Forums Zebulon.fr: Petit check-up / optimisation après infection - Forums Zebulon.fr

Bonjour à tous,

J'ai déjà du faire appel à vos lumières il y a quelque temps de cela, et me revoila suite à un Problème de souris.

Ayant trouvé des fichiers infectés - que j'ai effacer - j'aimerai par précaution vérifier que mon ordi est cette fois bel et bien sain que je sois enfin tranquille!!!

Pour infos, j'ai deja fait un scan via l'antivirus ESET Online (qui m'avait été recommandé lors de mes derniers problèmes) et je n'ai rien trouvé d'infecté à ce niveau là!

Par contre, avec Malwarebytes' j'ai donc trouvé deux fichiers infectés, mais j'aimerai etre sur qu'il n'y ait plus de soucis ailleurs (base de registres ou autre).

Je pourrais suivre les démarches proposées dans d'autres posts mais je n'ai pas envie de faire des manipulations qui seraient pire que le remède!

J'aimerai donc que quelqu'un puisse me proposer quelques vérifications supplementaires, pour ma tranquillité d'esprit

Merci d'avance pour l'aide que vous pourrez m'apporter!

Bonjour Tital,

---

Très Important!

>>> A faire immédiatement:
- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.
Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.
- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.
- TeaTimer de Spybot-S&D peut interférer avec nos utilitaires et causer certains problèmes. Le désactiver dès maintenant s'il est installé sur la machine à traiter: Lancer Spybot-S&D => "Mode Avancé". Outils (à gauche) => "Résident" et Décocher "Résident TeaTimer (...)" => OK.

>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

>>> Que faire à la réception de nouvelles instructions:

• Lire la totalité du message.
  
• Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau (ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller").
  
• Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
  
• NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.

>>> Comment répondre:
- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).
- Coller le contenu des rapports SANS y ajouter AUCUN formatage de texte (en citation, code, couleur etc...), le but étant pour nous faciliter leur interprétation.
De mon côté, j'utilise certains formatages de texte et/ ou certaines couleurs NON PAS pour faire joli mais juste pour attirer l'attention sur certains points afin d'éviter toute mauvaise manipulation risquant de créer des problèmes.

>>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.

---

>>> ZHPDiag/ Analyse: Télécharger, sur le Bureau ZHPDiag (par Nicolas Coolman) depuis ici.
Double-cliquer sur "ZHPDiag.exe" pour lancer l'installation du programme (Vista/ W7, cliquer-droit dessus => "Exécuter en tant qu'administrateur"). Suivre les instructions jusqu'à la fin.
Fermer toutes les applications et fenêtres ouvertes et lancer le programme via l'icône "ZHPDiag" ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPDiag". Cliquer sur Lancer le diagnostic (loupe) et patienter jusqu'à la fin (En cas de blocage sur O80, cliquez sur le tournevis pour le décocher).
Un rapport ZHPDiag.txt sera généré et sauvegardé automatiquement sur le Bureau.
Ne pas le poster directement ici car souvent trop long pour les limites du forum mais,
Aller sur le site : cjoint.com
Cliquer sur Parcourir, chercher le fichier et cliquer dessus. Cliquer sur Créer le lien CJoint.
Dans la page suivante --> , une adresse (http//...) sera créée. La copier /coller dans la prochaine réponse.

Merci à toi lance_yien de te pencher sur mon cas (encore devrais-je dire)!

Voilà le lien du rapport ZHPDiag (si je ne me suis pas trompé)

Lien CJoint.com AKttRTgV4xN

Bonjour,

Rien de méchant dans ton rapport
Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment.

