Infection antimalware doctor

[Arnomoa]

Bonjour à l'équipe et aux intervenants,

suite à une infection par antimalware doctor et d'autres saloperie diverses (je viens "d'hériter" d'un pc sans protection depuis 1 an 1/2...), j'ai passé la machine à un scan complet avec avira et mbam, puis à un nettoyage avec ccleaner.

N'étant pas sûr d'avoir correctement éradiqué tous les "microbes" présents, j'ai fini par un diagnostique ZHPDiag.

Pourriez-vous m'indiquer si la machine est encore en danger et comment la soigner?

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Merci d'avance

[Apollo]

Bonjour,

 

Il y a encore du monde et pas du beau.

 

J'ai renommé et hébergé ComboFix renommé en plop.com: Download plop.com from Sendspace.com - send big files the easy way

 

Signale moi quand tu as récupéré le fichier que je puisse l'éliminer de l'hébergeur provisoire stp.

 

Enregistre-le sur le bureau et pas ailleurs.

Si l'outil ne fonctionnait pas en mode normal, passer en mode sans échec Comment démarrer Windows en mode sans échec : Astuces communes aux 2 systèmes XP et Vista

 

Je vais indiquer ci-après la procédure normale mais tu ne devras évidement pas le retélécharger puisque j'ai fait le renommage pour toi.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

Tutoriel officiel

 

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
  
• Assure toi que tous les programmes soient fermés avant de commencer.
  
• Double-clique ComboFix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt (si jamais).

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

NB: Si malgré tout, tu ne parviens pas à réparer la connexion, lis ce sujet stp.

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

 

@++

Modifié le 11 août 2010 par Apollo

[pear]

Bonjour,

 

Il y a encore plusieurs infections!

 

Si vous êtes sous Vista:Désactiver L'UAC ,avant sont utilisation.

Menu Démarrer \ Panneau de Configuration \ Comptes d'utilisateurs et protection des utilisateurs \ Comptes d'utilisateurs \ Activer ou désactiver le contrôle des comptes d'utilisateurs \ décoche la case Utiliser le contrôle ... et valider par OK ,

il sera demandé de redémarrer

 

 

Téléchargez AD-Remover sur le bureau

Déconnectez-vous et fermez toutes les applications en cours

Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .

Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel

Cliquez sur "OUI"

Double cliquer sur l'icône Ad-remover sur le bureau

Au menu principal choisir l'optionScanner et Validez

 

Patientez pendant le travail de l'outil.

Poster le rapport qui apparait à la fin .

Il est sauvegardé aussi sous C:\Ad-report.log

 

Ensuite

 

Relancer Ad- remover , choisir l'option Nettoyer

 

Il y aura 2 rapports à poster après Scanner et Nettoyer

 

Pour désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.

 

 

Prévention:

Désactiver l'autorun sur tous les lecteur (USB, CD, DVD, SATA, Firewire, etc.

Pour cela,sous Xp :

Copier/coller ,dans le bloc notes,ce qui suit ,(en vert)sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion­\Policies\Explorer]

"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Sous Vista/7

Copier/coller ce qui suiten vertdans le bloc notes,sans ligne blanche au début.mais une à la fin.

Windows Registry Editor Version 5.00

 

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers]

"DisableAutoplay"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]

@="@SYS:DoesNotExist"

 

Fichier ->Enregistrez sous..

Clic sur bureau à gauche

Dans type de fichier->Tous les fichiers

Dans Nom-> regis.reg.

Allez sur le bureau

Cliquez droit sur le fichier ->fusionner

Acceptez la modification du Régistre

[/color]

 

 

Télécharger Usb Fix , sur le bureau

 

Installez le avec les paramètres par défault

Vous devez désactiver la protection en temps réel de votre Antivirus qui peut considérer certains composants de ce logiciel comme néfastes.

* Pour cela, faites un clic droit sur l'icône de l'antivirus en bas à droite à côté de l'horloge puis Disable Guard ou Shield ou Résident...

