Forum d'Entraide Informatique (FEI)

Site d'assistance et de sécurité informatique
https://www.forum-entraide-informatique.com/support/

Pc contaminé

https://www.forum-entraide-informatique.com/support/viewtopic.php?f=3&t=3193

Page 1 sur 1

Pc contaminé

Posté : mar. 3 avr. 2012 17:19
par babygamer
Bonsoir,


Voila j'ai fais un scanne avec ZHPDiag du pc mon frère et j'ai constaté qu'il est plus que infecté.
Je ne veux pas faire de bêtise de désinfection.
Voici le rapport:
http://pjjoint.malekal.com/files.php?re ... w7u9l14w13
Tout en sachant que j'ai déjà utiliser les logiciels suivant:
  • Toolbar-SD
  • Malawarebyte
J'ai réactivé le gestionnaire de tâche, sauf que maintenant j'ai un problème avec RunVer.exe, message d'erreur disant que le fichier est introuvable.
Autre problème rencontré, Je n'arrive pas a installer Microsoft Essential Security.

Merci

Re: Pc contaminé

Posté : mar. 3 avr. 2012 17:30
par Invité
Salut Babygamer

Effectivement, le PC est bien infecté, il y a des adwares et barres d'outils.

J'ai vu deux fichiers cachés très suspects.
Ces lignes sont suspectes.

O58 - SDL:[MD5.F0601CCDF7C086EC92E515E5E9FDEF8B] - 30/12/1899 - 06:26:27 RSH-- . (...) -- C:\WINDOWS\system32\E7E9D5C9A9.sys [88]
O58 - SDL:[MD5.F274311302802436E41B10D0B444930C] - 30/12/1899 - 06:26:35 -SHA- . (...) -- C:\WINDOWS\system32\KGyGaAvL.sys [7520]
[MD5.549227586C1CF1BE608A0974FF1A74E6] [SPRF][24/11/2009] (...) -- C:\Documents and Settings\All Users\Application Data\E7E9D5C9A9.sys [88]
[MD5.9E853AD12089F6BFF4DAAEBDCFE28739] [SPRF][29/11/2009] (...) -- C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys [2516]

Si tu arrives à afficher les fichiers et dossiers cachés, pourrais tu analyser
sur Virus Total ces deux fichiers.
C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys
C:\Documents and Settings\All Users\Application Data\E7E9D5C9A9.sys

Ils m'ont l'air mauvais ces fichiers.

Ensuite, tu vas faire ceci :
Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Re: Pc contaminé

Posté : mar. 3 avr. 2012 17:53
par babygamer
Re

C'est ça a marché en mode sans échec voici le rapport de AdwCleaner:
http://pjjoint.malekal.com/files.php?re ... 15t11k9b11

Au redémarrage de la machine je n'ai pas u le message d'erreur avec RunVer.exe, mais une fenêtre m'indiquant que la façon dont le pc démarre a changé, et j'ai choisis l'option démarrer normalement.

@+

Re: Pc contaminé

Posté : mar. 3 avr. 2012 17:56
par Invité
On va vérifier s'il n'y a pas un rootkit :

Télécharge TDSSKiller (de Kaspersky) sur ton bureau
http://support.kaspersky.com/downloads/ ... killer.exe

Double clique sur TDSSKiller pour le lancer (avec Vista/Seven, clic droit
dessus, et sur exécuter en tant qu'administrateur

Clique sur Start scan, et laisse l'outil travailler

Si des fichiers infectés sont trouvés, une nouvelle fenêtre va s'ouvrir

Si TDSS. tdl2 est détecté, l'option delete sera cochée par défaut

Si TDSS.tdl3 est détecté, vérifie que Cure est bien cochée

Si TDSS.tdl4 (\HardDisk0\MBR) est détecté, vérifie que Cure
est bien cochée

Si Suspicious file est indiqué, laisse l'option cochée sur Skip

Si Rootkit.Win32.ZAccess.* est détecté règle sur "cure" en haut , et "delete" en bas
(Lorsque c'est un fichier .sys, faire Cure)

Clique sur Continue, puis sur Reboot now pour
redémarrer le PC

Poste le rapport qui est sauvegardé dans C:\TDSSKiller_Quarantine\
JJ.MM.AA_HH.MM.SS. (JJ.MM.AA date du passage de l'outil, HH.MM.SS
heure de passage).