>>> Programmes P2P: Ton rapport montre la présence de programme P2P (µTorrent, BitTorrent...) installé dans ta machine.
- Tout ce qui est lié aux applications type P2P/ Torrent devient de plus en plus dangereux pour les machines et les documents personnels et/ ou confidentiels qui y sont stockés.
Fini le partage entre des gens honnêtes. Les pirates, aussi, veulent partager avec le maximum d'internautes et mettent à disposition leurs applications partout où ils peuvent sous de faux noms aussi attractifs que possibles, des Cracks, keygen etc.
C'est OK, les programmes P2P ne sont pas tous dangereux en eux-mêmes (et c'est la preuve qu'il y en a qui le sont ) mais qui sait avec certitude lequel est bon et lequel est dangereux?.
- Penser au principe même de ce type de réseau qui n'est en rien bénéfique: Vous autoriser tout le monde à utiliser votre bande passante ce qui peut ralentir considérablement votre système et communiquer avec votre machine ce qui peut faciliter la tâche aux intrus pour déposer des bombes à retardement.
- En adhérant à ce type de réseau, non seulement, vous ouvrez délibérément des portes à tout et n'importe quoi mais aussi, vous forcez votre pare-feu et antivirus à les tolérer (c'est compris dans la procédure d'installation). On s'étonne après de ce qui arrive à sa machine ou on accuse son antivirus.
Prendre la sage décision de désinstaller tout programme de ce type et rester à l'écart de ce type de réseaux.
Les fichiers/dossiers détectés sont listés ci-dessous pour être supprimés par ZHPFix.


>>> Utiliser ZHPFix: Sélectionner et copier le texte suivant:

Citation

Lancer ZHPFix (raccourci sur le Bureau ou "Démarrer" => "Tous les programmes" => "ZHP" => "ZHPFix") et cliquer sur le bouton [H].
Vérifier que toutes les lignes copiées (et rien d'autre) apparaissent dans la fenêtre (et disposées exactement de la même façon) et clique sur le bouton [OK] puis sur sur le bouton [Tous].
Fermer toutes les applications et autres fenêtres en cours désactive (y compris Internet) et désactiver tous les programmes de protection (antivirus, pare-feu et antispyware).
Enfin, clique sur le bouton [Nettoyer] et laisser faire. Redémarrer le PC pour finir le nettoyage si demandé.

Copier/ coller le contenu du rapport qui s'ouvre dans la prochaine réponse. Ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt.


>>> Utiliser SecurityCheck: Télécharger, sur le Bureau Security Check (par screen317) depuis ici ou ici.
Fermer toutes les fenêtres et applications ouvertes et cliquer-droit sur SecurityCheck.exe => "Exécuter en tant qu'administrateur" pour lancer le programme.
Appuyer sur une touche comme demandé et suivre les indications.
Si un des programmes de sécurité demande la permission d'accéder à Internet depuis "dig.exe", acceptez.
Le Rapport "checkup.txt" s'ouvre à la fin. Poster son contenu.
Ce rapport ne sera pas enregistré automatiquement. Si vous voulez en garder une copie, cliquez sur "Fichier" => "Enregistrer sous", choisissez un endroit (Bureau par exemple) et cliquez sur "Enregistrer" en bas à droite.

>>> Rapports demandés à coller directement:

• ZHPFixReport.tx
• checkup.txt

Autres symptômes à vérifier?

Ce message a été modifié par lance_yien - 20 novembre 2011 - 09:55 .

Merci pour les indications! Voilà les rapports demandés:

Rapport ZHPFix :

Rapport de ZHPFix 1.12.3370 par Nicolas Coolman, Update du 17/11/2011
Fichier d'export Registre :
Run by Tital at 21/11/2011 15:00:06
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)
Web site : ZHPFix Fix de rapport

========== Logiciel(s) ==========
ABSENT Software Key: uTorrent

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\BitTorrent
SUPPRIME Key: HKCU\Software\eMule
ABSENT Key: HKLM\Software\Eset

========== Valeur(s) du Registre ==========
SUPPRIME {1F0718A0-9DF4-4FDF-95C9-678393FD860E}
SUPPRIME {57E09845-9E1E-423C-BEF2-3D466908E835}
SUPPRIME {BAA8A7EC-A21C-4719-9C5C-20C1BD42DDBD}
SUPPRIME {98D7F6D3-6AEE-460D-8732-D8C34E114FDC}
SUPPRIME MWPS Value: EnableUIADesktopToggle
SUPPRIME MWPS Value: FilterAdministratorToken
SUPPRIME MWPE Value: NoActiveDesktop
SUPPRIME MWPE Value: NoActiveDesktopChanges

