[RESOLU] PC lent et sites redirigés

[ramiko]

Bonjour à tous,

 

Mon poste présente les symptômes suivants : beaucoup plus lent depuis 2-3 semaines, et certains sites comme le site officiel sont redirigés vers des sites anti-spyware bidon (j'imagine qu'ils sont bidons)...

 

Merci pour votre aide

Modifié le 16 mai 2011 par ramiko

[bernard53]

Bonsoir

 

 

Installe Malewarebytes' Antimalware,

 

Malwarebytes : Malwarebytes Anti-Malware is a free download that removes viruses and malware from your computer

 

Prends bien la version FREE

*** Met-le à jour puis choisi, Exécuter un examen complet

 

*** Si une infection est trouvée, coche la case a coté et valides avec l’Onglet Supprimer la sélection

 

Poste le rapport final.

 

 

Ensuite ceci:

 

 

Télécharges << ZHPDiag>> (de Nicolas Coolman)

 

dezzipes le fichier sur ton bureau...

Fais un clic-droit sur l'icône ZHPDiag .exe et choisis "exécuter en tant qu'administrateur".

 

 

L'installation va créer raccourcis (ZHPDiag et ZHPFix et MBRchek) sur ton bureau

 

 

 

A la fin de l'installation ZHPDiag va se lancer....

 

Cliques sur l'icône "Options" (image du tournevis) et coches toutes les options.

Cliques sur "Lancer le diagnostique" (image de la loupe) et patiente...

 

A la fin du scan cliques sur l'icône "sauvegarder le fichier sous" (image de la disquette bleu) et enregistre le rapport sur ton bureau.

 

Mets le rapport ici car il prend bien de la place.

Cliquez ici.

ou la

Cijoint.fr - Service gratuit de dépôt de fichiers

[ramiko]

merci Bernard

 

Voici le rapport MBAM:

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Version de la base de donnes: 6566

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

13/05/2011 10:44:00

mbam-log-2011-05-13 (10-44-00).txt

 

Type d'examen: Examen complet (C:\|D:\|)

Elment(s) analys(s): 447401

Temps coul: 1 heure(s), 4 minute(s), 42 seconde(s)

 

Processus mmoire infect(s): 0

Module(s) mmoire infect(s): 0

Cl(s) du Registre infecte(s): 0

Valeur(s) du Registre infecte(s): 0

Elment(s) de donnes du Registre infect(s): 0

Dossier(s) infect(s): 0

Fichier(s) infect(s): 1

 

Processus mmoire infect(s):

(Aucun lment nuisible dtect)

 

Module(s) mmoire infect(s):

(Aucun lment nuisible dtect)

 

Cl(s) du Registre infecte(s):

(Aucun lment nuisible dtect)

 

Valeur(s) du Registre infecte(s):

(Aucun lment nuisible dtect)

 

Elment(s) de donnes du Registre infect(s):

(Aucun lment nuisible dtect)

 

Dossier(s) infect(s):

(Aucun lment nuisible dtect)

 

Fichier(s) infect(s):

c:\documents and settings\ramikolaclasse\application data\sun\java\deployment\cache\6.0\42\62f28eea-16de733f (Spyware.Passwords.XGen) -> Quarantined and deleted successfully.

 

 

et le deuxième rapport (très complet cet outil je connaissais pas) :

 

Cliquez ici.

[bernard53]

ok fait ceci.

 

 

* Copie le tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C)

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} Clé orpheline

O17 - HKLM\System\CCS\Services\Tcpip\..\{5A5597D5-FF3B-4691-8786-8ADF6A357886}:

O17 - HKLM\System\CS1\Services\Tcpip\..\{5A5597D5-FF3B-4691-8786-8ADF6A357886}:

O17 - HKLM\System\CS2\Services\Tcpip\..\{5A5597D5-FF3B-4691-8786-8ADF6A357886}:

O17 - HKLM\System\CCS\Services\Tcpip\..\{5A5597D5-FF3B-4691-8786-8ADF6A357886}:

O17 - HKLM\System\CS1\Services\Tcpip\..\{5A5597D5-FF3B-4691-8786-8ADF6A357886}:

O17 - HKLM\System\CS2\Services\Tcpip\..\{5A5597D5-FF3B-4691-8786-8ADF6A357886}:

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain =

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer =

[MD5.00000000000000000000000000000000] [APT] [Ad-Aware Update (Weekly)] (.Pas de propriétaire.) -- C:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (.not file.)

