[Résolu] Ordi bien malade

eric3342 · le 24 septembre 2011

bonjour a tous et toutes.un ami m'a passe un ordi bien infecte.j'ai passe plusieurs logiciels (malwarebyte,adr,adwcleaner,antivir)mais je pense qu'il reste encore de vilaines bebetes.je vous joint un rapport.tp://www.cijoint.fr/cjlink.php?file=cj201109/cijCJOac6Z.txt.si quelqu'un peu y jeter un coup d'oeil.merci d'avance.a oui j'oubliai j'ai mis a jour ie,mais je l'ai en anglais.je n'arrive pas a le passer en francais

Modifié le 24 septembre 2011 par eric3342

lance_yien · le 24 septembre 2011

Bonjour eric3342,

Très Important!

>>> A faire immédiatement:

- En haut de ce message cliquer sur le bouton "Suivre ce sujet", en choisissant "Notification immédiate" => "Soumettre" tu seras avisé en temps réel pour les réponses apportées à ton sujet et de ce fait, ta machine sera nettoyée dans les meilleurs délais.

Si à la place du bouton "Suivre ce sujet" tu as "Arrêter de suivre ce sujet", c'est que les réglages ont déjà été faits.

- Sauvegarder (en copiant) tous les documents personnels sur un support autre que la partition système: Clé USB, CD/DVD, Disque Dur externe etc.

>>> Que faire durant ce nettoyage: Merci de NE PAS utiliser, installer et/ou désinstaller aucun programme à part ceux qui sont proposés à chaque étape ce qui a pour but d'éviter tout problème d'incompatibilité entre les outils.

>>> Que faire à la réception de nouvelles instructions:

Lire la totalité du message.
Certains programmes peuvent créer des problèmes s'ils ne sont pas lancés depuis le Bureau. Aussi, il est demandé de les télécharger et enregistrer DIRECTEMENT sur le Bureau (ou les déplacer avant utilisation par un clic-droit dessus => "Couper" puis clic-droit sur le Bureau => "Coller").
Procéder toujours dans l'ordre donné et demander des clarifications si nécessaire AVANT de commencer.
NE PAS hésiter à commenter et signaler tout changement (en bien ou en mal) dans le comportement de la machine ou par rapport au problème initial.

>>> Comment répondre:

- Cliquer sur le bouton (et non sur car je n'ai pas besoin de relire mes messages précédents).

- Coller le contenu des rapports SANS y ajouter AUCUN formatage de texte (en citation, code, couleur etc...).

>>> Ne pas abandonner son sujet avant d'être informé(e) que tout est OK.

Imprimer ces instructions ou les enregistrer dans un fichier texte sur le Bureau pour les consulter facilement à tout moment.

>>> Programmes P2P: Ton rapport montre la présence de "LimeWire" et "eMule".

Tout ce qui est lié aux applications type P2P/ Torrent est devenu de plus en plus dangereux pour les machines et les documents personnels et/ ou confidentiels qui y sont stockés.

Fini le partage entre des gens honnêtes. Les pirates, aussi, veulent partager avec le maximum d'internautes et mettent à disposition leurs applications partout où ils peuvent sous de faux noms aussi attractifs que possibles.

C'est OK, les programmes P2P ne sont pas tous dangereux en eux-mêmes ce qui signifie qu'il y en a qui le sont mais,

- Qui sait avec certitude lequel est bon et lequel est dangereux?

- Penser au principe même de ce type de réseau qui n'est en rien bénéfique: Vous autoriser tout le monde à utiliser votre bande passante ce qui peut ralentir considérablement votre système et communiquer avec votre machine ce qui peut faciliter la tâche aux intrus pour déposer des bombes à retardement.

- En adhérant à ce type de réseau, non seulement, vous ouvrez délibérément des portes à tout et n'importe quoi mais aussi, vous forcez votre pare-feu et antivirus à les tolérer (c'est compris dans la procédure d'installation). On s'étonne après de ce qui arrive à sa machine ou on accuse son antivirus.

Rester loin de ce type d'application.

J'inclus la suppression des références de ces deux programme dans le script de ZHPFix ci-dessus.

