[Résolu] PC infecté et qui rame

[flabby]

--- 17-01 à 23h56 ---

 

Bonjour,

 

Suite à une erreur inattention je me suis retrouvé avec un petit virus sur mon PC qui avait remplacé ma page d'accueil sur Google Chrome. Après quelques recherches, je suis tombé sur votre forum avec la marche à suivre et les rapports à poster. Voici donc les données que j'ai obtenues après :

 

le scan AdwCleaner :

# AdwCleaner v1.406 - Logfile created 01/16/2012 at 21:10:55

# Updated 09/01/2012 by Xplode

# Operating system : Windows Vista Ultimate Service Pack 2 (32 bits)

# User : flabby - FLABBY-PC (Administrator)

# Running from : C:\Users\flabby\Downloads\adwcleaner.exe

# Option [search]

 

 

***** [services] *****

 

 

***** [Files / Folders] *****

 

 

***** [Registry] *****

 

Key Found : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe

Key Found : HKLM\SOFTWARE\Classes\Installer\Features\95FA1DD41215F1249BD2EEFBF30243A5

Key Found : HKLM\SOFTWARE\Microsoft\RFC1156Agent

Key Found : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4

Key Found : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212

Key Found : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

 

***** [internet Browsers] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

[HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://startsear.ch/?aff=1

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://startsear.ch/?aff=1

 

-\\ Google Chrome v16.0.912.75

 

File : C:\Users\flabby\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Found : "keyword": "startsear.ch",

Found : "name": "Web Search",

Found : "search_url": "hxxp://startsear.ch/?aff=1&src=sp&cf=ef3f27f0-f297-11e0-bd8b-0003ff8d740a&q={se[...]

Found : "homepage": "hxxp://startsear.ch/?aff=1",

 

-\\ Opera v [unable to get version]

 

File : C:\Users\flabby\AppData\Roaming\Opera\Opera\operaprefs.ini

 

Found : Home URL=hxxp://startsear.ch/?aff=1

 

*************************

 

AdwCleaner[R1].txt - [1849 octets] - [16/01/2012 21:09:23]

AdwCleaner[R2].txt - [1780 octets] - [16/01/2012 21:10:55]

 

########## EOF - C:\AdwCleaner[R2].txt - [19octets] ##########

 

 

 

le nettoyage adwCleaner

# AdwCleaner v1.406 - Logfile created 01/16/2012 at 21:11:47

# Updated 09/01/2012 by Xplode

# Operating system : Windows Vista Ultimate Service Pack 2 (32 bits)

# User : flabby - FLABBY-PC (Administrator)

# Running from : C:\Users\flabby\Downloads\adwcleaner.exe

# Option [Delete]

 

 

***** [services] *****

 

 

***** [Files / Folders] *****

 

 

***** [Registry] *****

 

Key Deleted : HKLM\SOFTWARE\Classes\AppID\SoftwareUpdate.exe

Key Deleted : HKLM\SOFTWARE\Classes\Installer\Features\95FA1DD41215F1249BD2EEFBF30243A5

Key Deleted : HKLM\SOFTWARE\Microsoft\RFC1156Agent

Key Deleted : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\2796BAE63F1801E277261BA0D77770028F20EEE4

Key Deleted : HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\Certificates\DE28F4A4FFE5B92FA3C503D1A349A7F9962A8212

Key Deleted : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}

 

***** [internet Browsers] *****

 

-\\ Internet Explorer v9.0.8112.16421

 

Replaced : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://startsear.ch/?aff=1 --> hxxp://www.google.fr

Replaced : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://startsear.ch/?aff=1 --> hxxp://www.google.fr

 

-\\ Google Chrome v16.0.912.75

 

File : C:\Users\flabby\AppData\Local\Google\Chrome\User Data\Default\Preferences

 

Deleted : "keyword": "startsear.ch",

Deleted : "name": "Web Search",

Deleted : "search_url": "hxxp://startsear.ch/?aff=1&src=sp&cf=ef3f27f0-f297-11e0-bd8b-0003ff8d740a&q={se[...]

Deleted : "host_referral_list": [ 2, [ "hxxp://5thplanetgames-origin.cdnetworks.net/", [ "hxxp://5thplan[...]

Deleted : "startup_list": [ 1, "hxxp://ajax.googleapis.com/", "hxxp://api.webrep.avast.com/", "hxxp://ap[...]

Deleted : "homepage": "hxxp://startsear.ch/?aff=1",

 

-\\ Opera v [unable to get version]

 

File : C:\Users\flabby\AppData\Roaming\Opera\Opera\operaprefs.ini

 

Deleted : Home URL=hxxp://startsear.ch/?aff=1

 

*************************

 

AdwCleaner[R1].txt - [1849 octets] - [16/01/2012 21:09:23]

AdwCleaner[R2].txt - [1909 octets] - [16/01/2012 21:10:55]

AdwCleaner[s1].txt - [2168 octets] - [16/01/2012 21:11:47]

 

*************************

 

Temporary folder : : 74 folder(s) and 429 file(s) deleted

 

########## EOF - C:\AdwCleaner[s1].txt - [2387 octets] ##########

 

 

 

le deuxieme scan malwarebytes après suppression

Malwarebytes Anti-Malware 1.60.0.1800

www.malwarebytes.org

 

Version de la base de données: v2012.01.17.03

 