[HKCU\Software\Search Settings]

O43 - CFD: 12/07/2010 - 10:45:26 - [1482] ----D- C:\Documents and Settings\Administrateur\Application Data\Search Settings

O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (...) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe (.not file.)

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}

[HKCU\Software\pdfforge]

[HKCU\Software\Search Settings]

[HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings]

C:\Documents and Settings\Administrateur\Application Data\pdfforge

C:\Documents and Settings\Administrateur\Application Data\Search Settings

FirewallRaz

EmptyFlash

Emptytemp

 

 

Puis Lance ZHPFix depuis le raccourci du bureau.

 

Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)

- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes

- Clique sur le bouton « GO » pour lancer le nettoyage,

- Copie/colle la totalité du rapport dans ta prochaine réponse

 

-> laisse travailler l'outil et ne touche à rien ...

 

Une fois terminée, un nouveau rapport s'affiche : copie/colle le contenu de ce dernier dans ta prochaine réponse ...

 

(ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt)

 

Important : s'il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le de suite !

 

Ensuite tu as une suspicion de "Rootkit" donc ceci s.t.p

 

 

Télécharge load_tdsskiller de Loup Blanc sur ton Bureau

http://fradesch.perso.cegetel.net/transf/Load_tdsskiller.exe

ou la:

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

 

Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

 

Lance load_tdsskiller en double-cliquant dessus. Clic droit et exécuter en tant qu'administrateur avec Vista/Seven

 

A cette fenêtre lance le scan.

 

 

Tu peux récupérer le rapport en validant Report

 

Si une détection est faite valide Cure puis

 

 

redémarres le pc pour confirmer la suppression de celle-ci.

 

INFO::

How to remove malware belonging to the family Rootkit.Win32.TDSS (aka Tidserv, TDSServ, Alureon)?

[ramiko]

load_tdsskiller a effectivement détecté et corrigé un rootkit par contre je n'ai pas pensé à garder le rapport

 

et pour le rapport ZHPFix :

 

Rapport de ZHPFix 1.12.3282 par Nicolas Coolman, Update du 06/05/2011

Fichier d'export Registre : C:\ZHPExportRegistry-13-05-2011-14-07-35.txt

Run by Administrateur at 13/05/2011 14:07:35

Windows XP Professional Service Pack 3 (Build 2600)

Web site : ZHPFix Fix de rapport

 

========== Cl(s) du Registre ==========

HKCU\Software\Search Settings => Cl supprime avec succs

O53 - SMSR:HKLM\...\startupreg\SearchSettings [Key] . (...) -- C:\Program Files\pdfforge Toolbar\SearchSettings.exe (.not file.) => Cl supprime avec succs

HKCU\Software\pdfforge => Cl supprime avec succs

HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\SearchSettings => Cl absente

 

========== Valeur(s) du Registre ==========

R3 - URLSearchHook: (no name) - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} Cl orpheline => Valeur absente

O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur supprime avec succs

O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe => Valeur absente

FirewallRaz (SP) : C:\Program Files\Office\Office12\OUTLOOK.EXE => Valeur supprime avec succs

FirewallRaz : Aucune valeur prsente dans la cl d'exception du registre

 

========== Elment(s) de donne du Registre ==========

O17 - HKLM\System\CCS\Services\Tcpip\..\{5A5597D5-FF3B-4691-8786-8ADF6A357886}: => Donne supprime avec succs

O17 - HKLM\System\CS1\Services\Tcpip\..\{5A5597D5-FF3B-4691-8786-8ADF6A357886}: => Donne supprime avec succs

