Résolu : Soupçons sur une infection

[Armel]

Bonsoir le forum,

 

Depuis quelque temps mon PC rame et je soupçonne une méchante infection,

 

Pouvez-vous svp m'indiquer la démarche à suivre pour tout vérifier...

 

J'ai Windows Seven et j'ai Avira Antivir Personnel (version 2010 à jour), Malwarebytes Anti-malware et Cleaner d'installés

 

Malgré une analyse complète avec ces 2 premiers, aucune infection trouvée.

 

J'ai cependant parfois le message suivant avec Antivir (voir copie ci-dessous),

 

 

Mon gestionnaire de tâches m'indique des applications dont je ne connais pas leur origine comme par exemple : "BluetoothHeadsetProxy.exe*32" ou "BTStackServer.exe"

 

 

Je vous remercie d'avance pour votre aide car j'hésite à tout reformater...!!

 

 

Cordialement

Modifié le 11 novembre 2010 par Armel

[nardino]

Bonjour

 

Rien d'anormal dans ce que tu décris pour le moment.

 

Concernant les deux exe, ils sont liés à la fonction Bluetooth dont ton pc est équipé.

bluetoothheadsetproxy.exe - Ce qui est bluetoothheadsetproxy.exe?

 

Pour l'alerte Avira, peux-tu nous dire à quoi correspond D: dans ton arborescence : une partition ou un périphérique externe ?

As-tu vacciné ton pc avec USBFix ou USB-Set ?

 

Si c'est le cas, tu peux désactiver le blocage de l'autorun par Avira.

Voici comment faire.

Dans la configuration de Antivir, Mode expert, Guard, Recherche, Autres actions, tu décoches "Bloquer la fonction d'auto-démarrage".

 

Pour la lenteur du pc, examine les pistes fournies par cet article

http://forum.zebulon.fr/machine-qui-rame-tres-lente-par-ici-t166511.html

@+

[Armel]

Bonjour nardino,

 

merci pour votre réponse et les liens qui j'en suis sûr m'éclaireront un peu plus sur mon problème,

 

Concernant vos questions :

 

- D: correspond à une partition de mon disque interne,

- par contre je ne connais pas du tout USBFix ou USB-Set et je ne sais pas si je saurais l'utiliser !!!

 

Est-ce qu'il est compliqué et compatible avec mon antivirus Avira ou MBAB ??

 

Je me permettrai de mettre sur ce fil un rapport Hijackthis si nécessaire,

 

Je lirai attentivement tous les liens joints et voir du côté de USBFix ce soir, une fois à la maison après mon boulot,

 

P.S : je viens de trouver un lien intéréssant au sujet de USBFix sur le site Malekal, je pense que ça répondra à ma question ci-dessus

 

Merci encore pour votre aide

 

Bonne journée à vous

Modifié le 10 novembre 2010 par Armel

[nardino]

Bonjour,

Fais analyser le fichier autorun.inf qui se trouve sur la partition D:, sur Virus Total

Poste le rapport.

Télécharge ZHPDiag de Nicolas Coolman sur ton bureau.

 

• Clique sur pour lancer l'installation.
  Clique sur pour lancer le programme.

 

Sous Vista et Sept , il faut cliquer droit dessus et dans le menu contextuel sur Exécuter en tant qu'administrateur.

Clique sur pour vérifier si une mise à jour du logiciel est disponible.

Clique sur pour lancer le scan.

Clique sur quand le scan sera terminé pour mettre le rapport dans le presse-papier.

 

Poste ce dernier dans ta réponse en l'hébergeant sur

Referme l'outil.

Le rapport sera enregistré sur le bureau.

@+

[Armel]

Re bonsoir nardino, le forum,

 

Voilà je viens d'éxécuter la démarche demandée sauf pour Virus Total où le fichier D: AUTORUN.INF n'est pas autorisé à l'ouverture !!!

 

Ci-dessous le message obtenu :

 

 

 

Sinon voici le rapport avec ZHPFix :

 

Mon lien

 

Merci d'avance

 

Cordialement

[nardino]

Bonjour.

 

Pour Autorun.inf, c'est normal s'il est bloqué par Antivir.

