nouveau rapport

:OTL
SRV - [2014/03/13 11:42:00 | 000,836,168 | ---- | M] (McAfee, Inc.) [Auto | Stopped] -- C:\Windows\Temp\0291131405210749mcinst.exe -- (0291131405210749mcinstcleanup)
IE - HKLM\..\SearchScopes\{AA9A4890-4262-4441-8977-E2FFCBFB706C}: "URL" = http://fr.yhs4.search.yahoo.com/yhs/sea ... earchTerms}
IE - HKU\S-1-5-21-912626870-1488404036-471406200-1001\..\SearchScopes,DefaultScope = {33BB0A4E-99AF-4226-BDF6-49120163DE86}
CHR - homepage: http://mysearch.avg.com?cid={3EBC6A3B-7 ... 2014-07-10 12:06:08v=18.1.8.643pid=safeguardsg=sap=hp
CHR - Extension: BlockAndSurf = C:\Users\Baptiste\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbohmgpeabkdiinjpgnadfceebineoig\1.175.0.0_0\
O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
O4 - HKLM\..\Run: [stv_fr_17] File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktopChanges = 1
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
[2014/07/12 23:21:27 | 000,000,000 | -HSD | C] -- C:\WINDOWS\SysWow64\AI_RecycleBin
[2014/07/11 22:57:17 | 000,000,000 | ---D | C] -- C:\Windows.old
[2014/07/11 14:11:20 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\FrEeSoFtToDaY
[2013/12/22 13:59:14 | 000,000,000 | -H-- | C] () -- C:\ProgramData\DP45977C.lfl
[2013/12/22 14:22:47 | 000,000,000 | ---D | M] -- C:\ProgramData\boost_interprocess
[2014/03/13 11:42:00 | 000,836,168 | ---- | M] (McAfee, Inc.) -- C:\WINDOWS\Temp\0291131405210749mcinst.exe

:reg
[-HKEY_CURRENT_USER\Software\Genesis]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0
[-HKEY_LOCAL_MACHINE\Software\Symantec]

:commands
[emptytemp]

[Ocelus]

Bonjour,

D'abord excuse moi pour le temps mis pour répondre !

Voila le rapport : http://cjoint.com/?DGpmqddy8Cl

Ocelus

[g3n-h@ckm@n]

re

c'est cool

des soucis persistent ?

[Ocelus]

Non, tout a l'air bien !
J'ai désinstallé McAfee pour installer AVG, rien a signaler !

[g3n-h@ckm@n]

ok le ménage final alors ^^ : http://gen-hackman.purforum.com/t50-fin-de-desinfection

[Ocelus]

Re,

DelFix - http://cjoint.com/?DGpxcwyKnWg

Ocelus

[g3n-h@ckm@n]

Parfait

[Ocelus]

Merci pour tout !
J'ai mis le merci et le pouce vert !
Encore merci

Ocelus