========== Elément(s) de donnée du Registre ==========
REMPLACE Value NoActiveDesktopChanges : Good (0) - Bad (1)
SUPPRIME R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,MigrateProxy

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\Tital\AppData\Roaming\uTorrent
SUPPRIME Folder: C:\Program Files (x86)\uTorrent
SUPPRIME Folder: C:\Users\Tital\AppData\Roaming\teamspeak2
SUPPRIME Temporaires Windows: : 85
SUPPRIME Flash Cookies: 917

========== Fichier(s) ==========
SUPPRIME File: c:\users\tital\desktop\ordinateur.lnk
ABSENT Folder/File: c:\users\tital\appdata\roaming\teamspeak2
SUPPRIME Temporaires Windows: : 214
SUPPRIME Flash Cookies: 443

========== Tache planifiée ==========
SUPPRIME Task: {274C5330-9C1C-423C-83F7-A35AE9F3019C}
SUPPRIME Task: {909E8CC7-CD22-430E-8AE6-B4EE201F3829}


========== Récapitulatif ==========
3 : Clé(s) du Registre
8 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
5 : Dossier(s)
4 : Fichier(s)
1 : Logiciel(s)
2 : Tache planifiée


End of clean in 00mn 16s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 21/11/2011 15:00:06 [2046]



Rapport SecurityCheck :

Results of screen317's Security Check version 0.99.11
Windows 7 (UAC is enabled)
Internet Explorer 8
``````````````````````````````
Antivirus/Firewall Check:
avast! Free Antivirus
Virus Guard - powered by BitDefender
WMI entry may not exist for antivirus; attempting automatic update.
```````````````````````````````
Anti-malware/Other Utilities Check:
MVPS Hosts File
Malwarebytes' Anti-Malware
Java™ 6 Update 29
Adobe Reader X (10.1.1) - Français
Japanese Fonts Support For Adobe Reader 9
````````````````````````````````
Process Check:
objlist.exe by Laurent
Spybot Teatimer.exe is disabled!
Alwil Software Avast5 AvastSvc.exe
Alwil Software Avast5 AvastUI.exe
``````````End of Log````````````



Au niveau des autres choses à vérifier:

- Peut etre faire le nettoyage de la base de registre pour supprimer les clefs obsolètes?

- Sinon au demarrage de Windows, les icones de mes programmes sur le bureau apparaissent sous forme de carrés tout blanc pendant 2-3 secondes avant de reprendre leur visuel d'origine! C'est dû à un programme qui se charge je suppose?

Tital, le 21 novembre 2011 - 03:01 , dit :

Surtout pas, du moins pendant la désinfection. Quand on aura fini ensemble tu feras ce que tu veux de ta machine

Citation

Peut-être! On peut vérifier les fichiers système et le DD.

• Vérifier les fichiers système:
  1- Copier cette commande: sfc /scannow
  2- Cliquer sur "Démarrer" => "Tous les programmes" => "Accessoires" et cliquer-droit sur "Invite de commandes" => "Exécuter en tant qu'administrateur". Cliquer-droit dans l'angle haut à gauche => "Modifier" => "Coller" et presser la touche "Entrée"
  Laisser faire (ça peut être assez long). Le CD/DVD d'installation Windows peut être demandé selon les cas.
  Saisir exit et presser la touche "Entrée" pour fermer la fenêtre. Redémarrer la machine quand c'est fini.
  