O17 - HKLM\System\CS2\Services\Tcpip\..\{5A5597D5-FF3B-4691-8786-8ADF6A357886}: => Donne supprime avec succs

 

========== Dossier(s) ==========

C:\Documents and Settings\Administrateur\Application Data\Search Settings => Supprim et mis en quarantaine

c:\documents and settings\administrateur\application data\pdfforge => Supprim et mis en quarantaine

Dossiers Flash Cookies supprims : 2

Dossiers temporaires Windows supprims: 4

 

========== Fichier(s) ==========

c:\program files\pdfforge toolbar\searchsettings.exe => Fichier absent

c:\documents and settings\administrateur\application data\pdfforge => Fichier absent

c:\documents and settings\administrateur\application data\search settings => Fichier absent

Fichiers Flash Cookies supprims : 0

Fichiers temporaires Windows supprims : 54

 

========== Tache planifie ==========

Task : Ad-Aware Update (Weekly) => Tche supprime avec succs

 

 

========== Rcapitulatif ==========

4 : Cl(s) du Registre

5 : Valeur(s) du Registre

3 : Elment(s) de donne du Registre

4 : Dossier(s)

5 : Fichier(s)

1 : Tache planifie

 

 

End of the scan

[bernard53]

Pas grave pour le rapport de tdsskiller qui doit être quand même à la racine de C: il me semble.

 

comment va ton pc dans l'immédiat.

[ramiko]

Mon pc va beaucoup mieux, plus rapide et les sites comme celui de Spybot ne sont plus redirigés donc c'est nikel

 

Merci beaucoup pour ton aide !!

[bernard53]

Mon pc va beaucoup mieux, plus rapide et les sites comme celui de Spybot ne sont plus redirigés donc c'est nikel

 

Merci beaucoup pour ton aide !!

Bonne nouvelle.

 

Fait ceci pour supprimer les logiciels qui ont servis à cette désinfection.

 

Télécharge << DelFix >> de Xplode pour supprimer les logiciels qui ont servis a cette désinfection.

 

 

* Lance-le.

 

* A l'invite, [suppression] ()

 

* Un rapport va s'ouvrir à la fin, colle le dans la réponse

 

Ensuite pour le désinstaller ; tu relances et tu passes à l'option [Désinstallation]

 

 

Puis::

 

Maintenant on va mettre la restauration du système propre.

 

Cliquez avec le bouton droit sur l'icône Poste de travail, puis cliquez sur Propriétés

ou touche "Windows+Pause"

Cliquez sur l'onglet Restauration du système

 

Sélectionnez Désactiver la Restauration du système sur tous les lecteurs.

 

Cliquez sur Appliquer puis OUI dans la fenêtre suivante.

 

Attendre quelques instants puis :

 

activer la restauration du système de nouveau. en décochant la case que vous venez de cocher puis valider par Appliquer et OK

 

Maintenant on crée un nouveau point de restauration.

 

Démarrer—Exécuter—ou touche "Windows+R" et tapes:

%SystemRoot%\System32\restore\rstrui.exe

 

Puis coche " Créer un point de restauration" que tu nommes PC- Clean. Valide.

 

Vous pouvez maintenant fermer toutes les fenêtres.

 

 

 

Bonne journée

[Eckso7]

Bonjour,

 

J'ai le même problème.

 

Puis-je utiliser pour zhp le meme texte á copier ou ce texte est adapté au cas par cas au rapport généré par malwarebytes?

La procédure de nettoyage final est-elle la même aussi?

 

Merci d'avance pour vos réponses.

 

Eckso7

[bernard53]

Bonjour,

 

J'ai le même problème.

 

Puis-je utiliser pour zhp le meme texte á copier ou ce texte est adapté au cas par cas au rapport généré par malwarebytes?

La procédure de nettoyage final est-elle la même aussi?

 

Merci d'avance pour vos réponses.

 

Eckso7

 

Bonjour "Eckso7"

 

Non chaque cas est un peu différents donc attention à ne pas mettre n'importe quoi pour ZHPfix.

 

Crée un post pour ton soucis et quelqu'un va venir te guider