Brancher les périphériques externes (clé USB, disque dur externe, etc...) sans les ouvrir

Si vous êtes sous Vistaésactiver L'UAC ,avant utilisation.

 

Faire un Clic-droit sur le raccourci Usbfix sur le bureau et choisir "Exécuter en tant qu'administrateur".

 

Lancer l' option 1(Recherche)

le rapport UsbFix.txt est sauvegardé à la racine du disque .

Faites en un copier/coller dans le bloc notes pour le poster.

 

Ensuite,

Lancer l'option 2(Suppression)

Le bureau disparait et le pc redémarre

Patientez le temps du scan.

le rapport UsbFix.txt est sauvegardé à la racine du disque

Faites en un copier/coller dans le bloc notes pour le poster.

 

 

Vaccination

Pour vous éviter une infection ultérieure:

Lancer l' Option 3 (vaccination)

 

 

Pour Désinstaller

Double clic sur le raccourci UsbFix sur le bureau

Lancer l' option 5 ( Désinstaller ) ....

 

Télécharger MBRCheck

ou là:

 

 

du lien suivant et sauvegarder sur le Bureau :

Sous Vista->Exécuter en tant que Administrateur

- Lancer l'outil par double-clic ; une fenêtre noire apparaîtra.

- Patienter une dizaine de secondes pour permettre à l'outil de compléter l'analyse.

- N'exécuter aucune action qui pourrait être proposée ;

appuyez alors alors sur la touche N puis Entrée deux fois.

Si rien n'est détecté, pressez touche Entrée

 

Si ce message apparait

 

Found non-standard or infected MBR.

des options s'afficheront

Taper Ypour avoir plus d'options ou N pour quitter

 

Options:

[1] Dump the MBR of a physical disk to file.

[2] Restore the MBR of a physical disk with a standard boot code.

[3] Exit.

 

Choisissez l'option 2 et en fonction de votre système

Available MBR codes:

[ 0] Default (Windows XP)

[ 1] Windows XP

[ 2] Windows Server 2003

[ 3] Windows Vista

[ 4] Windows 2008

[ 5] Windows 7

[-1] Cancel

 

Par exemple:

Selectionner option 2, puis 0 (zero) pour le disqque système et encore 0 (zero)pour le code MBR par défaut.

 

A la question Do you want to fix the MBR code?

Cliquer 'YES et valider par ENTREE

Ce message s'affiche:

Successfully wrote new MBR code!

taper Exit

- Un rapport texte sera créé sur le Bureau, nommé MBRCheck_date_heure

- copier/coller le contenu du rapport ici

Redémarrer .

 

Recherche de rootkit

Télécharger The Avenger par Swandog46 sur le Bureau .

 

Cliquez Enregistrer

Cliquer sur Bureau

Fermer la fenêtre:

Dézipper:par clic droit->Extraire ici:

Fermez toutes les fenêtres et toutes les applications en cours,

puis double-cliquez sur l'icône placée sur votre bureau(L'Epée):

 

The Avenger sait rechercher des rootkits cachés(par définition) .

Pour pour activer cette fonction:

Vérifiez que la case "Scan for rootkits" est bien cochée.( Elle l'est par défaut).

 

 

 

Ne pas autoriser The Avenger à désactiver automatiquement tous les rootkits qu'il trouve.

 

Cliquez sur Exécute.

la recherche de rootkits se fera au redémarrage , avant l'installation de Windows.

Un fichier log s'ouvrira que vous pourrez retrouver ici : C:\avenger.txt

Copiez /collez le résultat dans votre réponse.

Modifié le 11 août 2010 par pear

[Arnomoa]

Bonjour Apollo et pear,

 

merci pour vos réponses.

 

Apollo, j'ai téléchargé le fichier.