Re: Pc contaminé

Posté : mar. 3 avr. 2012 18:05
par babygamer
Re

Aucun fichier détécter 0
Je fais quoi maintenant ?

Re: Pc contaminé

Posté : mar. 3 avr. 2012 18:07
par Invité
Analyse moi ces fichiers sur Virus Total
Si tu arrives à afficher les fichiers et dossiers cachés, pourrais tu analyser
sur Virus Total ces deux fichiers.
C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys
C:\Documents and Settings\All Users\Application Data\E7E9D5C9A9.sys

Puis refait moi un ZHPDiag.

Re: Pc contaminé

Posté : mar. 3 avr. 2012 18:32
par babygamer
Re

Impossible de trouver les deux fichiers même en sélectionnant afficher les fichier systèmes.
Voici le rapport de ZHPDiag:
http://pjjoint.malekal.com/files.php?re ... 2r7y612h14

Re: Pc contaminé

Posté : mar. 3 avr. 2012 18:40
par Invité
Impossible de trouver les deux fichiers même en sélectionnant afficher les fichier systèmes.
Parce qu'ils ont l'attribut système
Tu sais comment afficher l'intégralité des fichiers?

Est-ce que ton frère se sert des barres d'outils ?

Je reviens plus tard dans la soirée.

Re: Pc contaminé

Posté : mar. 3 avr. 2012 18:50
par babygamer
Pour afficher les fichier système:
Outil = Option des dossiers = Affichage, et en décoche Masquer les fichiers protégés du système d'exploitation.

Est-ce que ton frère se sert des barres d'outils ?Aucune idée mais je croix plutôt qu'il installe n'importe quoi sur son PC.

Merci pour ton aide a ce soir sinon

Re: Pc contaminé

Posté : mar. 3 avr. 2012 22:41
par Invité
Copie les lignes suivantes en gras ci dessous, c'est à dire
que tu sélectionnes les lignes indiquées en gras avec ta souris, tu fait
clic droit dessuscopier

[HKLM\SOFTWARE\Microsoft\Security Center] AntiVirusOverride: Modified
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings] WarnOnHTTPSToHTTPRedirect: Modified
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Application: Modified
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] Intl: Modified
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations] XMLLookup: Modified
O3 - Toolbar: interdescargas-FR Toolbar - {31c322dc-5878-452e-a2d8-c4aab9973c9a} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\interdescargas-FR\prxtbint2.dll
O3 - Toolbar: Messenger Plus Toolbar - {b760d5a4-8d24-4cb6-942e-d6bb540ad88c} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Messenger_Plus\prxtbMess.dll
O3 - Toolbar: SpeedBit Video Downloader - {0329E7D6-6F54-462D-93F6-F5C3118BADF2} . (.Pas de propriétaire - IE Toolbar Engine.) -- C:\Program Files\SpeedBit Video Downloader\Toolbar\tbcore3.dll
O3 - Toolbar: Bing Bar - {8dcb7100-df86-4384-8842-8fa844297b3f} . (.Microsoft Corporation. - Extensions du client Bing.) -- C:\Program Files\Microsoft\BingBar
O3 - Toolbar: (no name) - {1E796980-9CC5-11D1-A83F-00C04FC99D61} . (...) -- (.not file.)
O3 - Toolbar: (no name) - {710EB7A1-45ED-11D0-924A-0020AFC7AC4D} . (...) -- (.not file.)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}] =Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}] =Toolbar.Agent
[HKLM\Software\Classes\CLSID\{0329E7D6-6F54-462D-93F6-F5C3118BADF2}] =Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{3017FB3E-9A77-4396-88C5-0EC9548FB42F}] =Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{3017FB3E-9A77-4396-88C5-0EC9548FB42F}] =Toolbar.Agent
[HKLM\Software\Classes\CLSID\{3017FB3E-9A77-4396-88C5-0EC9548FB42F}] =Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{3017FB3E-9A77-4396-88C5-0EC9548FB42F}] =Toolbar.Agent
[HKLM\Software\Classes\Interface\{9E3B11F6-4179-4603-A71B-A55F4BCB0BEC}] =Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{b0c726ab-f9f3-4c9a-9839-38ccb9e9260a}] =Adware.SPointer
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FF7C3CF0-4B15-11D1-ABED-709549C10000}] =Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{FF7C3CF0-4B15-11D1-ABED-709549C10000}] =Toolbar.Agent
[HKLM\Software\Classes\CLSID\{FF7C3CF0-4B15-11D1-ABED-709549C10000}] =Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FF7C3CF0-4B15-11D1-ABED-709549C10000}] =Toolbar.Agent
C:\Program Files\interdescargas-FR =Toolbar.Conduit
C:\Documents and Settings\Administrateur\Application Data\Desktopicon =Adware.ADON
C:\Documents and Settings\Administrateur\Local Settings\Application Data\interdescargas-FR =Toolbar.Conduit
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Messenger_Plus Toolbar] =Toolbar.Conduit
O42 - Logiciel: Java(TM) 6 Update 7 - (.Sun Microsystems, Inc..) [HKLM] -- {3248F0A8-6813-11D6-A77B-00B0D0160070}
O42 - Logiciel: Messenger Plus Toolbar - (.Messenger Plus.) [HKLM] -- Messenger_Plus Toolbar