  
• Vérifier le disque dur:
  1- Copier cette commande: chkdsk /f /r
  2- Cliquer sur "Démarrer" => "Tous les programmes" => "Accessoires" et cliquer-droit sur "Invite de commandes" => "Exécuter en tant qu'administrateur". Cliquer-droit dans l'angle haut à gauche => "Modifier" => "Coller" et presser la touche "Entrer".
  Saisir la lettre o et presser la touche "Entrée" pour confirmer la volonté d'exécuter la commande.
  Saisir exit et presser la touche "Entrée" pour fermer la fenêtre. Redémarrer la machine et patienter que la vérification se fasse avant l'affichage du Bureau de Windows.

>>> Analyse OTL: Télécharger, sur le Bureau OTL (par OldTimer) depuis ici ou ici.
Fermer toutes les applications et fenêtres ouvertes et cliquer-droit sur OTL.exe => "Exécuter en tant qu'administrateur" et copier/ coller ces lignes (commençant par netsvcs) dans l'espace sous "Personnalisation":

Citation

Sans rien changer, cliquer sur le bouton bleu Analyse et laisser faire.
A la fin du scan, 2 rapports seront créés: "OTL.txt" (qui s'ouvre dans le bloc-note) et "Extras.txt" (qui sera minimisé dans la Barre des tâches).
Ne pas les poster directement ici car souvent trop lourd pour les limites du forum.
Aller sur le site : cjoint.com
Cliquer sur Parcourir, chercher le fichier "OTL.txt" et cliquer dessus. Cliquer sur Créer le lien CJoint.
Dans la page suivante --> , une adresse (http//...) sera créée. Ouvre le Bloc-note et copier /coller cette adresse dedans.
Faire de même pour le fichier "Extras.txt".
Copier/ Coller les 2 adresses dans la prochaine réponse.

J'ai bien effectuer les deux invites de commandes (mais ca n'a eu l'air de n'avoir aucun effect par rapport à mes icones au démarrage - non pas que ca soit un probleme existentiel, mais j'aime bien savoir ce qui ne va pas sur ma machine ^^)

Sinon voilà les deux liens pour les rapports d'OTL:

Rapport OTL.txt

Rapport Extras.txt

C'est un problème tout court et on vient de commencer à t'aider pour le résoudre. On te demande d'être patient et surtout rien exiger!
Je t'ai demandé de patienter jusqu'à la fin de la désinfection pour toucher au Registre parce qu'une machine infectée est plus fragile et le plantage peut être catastrophique.
--

>>> Correction OTL: Fermer toutes les applications et fenêtres en cours et désactiver les programmes de protection (antivirus etc...) et lancer OTL.
Copier et coller la liste suivante (commençant par :OTL) dans l'espace sous "Personnalisation" (les : au début et le ] à la fin sont très importants, merci de vérifier).

Citation

Cliquer sur le bouton rouge Correction et laisser faire.
Si un ou plusieurs fichiers ne peuvent pas être supprimés normalement, le programme demandera de redémarrer la machine pour finir le processus, cliquer sur "Oui".
A la fin un rapport s'ouvre dans le bloc-note. Copier et le coller son contenu dans une nouvelle réponse. Fermer le rapport et OTL.


>>> Bitdefender: Tes rapports montrent des traces de "Bitdefender". Si tu l'as utilisé et désinstallé, télécharge et utilise leur utilitaire pour supprimer les restes.


>>> Contrôler et configurer les mises à jour Windows: Cliquer sur "Démarrer" => "Tous les programmes" => "Windows update" et installer toutes les Mises à jour critiques après avoir accepté l'installation de l'ActiveX (si proposé).
Cliquer sur "Démarrer" => "Tous les programmes" => "Windows Update". Cliquer sur "Modifier les paramètres" => "Installer les mises à jour automatiquement (recommandé)". Préférer "tous les jours" à une heure où le PC est allumé.


>>> Programmes en démarrage auto: Essaie de désactiver ces programmes avec CCleaner.

Citation

Lancer CCleaner => Outils => Démarrage. Dans la liste de droite, sélectionner l'entrée qui correspond à l'un des programmes et cliquer sur le bouton "Désactiver".
Fermer CCleaner et redémarrer pour vérifier s'il n'y a pas de problème apparent (réactiver le processus si nécessaire).
Répéter pour chaque programme.


