machine infecté et à nettoyer [résolu]

[Arthur Dent]

Bonjour,

 

je suis sur la machine d'un ami, il y a rien qui va et il me semble qu'il y a d'infection et aussi du nettoyage à faire.

 

Ici le rapport de ZHP

Cijoint.fr - Service gratuit de dépôt de fichiers

 

ici le rapport de malware

Cijoint.fr - Service gratuit de dépôt de fichiers

 

 

Sinon c'est exact qu'il n'y a pas d'antivirus ni de parefeu installé? Lequelle conseillez vous?

 

Un grand merci d'avance,

Arthur

Modifié le 4 février 2011 par Arthur Dent

[bernard53]

Bonjour

 

Pas d'antivirus et voila on attrappe de tout

 

Fait ceci s.t.p

 

1-Télécharge Antivir ici.

 

Antivirus gratuit - Avira AntiVir

 

ensuite ceci.

 

 

*se mettre hors ligne

 

*désactiver absolument tous les programmes de sécurité.

 

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

G2 - GCE: Preference [user Data\Default] [bdcfkjjffkboloijgealjeijakofmalg] Interest Recognizer for Freecompressor v.3.4.1545.153 (Activé)

G2 - GCE: Preference [user Data\Default] [bjeikeheijdjdfjbmknpefojickbkmom] Offerbox v.2.1.3262.95 (Activé)

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2769726

R3 - URLSearchHook: Online Radio 1.1 Toolbar - {343db173-0e5a-4f2a-b7bb-71a49085d70e} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.7.3) -- C:\Program Files\Online_Radio_1.1\tbOnl1.dll

R3 - URLSearchHook: SearchElf 1.2 Toolbar - {f4e6547e-325b-403c-a3bb-ad29ed37a92f} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.7.3) -- C:\Program Files\SearchElf_1.2\tbSea0.dll

O2 - BHO: ShopperReports - {100EB1FD-D03E-47fd-81F3-EE91287F9465} . (.SmartShopper Inc. - ShopperReports.) -- C:\Program Files\ShopperReports3\bin\3.0.517.0\ShopperReports.dll

O2 - BHO: Babylon toolbar helper - {2EECD738-5844-4a99-B4B6-146BF802613B} . (.Babylon BHO - Pas de description.) -- C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.1\bh\BabylonToolbar.dll

O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngin1.dll

O2 - BHO: Online Radio 1.1 Toolbar - {343db173-0e5a-4f2a-b7bb-71a49085d70e} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Online_Radio_1.1\tbOnl1.dll

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline

O2 - BHO: Interest recogniser for Freecompressor (powered by Spointer) - {a83c3565-302c-4bf8-b000-6b6f1811d892} . (.Freecompressor - Interest Recognizer for Freecompressor.) -- C:\Program Files\FreeCompressor\spointer\extensions\freecompressor_air_ie.dll

O2 - BHO: SearchElf 1.2 Toolbar - {f4e6547e-325b-403c-a3bb-ad29ed37a92f} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\SearchElf_1.2\tbSea0.dll

O2 - BHO: OfferBox - {FC0D62C2-9640-4AEB-A5D5-CF25DF11FA8C} . (.Secure Digital Services Limited - OfferBox.) -- C:\Program Files\OfferBox\OfferBoxBHO.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} . (.Yahoo! Inc. - Yahoo! Toolbar.) -- C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Online Radio 1.1 Toolbar - {343db173-0e5a-4f2a-b7bb-71a49085d70e} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\Online_Radio_1.1\tbOnl1.dll

O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\ConduitEngine\ConduitEngin1.dll

O3 - Toolbar: SearchElf 1.2 Toolbar - {f4e6547e-325b-403c-a3bb-ad29ed37a92f} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files\SearchElf_1.2\tbSea0.dll

O3 - Toolbar: Babylon Toolbar - {98889811-442D-49dd-99D7-DC866BE87DBC} . (.Babylon Ltd. - Pas de description.) -- C:\Program Files\BabylonToolbar\BabylonToolbar\1.4.19.1\BabylonToolbarTlbr.dll

O4 - Global Startup: C:\Documents And Settings\jose-louison\Menu Démarrer\Programmes\Navigateur OfferBox.lnk . (.Secure Digital Services Limited.) -- C:\Program Files\OfferBox\OfferBoxLauncher.exe

O8 - Extra context menu item: Add to Windows &Live Favorites - (.not file.) - http:\\favorites.live.com\quickadd.aspx

O9 - Extra button: &Ajout Direct dans Windows Live Writer - {C5428486-50A0-4a02-9D20-520B59A9F9B2} . (.SmartShopper Inc. - ShopperReports.) -- C:\Program Files\ShopperReports3\bin\3.0.517.0\ShopperReports.dll

O9 - Extra button: &Ajout Direct dans Windows Live Writer - {C5428486-50A0-4a02-9D20-520B59A9F9B3} . (.SmartShopper Inc. - ShopperReports.) -- C:\Program Files\ShopperReports3\bin\3.0.517.0\ShopperReports.dll