>>> Utiliser ZHPFix:

Sélectionner et copier le texte suivant:

[HKCU\Software\WideStream]
O43 - CFD: 08/05/2010 - 21:15:02 - [292] ----D- C:\Users\jpr\AppData\Roaming\widestream
O43 - CFD: 08/05/2010 - 21:37:04 - [0] ----D- C:\Program Files (x86)\Widestream6
[HKLM\Software\WOW6432Node\Classes\Interface\{01222E21-6BD0-4EB3-94F1-967EB09CCED5}]
[HKLM\Software\WOW6432Node\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}]
[HKLM\Software\WOW6432Node\Classes\AppID\{A01A3335-0C30-4312-A430-92356CC37A92}]
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B6F8DA9F-2696-419e-A8A3-19BE41EF51BD}]
[HKCU\Software\WideStream]
C:\Users\jpr\AppData\Roaming\Widestream
C:\Program Files (x86)\Widestream6
O43 - CFD: 19/11/2009 - 11:23:02 - [1030] ----D- C:\ProgramData\Partner
O43 - CFD: 30/10/2009 - 14:54:32 - [0] ----D- C:\Users\jpr\AppData\Local\Acer Arcade Deluxe
O44 - LFC:[MD5.BDC9AC7A2A2E26A69EFDCAA661900001] - 24/09/2011 - 05:54:32 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt [2601]
O44 - LFC:[MD5.6907CC06D3840E2D98B041EC20DEA9FC] - 19/09/2011 - 12:18:31 ---A- . (...) -- C:\Windows\yes_messenger.ini [27]
O43 - CFD: 04/12/2010 - 18:05:08 - [0] ----D- C:\ProgramData\eMule
O43 - CFD: 04/12/2010 - 18:04:12 - [3017317] ----D- C:\Users\jpr\AppData\Roaming\LimeWire
O43 - CFD: 04/12/2010 - 17:49:52 - [23898] ----D- C:\Users\jpr\AppData\Local\eMule
[HKCU\Software\Ask.com.tmp]
[MD5.ED92900BF225E26A4E54C2C14FA1424F] [sPRF][09/09/2011] (.Ask.com - AskIC Dynamic Link Library.) -- C:\Users\jpr\AppData\Local\Temp\AskSLib.dll [246440]
[HKLM\Software\WOW6432Node\Classes\AppID\GIFAnimator.DLL]
[HKCU\Software\Ask.com.tmp]
Lancer ZHPFix (raccourci sur le Bureau) et cliquer sur le bouton [H].
Vérifier que toutes les lignes copiées (et rien d'autre) apparaissent dans la fenêtre (et disposées exactement de la même façon) et clique sur le bouton [OK] puis sur sur le bouton [Tous].
Fermer toutes les applications et autres fenêtres en cours désactive (y compris Internet) et désactiver tous les programmes de protection (antivirus, pare-feu et antispyware).
Enfin clique sur le bouton [Nettoyer] et laisser faire. Redémarrer le PC pour finir le nettoyage si demandé.

Copie/colle le contenu du rapport qui s'ouvre dans la prochaine réponse. Ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ZHPFixReport.txt.

>>> Télécharger sur le Bureau:

Malware Bytes Anti-Malware depuis ici.
Security Check (par screen317) depuis ici ou ici.

>>> Utiliser Malwarebytes' Anti-Malware (MBAM): Fermer toutes les applications et fenêtres ouvertes et double-cliquer/cliquer-droit sur mbam-setup.exe => "Exécuter en tant qu'administrateur". Suivre les indications en laissant tout par défaut. Cliquer sur "Terminer" sans rien changer.

- Lancer le programme depuis son icône sur le bureau ou depuis "Démarrer" => "Tous les programmes" => "Malwarebytes' Anti-Malware".

- Faire les Mises à jour depuis l'onglet du même nom. Si problème avec les mises à jour automatiques, cliquer ICI pour les télécharger et les installer manuellement.

- Dans l'onglet "Recherche" laisser la case "Exécuter un examen rapide" cochée et cliquer sur "Rechercher". Patienter jusqu'à la fin (affichage de "L'examen s'est terminé normalement...") et cliquer sur "OK", pour fermer ce message.

- Cliquer sur "Afficher les résultats" puis s'assurer que tout est coché et cliquer sur "Supprimer la sélection".

Le programme procède alors au nettoyage. S'il vous demande de redémarrer le PC, ACCEPTER (c'est pour supprimer certains fichiers spécifiques).

A la fin un rapport s'affiche (accessible à tout moment depuis l'onglet "Rapport/Logs" de la fenêtre principale de "MBAM". Coller directement son contenu dans la prochaine réponse.

>>> Utiliser SecurityCheck: Fermer toutes les fenêtres et applications ouvertes et double-cliquer/cliquer-droit sur SecurityCheck.exe => "Exécuter en tant qu'administrateur" pour lancer le programme.

Appuyer sur une touche comme demandé et suivre les indications.