>>> Rapports demandés à coller directement:

• OTL.txt

Est-ce mieux?

Ce message a été modifié par lance_yien - 21 novembre 2011 - 07:44 .

Désolé si ma derniere reponse t'as parue faire preuve d'impatience, je ne veux justement pas faire de betises, donc je te laisse me guider il n'y a pas de souci

J'ai de nouveau eu un plantage de souris qui se bloquait et ce quelque soit le port sur lequel je la branchais (mais bon, je commence à croire que j'ai un probleme de carte mère du coup).

Bref, voila le contenu du rapport OTL:


All processes killed
========== OTL ==========
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@adobe.com/FlashPlayer\ deleted successfully.
64bit-Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\MozillaPlugins\@microsoft.com/GENUINE\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{5C255C8A-E604-49b4-9D64-90988571CECB}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{5C255C8A-E604-49b4-9D64-90988571CECB}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{48d4a18b-bac8-11df-9a82-806e6f6e6963}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48d4a18b-bac8-11df-9a82-806e6f6e6963}\ not found.
Registry key HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{48d4a18b-bac8-11df-9a82-806e6f6e6963}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{48d4a18b-bac8-11df-9a82-806e6f6e6963}\ not found.
File D:\autostart.exe not found.
File PTYTEMP] not found.
File PTYFLASH] not found.

OTL by OldTimer - Version 3.2.31.0 log created on 11212011_195340

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...


Edit: Sinon pas de changement au démarrage, quel que soit le programme que je désactive.

Ce message a été modifié par Tital - 21 novembre 2011 - 08:05 .

Bonjour Tital,

Tital, le 21 novembre 2011 - 07:50 , dit :

C'est possible, bien sûr mais on fait une dernière recherche côté infection!

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment et télécharger, sur le Bureau:

• ComboFix© (par sUBs) depuis ici ou ici
• TDSSKiller.zip depuis ici et le dézipper TDSSKiller.zip (clic-droit dessus => "Extraire ici"). Glisser TDSSKiller.zip dans la corbeille pour le supprimer..

>>> ComboFix/Analyse: Fermer toutes les applications et fenêtres ouvertes, désactiver antivirus/ pare-feu/ antispyware et cliquer-droit sur "ComboFix.exe" => "Exécuter en tant qu'administrateur". Suivre les instructions en acceptant l'installation de la Console de Récupération (proposée pour Windows XP si pas installée).
NE PAS TOUCHER la machine avant la fin (même si les choses semblent ne pas avancer).
Quand c'est fini, un rapport (ComboFix.txt) s'affiche. Il est sauvegardé, automatiquement, à la racine de la partition système (généralement C:\). Copier/coller son contenu dans la prochaine réponse.


>>> TDSSKiller: Fermer toutes les fenêtres et applications en cours et désactiver antivirus et tout autre programme de protection.
Double-cliquer/Cliquer-droit sur TDSSKiller.exe => "Exécuter en tant qu'administrateur" pour lancer le programme et cliquer sur le bouton "Start Scan" et patienter jusqu'à la fin de l'analyse.
Si un fichier infecté est détecté, l'action par défaut sera "Cure" et si un fichier suspect est détecté, l'action par défaut sera "Skip".
Sans rien changer, cliquer sur le bouton "Continue".
Si vous êtes invité à redémarre la machine pour finir le processus (reboot the computer to complete the process), cliquez sur le bouton "Reboot Now". Le rapport sera sauvegardé à la racine de la partition système, là où Windows est installé (généralement C:\); son format est du type "TDSSKiller.[Version]_[Date]_[Heure]_log.txt" (par exemple, C:\TDSSKiller.2.2.0_20.12.2009_15.31.43_log.txt).
Si aucun redémarrage n'est requis, cliquer sur "Report". Un fichier texte s'ouvre et sera sauvegardé de la même manière.
Poster le contenu du rapport.

>>> Rapports demandés à coller directement:

• ComboFix.txt
• TDSSKiller_log.txt