O9 - Extra button: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} . (.SmartShopper Inc. - ShopperReports.) -- C:\Program Files\ShopperReports3\bin\3.0.517.0\ShopperReports.dll

O9 - Extra button: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} . (.SmartShopper Inc. - ShopperReports.) -- C:\Program Files\ShopperReports3\bin\3.0.517.0\ShopperReports.dll

O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] -- conduitEngine

O42 - Logiciel: Fissa - (.Secure Digital Services.) [HKLM] -- {4BD271AB-66E2-4D58-AF88-80FE3B0770C4}

O42 - Logiciel: OfferBox Browser - (.Secure Digital Services Limited.) [HKLM] -- OfferBox Browser

O42 - Logiciel: ResultBar 1.0 build 112 - (.Pas de propriétaire.) [HKLM] -- ResultBar

O42 - Logiciel: SearchElf 1.2 Toolbar - (.SearchElf 1.2.) [HKLM] -- SearchElf_1.2 Toolbar

O42 - Logiciel: ShopperReports - (.SmartShopper.) [HKLM] – ShopperReportsSA

[HKCU\Software\BabylonToolbar]

[HKCU\Software\Conduit]

[HKCU\Software\FissaSearch]

[HKCU\Software\OfferBox]

[HKCU\Software\PriceGong]

[HKCU\Software\SearchElf_1.2]

[HKCU\Software\ShopperReports3]

[HKCU\Software\Spointer]

[HKCU\Software\clickpotatolitesa]

[HKCU\Software\conduitEngine]

[HKLM\Software\ClickPotatoLite]

[HKLM\Software\Conduit]

[HKLM\Software\FissaSearch]

[HKLM\Software\OfferBox]

[HKLM\Software\SearchElf_1.2]

[HKLM\Software\ShopperReports3]

O43 - CFD: 22/12/2010 - 01:22:14 ----D- C:\Program Files\BabylonToolbar

O43 - CFD: 01/12/2010 - 18:11:42 ----D- C:\Program Files\ClickPotatoLite

O43 - CFD: 01/12/2010 - 17:57:50 ----D- C:\Program Files\Conduit

O43 - CFD: 04/01/2011 - 22:26:22 ----D- C:\Program Files\ConduitEngine

O43 - CFD: 01/12/2010 - 18:02:24 ----D- C:\Program Files\OfferBox

O43 - CFD: 01/12/2010 - 18:16:40 ----D- C:\Program Files\ResultBar

O43 - CFD: 22/12/2010 - 03:06:54 ----D- C:\Program Files\SearchElf_1.2

O43 - CFD: 01/12/2010 - 18:11:24 ----D- C:\Program Files\ShopperReports3

SR - | Disabled 17/07/2010 0 | C:\DOCUME~1\JOSE-L~1\LOCALS~1\Temp\mc22.tmp (mchInjDrv) . (.Pas de propriétaire.) - C:\DOCUME~1\JOSE-L~1\LOCALS~1\Temp\mc22.tmp

O47 - AAKE:Key Export SP - "C:\Program Files\CA\eTrust Antivirus\InocIT.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --

O47 - AAKE:Key Export SP - "C:\Program Files\CA\eTrust Antivirus\Realmon.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --

O47 - AAKE:Key Export SP - "C:\Program Files\CA\eTrust Antivirus\InoRpc.exe" [Enabled] .(.Pas de propriétaire - Pas de description.) (.not file.) --

emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [H] ("coller les lignes Helper").

 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment qui apparaitront.

 

Vérifie :

- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

- que les lignes soient disposées les unes en dessous des autres.

 

* Puis clique sur le bouton [OK].

> À ce moment là, il apparaitra au début de chaque ligne une petite case vide. Ne touche plus à rien !

 

!! Déconnecte toi d'internet, désactive tes défenses (anti-virus, anti-spyware) et ferme bien toutes autres applications (navigateurs compris) !!

 

 

* Clique sur le bouton [Tous]. Vérifies que toutes les lignes soient bien cochées.

 

* Enfin clique sur le bouton [Nettoyer].

 

 

-> laisse travailler l'outil et ne touche à rien ...

 

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

Puis mets MalwarersBytes a jour et refait un scan complet. Supprimes tout ce qu'il trouve.

Mets le rapport.

 

Ensuite ceci fait, mets antivir bien a jour fait un scan complet du pc aussi.

[Arthur Dent]

Bonjour Bernard 53,

 

merci beaucoup pour ta réponse!

Il y a pas long temps tu m'as déjà aidé à réparer ma bécane à moi, merci donc pour ce coup de main pour mon pote.

Moi aussi j'ai haluciné en voyant qu'il n'a ni parefeu ni antivirus.

Par rapport au premier rapport ZHP j'ai installé Avast et Kaspersky, les gratuits. Puis j'ai désinstallé quelques toolbars.