Si un des programmes de sécurité demande la permission d'accéder à Internet depuis "dig.exe", acceptez.

Le Rapport "checkup.txt" s'ouvre à la fin. Coller directement son contenu dans la prochaine réponse.

Ce rapport ne sera pas enregistré automatiquement. Si vous voulez en garder une copie, cliquez sur "Fichier" => "Enregistrer sous", choisissez un endroit (Bureau par exemple) et cliquez sur "Enregistrer" en bas à droite.

Rapports demandés:

ZHPFixReport.tx
Malwarebytes Anti-Malware log
checkup.txt

eric3342 · le 24 septembre 2011

bonjour a toi.comme demande,je te joint les rapports Rapport de ZHPFix 1.12.3361 par Nicolas Coolman, Update du 06/09/2011

Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-24-09-2011-13-48-56.txt

Run by jpr at 24/09/2011 13:49:18

Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Web site : ZHPFix Fix de rapport

========== Clé(s) du Registre ==========

ABSENT Key: HKCU\Software\WideStream

ABSENT Key: HKLM\Software\WOW6432Node\Classes\Interface\{01222E21-6BD0-4EB3-94F1-967EB09CCED5}

ABSENT Key: HKLM\Software\WOW6432Node\Classes\Interface\{06DE5702-44CF-4B79-B4EF-3DDF653358F5}

ABSENT Key: HKLM\Software\WOW6432Node\Classes\AppID\{A01A3335-0C30-4312-A430-92356CC37A92}

ABSENT Key: HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{B6F8DA9F-2696-419e-A8A3-19BE41EF51BD}

ABSENT Key: HKCU\Software\Ask.com.tmp

ABSENT Key: HKLM\Software\WOW6432Node\Classes\AppID\GIFAnimator.DLL

========== Dossier(s) ==========

ABSENT C:\Users\jpr\AppData\Roaming\widestream

ABSENT C:\Program Files (x86)\Widestream6

ABSENT C:\ProgramData\Partner

ABSENT C:\Users\jpr\AppData\Local\Acer Arcade Deluxe

ABSENT C:\ProgramData\eMule

ABSENT C:\Users\jpr\AppData\Roaming\LimeWire

ABSENT C:\Users\jpr\AppData\Local\eMule

========== Fichier(s) ==========

ABSENT Folder/File: c:\users\jpr\appdata\roaming\widestream

ABSENT Folder/File: c:\program files (x86)\widestream6

ABSENT File: c:\ad-report-clean[1].txt

ABSENT File: c:\windows\yes_messenger.ini

ABSENT Folder/File: c:\users\jpr\appdata\local\temp\askslib.dll

========== Récapitulatif ==========

7 : Clé(s) du Registre

7 : Dossier(s)

5 : Fichier(s)

End of clean in 00mn 00s

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 24/09/2011 11:14:26 [586]

C:\ZHP\ZHPFix[R2].txt - 24/09/2011 12:48:56 [2028]

C:\ZHP\ZHPFix[R3].txt - 24/09/2011 13:49:18 [1833]

voici l'autre Results of screen317's Security Check version 0.99.18

Windows 7 (UAC is enabled)

Internet Explorer 8

``````````````````````````````

Antivirus/Firewall Check:

Avira AntiVir Personal - Free Antivirus

WMI entry may not exist for antivirus; attempting automatic update.

Avira successfully updated!

```````````````````````````````

Anti-malware/Other Utilities Check:

Malwarebytes' Anti-Malware

Java 6 Update 26

Flash Player Out of Date!

Adobe Flash Player 10.0.32.18

````````````````````````````````

Process Check:

objlist.exe by Laurent

Malwarebytes' Anti-Malware mbamservice.exe

Avira Antivir avgnt.exe

Avira Antivir avguard.exe

``````````End of Log````````````

puis mbamMalwarebytes' Anti-Malware 1.51.2.1300

www.malwarebytes.org

Version de la base de données: 7782

Windows 6.1.7601 Service Pack 1

Internet Explorer 9.0.8112.16421

24/09/2011 13:54:55

mbam-log-2011-09-24 (13-54-55).txt

Type d'examen: Examen rapide

Elément(s) analysé(s): 180015

Temps écoulé: 1 minute(s), 59 seconde(s)

Processus mémoire infecté(s): 0

Module(s) mémoire infecté(s): 0

Clé(s) du Registre infectée(s): 0

Valeur(s) du Registre infectée(s): 0

Elément(s) de données du Registre infecté(s): 0

Dossier(s) infecté(s): 0

Fichier(s) infecté(s): 0

Processus mémoire infecté(s):