Voici comment faire pour désactiver cette protection qui semble poser problème à beaucoup de monde.

Dans la configuration de Antivir, Mode expert, Guard, Recherche, Autres actions, tu décoches "Bloquer la fonction d'auto-démarrage".

 

 

Tu retentes l'analyse par Virus Total

 

Lance ZHPFix de Nicolas Coolman

 

Traite ces lignes comme indiqué

 

O69 - SBI: C:\Users\Armel\AppData\Roaming\Mozilla\Firefox\Profiles\\2t21jkn2.default\searchplugins\askcom.xml

O69 - SBI: SearchScopes [HKCU] {171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E} - (Ask Search) - http://websearch.ask.com

 

Poste le rapport.

Télécharge AD-Remover sur ton bureau.

 

Double clique sur AD-R.exe

Clique sur le bouton Nettoyer.

Poste le rapport qui va s'ouvrir en fin de scan.

Le rapport est sauvegardé sous C:\Ad-report-SCAN[1].txt

Puis ferme le programme par Quitter.

 

Mets à jour Java.

-Java Runtime Environment (JRE)6u22 :

http://java.sun.com/javase/downloads/index.jsp

Clique sur Download Java Runtime Environment (JRE) 6 update22

Dans la page suivante, choisis Windows dans Platform coche I agree to the Java SE Runtime Environment 6 License Agreement et Continue

Dans la nouvelle page, coche Windows Offline Installation, et clique sur jre-6u22-windows-i586.exe //15.33MB.

Tu l'installeras hors connexion.

Il existe une version pour les systèmes 64bits.

 

Donne des nouvelles après cela.

@+

[Armel]

Re,

 

Désolé pour le retard mais j'avoue que j'ai eu un peu de mal pour réaliser ces opérations,

 

- Virus Total, c'est bon, j'ai pu analyser AUTORUN.INF comme vous l'avez indiqué et aucun résultat positif 0/43.

 

- ZHPFix : avec un peu de difficulté, j'ai trouvé et supprimé les 2 lignes citées dans votre précédente réponse (en fait j'ai fait d'abord "exporter un rapport" puis cliqué sur "OK" pour pourvoir sélectionner les 2 lignes et ensuite "Nettoyer")

 

J'espère que c'était la bonne méthode,

 

Par contre, à quoi correspondent ces 2 lignes ???

Quels peuvent être leur méfaits ???

Sinon qu'est ce que vous pensez de tout ça, est-ce une infection importante ??

 

- Java sun : je n'ai pas réussi à trouver la bonne mise à jour avec le nom exacte que vous indiquez !!!!,

 

 

- Ad-Remover, j'ai fait d'abord un scan et ensuite un nettoyage, ci-joint les 2 rapports :

J'espère n'avoir rien oublié et merci encore pour votre soutien,

SCAN :.

======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======

.

Mis à jour par C_XX le 19/05/10 à 19:20

Contact: AdRemover.contact@gmail.com

Site web: Orange

.

Lancé à: 23:46:42 le 10/11/2010 | Mode normal | Option: SCAN

Exécuté de: C:\Ad-Remover\ADR.exe

SE: Microsoft Windows 7 Édition Familiale Premium ( - X64)

Nom du PC: Armel-PC (ASUSTeK Computer Inc. N71Vn)

Utilisateur actuel: Armel

.

============== ÉLÉMENT(S) TROUVÉ(S) ==============

.

.

C:\Users\Armel\AppData\Roaming\Mozilla\FireFox\Profiles\2t21jkn2.default\searchplugins\askcom.xml

.

HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

.

.

============== SCAN ADDITIONNEL ==============

.

* Mozilla FireFox Version 3.5.11 (fr) *

.

C:\Users\Armel\..\2t21jkn2.default\prefs.js - browser.search.defaultenginename: Bing

C:\Users\Armel\..\2t21jkn2.default\prefs.js - browser.search.defaulturl: hxxp://www.bing.com/search?FORM=IEFM1&q=

C:\Users\Armel\..\2t21jkn2.default\prefs.js - browser.startup.homepage: hxxp://go.microsoft.com/fwlink/?LinkId=69157

C:\Users\Armel\..\2t21jkn2.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.11

C:\Users\Armel\..\2t21jkn2.default\prefs.js - keyword.URL: hxxp://www.bing.com/search?FORM=IEFM1&q=

.