 

Je vais maintenant m'atteler à suivre vos directives, je vous donnerai des news rapidement. (je l'espère^^)

[Apollo]

Re,

 

Pear et moi avons une approche différente pour aborder ce sujet mais nous avons le même but: éliminer les nuisibles et rendre un pc propre ainsi que ses supports amovibles.

 

Mais tu dois choisir l'une ou l'autre des procédures, pas les deux.

Nous avons répondu en même temps, c'est pour cela que tu as eu deux propositions d'aide sinon nous travaillons à un conseiller dans un sujet.

 

Donc tu prends la procédure de pear ou la mienne; pour moi, ça m'est égal puisqu'on arrive au même résultat final

 

@++

[Arnomoa]

Merci Apollo,

 

j'ai pris les solutions dans l'ordre proposé et j'ai donc lancé la tienne.

 

J'ai d'abord voulu lancer combofix en mode sans echec et j'ai eu un message "erreur", la machine a redémarré et combofix s'est remis en route en "mode normal".

 

Voilà le rapport combofix:

Cijoint.fr - Service gratuit de dépôt de fichiers

[Apollo]

Ce rapport est plutôt surprenant; tu avais déjà utilisé ComboFix d'initiative? Car là il ne montre quasiment plus rien.

 

On va donc procéder par étapes, ZHPDiag soupçonne un rootkit de boot et pas ComboFix: on vérifiera cette contradiction.

 

1) Télécharge Ad-Remover de C-XX et Enregistre-le sur le bureau.

 

Ferme toutes les applications ouvertes pour l'installer.

 

Sous Vista: Désactiver provisoirement l'UAC comme expliqué ICI

 

Double-clique (Clic droit/exécuter comme administrateur pour Vista) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Scanner.

 

 

Le rapport se trouve aussi sous C:\Ad-Report.

Copie/colle-le dans ta réponse stp.

 

-----------------------------------------------------------------------------------------------

 

2) Double-clique (Clic droit/exécuter comme administrateur pour Vista) sur l'icône placée sur le bureau.

 

Si le firewall se manifeste, accorde les autorisations à l'outil pour qu'il puisse travailler.

 

Clique sur Nettoyer.

 

 

Le bureau va disparaitre, c'est normal!

 

Le rapport se trouve aussi sous C:\Ad-Report Clean.

Copie/colle-le dans ta réponse stp.

 

Réactiver l'UAC de Vista. (Si Vista bien sûr!).

 

La page d'accueil sera peut-être changée; il suffit de remettre sa page habituelle via les options internet.

 

Tu devras me poster les deux rapports stp. (en clair et sans l'héberger cette fois)

 

NB: en relisant mieux le rapport ZHPDiag, il semblerait que ce qu'il signale a été liquidé par les opérations de nettoyage auxquelles tu as procédé, mais deux vérifications valent mieux qu'une...

 

@++

Modifié le 11 août 2010 par Apollo

[Arnomoa]

Ok, je m'occupe de faire ça dans la foulée.

 

ps: je n'avais pas utilisé combofix avant, je ne connaissais d'ailleurs pas son existence

[Apollo]

J'ai édité mon post précédent pour y apporter une note en bas; tu ne l'as peut-être pas remarqué.

 

@++

[Arnomoa]

Oups, je n'avais pas vu...

 

Je viens de terminer les opérations, voilà les rapports:

 

 

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par C_XX le 26/07/10 à 12:00

Contact: AdRemover.contact[AT]gmail.com

Site web: Ad_Remover

 

C:\Program Files\Ad-Remover\main.exe (SCAN [1]) -> Lancé à 18:55:35 le 11/08/2010, Mode normal

 

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1 (X86)

std@ZACHARIAS (Hewlett-Packard HP Pavilion dv9500 Notebook PC)

 

============== RECHERCHE ==============

 

 

0,Dossier trouvé: C:\Program Files\Application Updater

0,Dossier trouvé: C:\Program Files\Letmin

0,Dossier trouvé: C:\Users\std\AppData\LocalLow\Sky-Banners

0,Dossier trouvé: C:\Users\std\AppData\LocalLow\Street-Ads

 