Là j'ai pas le temps mais je m'occuperai de tes consignes d'ici fin weekend. Tu aura les nouveaux rapport ZHP et maleware

 

bon weekend

Arthur

[bernard53]

Attention surtout ne pas installé deux antivirus sur le même pc cela va créer des conflits.

Après bien sur garde Avast ou un autre Antivirus.

[Arthur Dent]

Salut Bernard,

 

désolé c'était un peu long.

Voici les rapports

 

ZHPFix après nettoyage

Cijoint.fr - Service gratuit de dépôt de fichiers

 

ZHPDiag après nettoyage

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Malware sera pour plus tard.

 

 

Sinon l'ordi reste ultralent.

Au démarrage il y a une fenetre windows installer qui s'ouvre et qui tourne pendant un moment, or aucune installation est lancé.

Et l'écran continu à clignoter à mort.

 

à bientot,

Arthur

[Arthur Dent]

Salut Bernard,

 

voici le rapport malware

Cijoint.fr - Service gratuit de dépôt de fichiers

 

à tout à l'heure,

Arthur

[bernard53]

OK super tout est OK..

 

Juste ceci pour du superflus

*se mettre hors ligne

 

*désactiver absolument tous les programmes de sécurité.

 

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

O4 - Global Startup: C:\Documents And Settings\jose-louison\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.2.lnk.disabled . (.Pas de propriétaire.) -- C:\Documents And Settings\jose-louison\Menu Démarrer\Programmes\Démarrage\OpenOffice.org 3.2.lnk.d

O42 - Logiciel: Fonction de recherche dans Messenger - (.Pas de propriétaire.) [HKCU] -- {8C3953BD-78C1-4615-8957-626FE7490B1E}

[HKCU\Software\toolbar]

O69 - SBI: SearchScopes [HKCU] {afdbddaa-5d3f-42ee-b79c-185a7020515b} - (SearchElf 1.2 Customized Web Search) - {searchTerms} - Bing

emptytemp

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

* Une fois l'outil ZHPFix ouvert, clique sur le bouton [H] ("coller les lignes Helper").

 

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment qui apparaitront.

 

Vérifie :

- que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

- que les lignes soient disposées les unes en dessous des autres.

 

* Puis clique sur le bouton [OK].

> À ce moment là, il apparaitra au début de chaque ligne une petite case vide. Ne touche plus à rien !

 

!! Déconnecte toi d'internet, désactive tes défenses (anti-virus, anti-spyware) et ferme bien toutes autres applications (navigateurs compris) !!

 

 

* Clique sur le bouton [Tous]. Vérifies que toutes les lignes soient bien cochées.

 

* Enfin clique sur le bouton [Nettoyer].

 

 

-> laisse travailler l'outil et ne touche à rien ...

 

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

 

Puis puisque tout va bien.

 

 

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

 

Télécharge << DelFix >> de Xplode pour supprimer les logiciels qui ont servis a cette désinfection.

 

 

* Lance-le.

 

* A l'invite, [suppression] ()

 

* Un rapport va s'ouvrir à la fin, colle le dans la réponse

 

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]

 

 

Puis::

 

 

Bon maintenant on va mettre la restauration du système propre.

Pour cela:

 

1- Valides les touches Windows et Pause en même temps.

 

Puis Protection du système

 

Sur cette fenêtre décoches la case concernant le DD ou est installé ton système normalement C:

 

Valide et acceptes les demandes suivantes.

 

***Pour Windows 7** il faut valider l'onglet Configurer puis valider la désactivation de la restauration.

 

**Toujours sur cette même fenêtre : Il te faut donc maintenant recrée un nouveau point de restauration.

 

Coche cette même case et valides cela par l’onglet APPLIQUER puis onglet « CREER »

 

Nommes ce point PC- Clean: Valides.

 

Vous pouvez maintenant fermer toutes les fenêtres.

 

 

Ensuite as tu encore se soucis avec ton écran

 

si oui vérifies que tu n'as pas besoin de mettre à jour ta carte graphique ici.

 

Mes Drivers - détection en ligne automatique de la configuration matérielle et des drivers compatibles

[Arthur Dent]

Salut Bernard,

 

désolé, actuellement je n'ai pas accès à la machine de mon ami et ça risque d'attendre un peu.

Mais dès que possible j'appliquerai les corrections de système que tu m'as indiqué et je posterai les rapports finals.

 

merci encore, aussi de patienter,

Arthur

[bernard53]

Pas de soucis

[Arthur Dent]

Salut Bernard,

 

on a supprimé le rapport de ZHPFix en lancant Delfix, alors voilà le rapport delfix

Cijoint.fr - Service gratuit de dépôt de fichiers

 

 

 

 

puis un dernier rapport ZHPDiag

Cijoint.fr - Service gratuit de dépôt de fichiers

 

Là on va jeter un oeuil pour la carte graphique

 

à bientot

Arthur