.

* Internet Explorer Version 8.0.7600.16385 *

.

[HKCU\Software\Microsoft\Internet Explorer\Main]

.

AutoHide: yes

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\Windows\system32\blank.htm

Search bar: Preserve

Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Show_ToolBar: yes

Start Page: hxxp://www.google.fr/

.

[HKLM\Software\Microsoft\Internet Explorer\Main]

.

AutoHide: yes

Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=69157

Default_Search_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Delete_Temp_Files_On_Exit: yes

Local Page: C:\Windows\SysWOW64\blank.htm

Search Page: hxxp://go.microsoft.com/fwlink/?LinkId=54896

Start Page: hxxp://go.microsoft.com/fwlink/?LinkId=69157

.

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

.

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

.

========================================

.

C:\Ad-Remover\Quarantine: 0 Fichier(s)

C:\Ad-Remover\Backup: 0 Fichier(s)

.

C:\Ad-Report-SCAN[1].txt - 2464 Octet(s)

.

Fin à: 23:49:55, 10/11/2010

.

============== E.O.F - SCAN[1] ==============

 

CLEAN :

 

.

======= RAPPORT D'AD-REMOVER 2.0.0.0,D | UNIQUEMENT XP/VISTA/7 =======

.

Mis à jour par C_XX le 19/05/10 à 19:20

Contact: AdRemover.contact@gmail.com

Site web: Orange

.

Lancé à: 23:52:26 le 10/11/2010 | Mode normal | Option: CLEAN

Exécuté de: C:\Ad-Remover\ADR.exe

SE: Microsoft Windows 7 Édition Familiale Premium ( - X64)

Nom du PC: Armel-PC (ASUSTeK Computer Inc. N71Vn)

Utilisateur actuel: Armel

.

============== ÉLÉMENT(S) NEUTRALISÉ(S) ==============

.

.

C:\Users\Armel\AppData\Roaming\Mozilla\FireFox\Profiles\2t21jkn2.default\searchplugins\askcom.xml

 

(!) -- Fichiers temporaires supprimés.

.

HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}

.

.

============== SCAN ADDITIONNEL ==============

.

* Mozilla FireFox Version 3.5.11 (fr) *

.

C:\Users\Armel\..\2t21jkn2.default\prefs.js - browser.search.defaultenginename: Bing

C:\Users\Armel\..\2t21jkn2.default\prefs.js - browser.search.defaulturl: hxxp://www.bing.com/search?FORM=IEFM1&q=

C:\Users\Armel\..\2t21jkn2.default\prefs.js - browser.startup.homepage: hxxp://go.microsoft.com/fwlink/?LinkId=69157

C:\Users\Armel\..\2t21jkn2.default\prefs.js - browser.startup.homepage_override.mstone: rv:1.9.1.11

C:\Users\Armel\..\2t21jkn2.default\prefs.js - keyword.URL: hxxp://www.bing.com/search?FORM=IEFM1&q=

.

.

* Internet Explorer Version 8.0.7600.16385 *

.

[HKCU\Software\Microsoft\Internet Explorer\Main]

.

AutoHide: yes

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Do404Search: 0x01000000

Enable Browser Extensions: yes

Local Page: C:\Windows\system32\blank.htm

Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896

Show_ToolBar: yes

Start Page: hxxp://fr.msn.com/

.

[HKLM\Software\Microsoft\Internet Explorer\Main]

.

AutoHide: yes

Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome

Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Delete_Temp_Files_On_Exit: yes

Local Page: C:\Windows\SysWOW64\blank.htm

Search bar: hxxp://search.msn.com/spbasic.htm

Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

Start Page: hxxp://fr.msn.com/

.

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS]

.

Tabs: res://ieframe.dll/tabswelcome.htm

Blank: res://mshtml.dll/blank.htm

.

========================================

.

C:\Ad-Remover\Quarantine: 1 Fichier(s)

C:\Ad-Remover\Backup: 14 Fichier(s)

.