0,Clé trouvée: HKLM\Software\Freeze.com

0,Clé trouvée: HKCU\Software\AppDataLow\Software\MyWebSearch

0,Clé trouvée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\WhenU

 

 

============== SCAN ADDITIONNEL ==============

 

** Mozilla Firefox Version [3.6.8 (fr)] **

 

-- C:\Users\std\AppData\Roaming\Mozilla\FireFox\Profiles\vdzeb1f0.default\Prefs.js --

browser.startup.homepage, hxxp://fr.msn.com/

browser.startup.homepage_override.mstone, rv:1.9.2.8

 

========================================

 

** Internet Explorer Version [7.0.6001.18000] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

AutoHide: no

Enable Browser Extensions: yes

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page: hxxp://fr.msn.com/

Use Search Asst: no

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

AutoHide: yes

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157

Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Delete_Temp_Files_On_Exit: yes

Local Page: C:\Windows\system32\blank.htm

Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Start Page: hxxp://www.google.com

Use Custom Search URL: 1

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 1 Fichier(s)

 

C:\Ad-Report-SCAN[1].txt - 11/08/2010 (2230 Octet(s))

 

Fin à: 19:02:18, 11/08/2010

 

============== E.O.F ==============

 

 

 

 

 

======= RAPPORT D'AD-REMOVER 2.0.0.1,D | UNIQUEMENT XP/VISTA/7 =======

 

Mis à jour par C_XX le 26/07/10 à 12:00

Contact: AdRemover.contact[AT]gmail.com

Site web: Ad_Remover

 

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 19:03:09 le 11/08/2010, Mode normal

 

Microsoft® Windows Vista™ Édition Familiale Premium Service Pack 1 (X86)

std@ZACHARIAS (Hewlett-Packard HP Pavilion dv9500 Notebook PC)

 

============== ACTION(S) ==============

 

 

0,Dossier supprimé: C:\Program Files\Application Updater

0,Dossier supprimé: C:\Program Files\Letmin

0,Dossier supprimé: C:\Users\std\AppData\LocalLow\Sky-Banners

0,Dossier supprimé: C:\Users\std\AppData\LocalLow\Street-Ads

 

(!) -- Fichiers temporaires supprimés.

 

 

0,Clé supprimée: HKLM\Software\Freeze.com

0,Clé supprimée: HKCU\Software\AppDataLow\Software\MyWebSearch

0,Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\WhenU

 

 

============== SCAN ADDITIONNEL ==============

 

** Mozilla Firefox Version [3.6.8 (fr)] **

 

-- C:\Users\std\AppData\Roaming\Mozilla\FireFox\Profiles\vdzeb1f0.default\Prefs.js --

browser.startup.homepage, hxxp://fr.msn.com/

browser.startup.homepage_override.mstone, rv:1.9.2.8

 

========================================

 

** Internet Explorer Version [7.0.6001.18000] **

 

[HKCU\Software\Microsoft\Internet Explorer\Main]

AutoHide: no

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Enable Browser Extensions: yes

Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Start Page: hxxp://fr.msn.com/

Use Search Asst: no

 

[HKLM\Software\Microsoft\Internet Explorer\Main]

AutoHide: yes

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Local Page: C:\Windows\system32\blank.htm

Search bar: hxxp://search.msn.com/spbasic.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page: hxxp://fr.msn.com/

Use Custom Search URL: 1

 

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

 

========================================

 

C:\Program Files\Ad-Remover\Quarantine: 2 Fichier(s)

C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

 

C:\Ad-Report-CLEAN[1].txt - 11/08/2010 (2514 Octet(s))

C:\Ad-Report-SCAN[1].txt - 11/08/2010 (2359 Octet(s))

 

Fin à: 19:10:16, 11/08/2010

 

============== E.O.F ==============

 

 

 

Merci de ta réactivité