• Lance ZHPFix, soit à partir d'un raccourci sur le bureau, soit à partir de
ZHPDiag (avec Vista/Seven, clic droit dessus, et sur exécuter en
tant qu'administrateur)
- Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes
- Clique sur le bouton « GO » pour lancer le nettoyage,
- Copie/colle la totalité du rapport dans ta prochaine réponse
Note: le rapport est sauvegardé dans C:\ZHP\ZHPFixReport.txt


Redémarre ton PC

Ensuite, poste moi un nouveau rapport ZHPDiag

Re: Pc contaminé

Posté : jeu. 5 avr. 2012 11:37
par babygamer
Bonjour Jawa,

Désolé pour le retard, je pouvais pas accéder au forum hier !
Voici le rapport de ZHPFix:
http://pjjoint.malekal.com/files.php?re ... p8g8x14q55

@+

Re: Pc contaminé

Posté : jeu. 5 avr. 2012 16:50
par Invité
Salut
Pourrais tu refaire ZHPDiag pour que je vérifie.

Re: Pc contaminé

Posté : jeu. 5 avr. 2012 18:01
par babygamer
Re

Voici le rapport de ZHPDiag:
http://pjjoint.malekal.com/files.php?re ... p13w12q6j7
Sauf que je n'arrive pas a installer MSE toujours pareille.
Voici le code du message d'erreur: 0x80070643
J'ai même suivie ce tuto mais toujours rien:
http://answers.microsoft.com/fr-fr/prot ... 3b5c808ac9

@+

Re: Pc contaminé

Posté : jeu. 5 avr. 2012 18:11
par Invité
Sauf que je n'arrive pas a installer MSE toujours pareille.
Voici le code du message d'erreur: 0x80070643Je sais pas du tout.

As tu essayé un autre anti-virus ?
Si tu peux pas l'installer, met un autre anti-virus.

Télécharge USBFix (de El Desaparecido) sur ton bureau
http://general-changelog-team.fr/fr/dow ... /19-usbfix

# Si l'antivirus affiche une alerte, ignore-la et désactive l'antivirus temporairement.

# Branche toutes tes sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

# Double clique sur UsbFix.exe.

#Clique sur Recherche.

# Laisse travailler l'outil.

# À la fin du scan, un rapport va s'afficher, poste-le dans ta prochaine réponse sur le forum.

# Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

( CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller )

Re: Pc contaminé

Posté : jeu. 5 avr. 2012 19:06
par babygamer
Re

Voici le rapport:
http://pjjoint.malekal.com/files.php?re ... 4p7t8d13e6

@+

Re: Pc contaminé

Posté : jeu. 5 avr. 2012 22:24
par Invité
Relance USBFix, et clique sur suppression.

Poste le rapport.

Re: Pc contaminé

Posté : sam. 7 avr. 2012 15:31
par roro04
Hello!

Des nouvelles?

++

Re: Pc contaminé

Posté : lun. 30 avr. 2012 14:54
par micka76000
Image Bonjour,

Nous n'avons plus de nouvelle de l'auteur de ce sujet depuis plusieurs semaines. Nous considérons donc ce problème comme résolu ou abandonné par son auteur. La prochaine fois, merci de nous tenir au courant de l'évolution de votre problème, ou à faire un UP régulièrement !

Ce sujet est verrouillé, si vous souhaitez le reprendre, merci de contacter par message privé un membre de l'équipe de modération du forum.

À bientôt sur FEI !
Heures au format UTC+02:00
Page 1 sur 1
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/