C:\Ad-Report-CLEAN[1].txt - 2724 Octet(s)

C:\Ad-Report-SCAN[1].txt - 2588 Octet(s)

.

Fin à: 23:55:27, 10/11/2010

.

============== E.O.F - CLEAN[1] ==============

Modifié le 10 novembre 2010 par Armel

[nardino]

Bonsoir

 

Un lien pour Java : Java SE Runtime Environment 6u22

Concernant ZHP, laisse tomber

 

Où en sont tes problèmes.

0

[Armel]

Merci nardino pour ce nouveau lien concernant Java sun,

 

Concernant la lenteur, c'est impecable pour l'instant en espérant que cela perdure,

 

Une autre remarque importante, à ce jour les morceaux de musique que j'écoutais sur youtube notamment étaient aléatoirement sacaddés par un arrêt d'1 ou 2 secondes avec un bruit bizarre,

 

J'ai écouté plusieurs morceaux depuis la mise en oeuvre de votre diagnostic et aucun blocage pour le moment...c'est trés bon signe,

 

Concernant ZHP, laisse tomber

 

Par contre, je n'ai pas compris ce que vous voulez dire par votre phrase ci-dessus ?? Vous voulez dire, mes questions que j'ai posées ??

 

En tout cas mille mercis pour toute votre implication dans les conseils et l'aide que vous m'avez apportés.

 

J'attends encore de tester mon ordinateur une journée de plus pour m'assurer que mon problème est réellement réglé avec le bon espoir de mettre ce fil en "Résolu".

 

Bonne nuit à vous,

 

P.S : sinon, j'ai intallé USBFix suite à votre conseil du début de fil,

 

Voici le rapport :

 

############################## | UsbFix 7.034 | [Recherche]

 

Utilisateur: Armel (Administrateur) # Armel-PC [ASUSTeK Computer Inc. N71Vn]

Mis à jour le 25/10/10 par El Desaparecido / C_XX

Lancé à 01:38:15 | 11/11/2010

Site Web: TEAM X SCRIPT : UsbFix - AD-Remover - FindyKill

Contact: eldesaparecido@teamxscript.org

 

CPU: Intel® Core2 Duo CPU P8700 @ 2.53GHz

CPU 2: Intel® Core2 Duo CPU P8700 @ 2.53GHz

Microsoft Windows 7 Édition Familiale Premium (6.1.7600 64-Bit) #

Internet Explorer 8.0.7600.16385

 

Pare-feu Windows: Activé

RAM -> 4095 Mo

C:\ (%systemdrive%) -> Disque fixe # 75 Go (16 Go libre(s) - 21%) [OS] # NTFS

D:\ -> Disque fixe # 209 Go (62 Go libre(s) - 30%) [DATA] # NTFS

E:\ -> CD-ROM

F:\ -> Disque fixe # 149 Go (137 Go libre(s) - 92%) [OS] # NTFS

G:\ -> Disque fixe # 149 Go (129 Go libre(s) - 87%) [] # NTFS

H:\ -> CD-ROM

I:\ -> Disque amovible # 967 Mo (917 Mo libre(s) - 95%) [uSB DISK] # FAT

J:\ -> Disque fixe # 298 Go (235 Go libre(s) - 79%) [FreeAgent Drive] # NTFS

 

################## | Éléments infectieux |

 

 

Présent! D:\Autorun.inf

Présent! D:\start.exe

 

################## | Registre |

 

 

################## | Mountpoints2 |

 

HKCU\.\.\.\.\Explorer\MountPoints2\{f43d719d-ba7a-11df-b0a6-f612165c9327}

Shell\AutoRun\Command = I:\iStudio.exe

 

 

################## | Vaccin |

 

(!) Cet ordinateur n'est pas vacciné!

 

################## | E.O.F |

Modifié le 11 novembre 2010 par Armel

[nardino]

Bonjour

 

Pour USBFix , je ne t'avais pas demandé de le passer mais je voulais savoir simplement si tu l'avais déjà utilisé.

Relance-le et clique sur Suppression.

Puis ensuite tu relances et tu désinstalles.

@+