Windows Vista Service Pack 2 x86 NTFS

Internet Explorer 9.0.8112.16421

flabby :: FLABBY-PC [administrateur]

 

17/01/2012 21:16:24

mbam-log-2012-01-17 (21-16-24).txt

 

Type d'examen: Examen complet

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 552134

Temps écoulé: 2 heure(s), 2 minute(s), 12 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Elément(s) de données du Registre détecté(s): 2

HKCU\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Mauvais: (http://startsear.ch/?aff=1'>http://startsear.ch/?aff=1) Bon: (http://www.google.com'>http://www.google.com) -> Mis en quarantaine et réparé avec succès

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main|Start Page (Hijack.StartPage) -> Mauvais: (http://startsear.ch/?aff=1) Bon: (http://www.google.com) -> Mis en quarantaine et réparé avec succès

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

(fin)

 

Est-ce que j'en ai terminé avec ce virus ?

merci de votre réponse.

 

--- 18-01 à 20h13 ---

 

Lorsque j'ai relancé mon pc ce matin après toutes les manip, ma page d’accueil était revenu sur ce satané moteur de recherche. Need help SVP!

 

-édit- Dans cette section, il ne faut pas insérer de nouveau message dans ton sujet avant d'être pris en charge : au vu de la présence d'une « réponse », les helpers ne s'y intéresseront pas, croyant le problème pris en mains par l'un des leurs. Tu peux en revanche poster un petit rappel dans le sujet « On m'a oublié ! », épinglé en tête de la section et prévu à cet effet…

Modifié le 21 janvier 2012 par flabby
Fusion de messages ;o)

[tomtom95]

Bonjour flabby et bienvenue sur ZEB

 

Quelques conseils avant de commencer

Important : Pense en haut de ce message à cliquer sur le bouton "Suivre ce sujet"

en choisissant "Notification immédiate"

 

S.T.P: n'utilise pas d'autre outils ou ne désinstalle pas des programmes

seulement ceux qui te sont notifier pour éviter tout problème .

 

Enregistre :toujours les outils sur ton bureau

Bien lire les indications:

et si tu rencontre des problèmes n'hésiter pas à me le signaler avant d'effectuer une manip.

 

Pour une analyse de ton ordinateur >> Applique cette procédure stp.

 

Télécharge ZHPDiag de Nicolas Coolman sur ton Bureau

 

Refait une analyse avec ZHPDiag stp

• Lance l'outil : double-clique sur ZHPDiag pour XP
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur.
   
  Clique sur le Tournevis a droit en haut
  
   
  
• Pour Cocher toutes les cases >> Clique sur TOUS .
   
  
• Puis Clique sur la petite loupe en haut à gauche pour débuter l'analyse :
  
• L'analyse peut durer une dizaine de minutes.
  
• Le rapport généré par l'outil se nomme ZHPDiag.txt
  
• Clique sur le bouton avec l'appareil photo pour copier le contenu intégral du rapport généré par l'outil dans le presse-papier :
  
• Dans ta prochaine réponse copie/ coller ce rapport.
   
  
• IMPORTANT héberger le fichier contenant ce rapport sur http://cjoint.com/
  Voici la démarche compléte
  
• Pour Héberger le fichier cjoint.com/
  
• Sur la page du site Clique sur parcourir va jusqu'au rapport ZHPDiag sur ton bureau
  
• Puis Clique sur ouvrir
  ce qui va te ramène sur le site cjoint
  
• Ensuite en bas Clique sur Créer le lien Cjoint
  Une nouvelle fenêtre apparait avec un lien en bleu
  
• Surligne le lien pour le Copier
  et colle le lien sur le Forum pour que je puisse le télécharger et analyser

 

A+

[flabby]

Voila pour le scan ZHPDiag.

Modifié le 18 janvier 2012 par Dylav
Suppression du rapport, on garde le seul lien ;o)

[Dylav]

Bonsoir Flabby,

 

C'est parce que le rapport ZHPDiag est très volumineux et risque de faire planter le gestionnaire de forum IPB 3.1 que Tomtom t'a demandé de le faire héberger chez cjoint.

 

Il ne fallait donc pas, en plus, le copier/coller ici.

Heureusement, il n'y a pas eu de mal…

[flabby]

Je trouvais en effet bizarre de faire les 2. Mais la marche à suivre était un peu ambiguë.

[tomtom95]

Bonsoir flabby

 

Je vais essayer d'être plus clair ,et un peu moins ambigu pour la suite.

 

• Ferme toutes les applications ouvertes
  
• Désactive tes défenses (anti-virus et anti-spyware)
  
• Double-clique sur ZHPFix Un raccourci installé par ZHPDiag sur le Bureau
   
  Pour Vista et seven
  fais un clique droit sur l'icône et exécute en tant qu'administrateur
  
   
   
  Sélectionne et surligne correctement avec la souris et "Clique droit > "Copier"
  ces lignes ci dessous :
   

  [MD5.00000000000000000000000000000000] [APT] [{348252C0-0F93-4A80-BD89-B5B9BB41F582}] (...) -- C:\Program Files\Internet Explorer\iexplore.exetinstalledégoogle-chrome:notoffered;toolbaroffered (.not file.)
  [HKCU\Software\AppDataLow\Software\Burn4Free_Setup]
  [HKCU\Software\Burn4Free]
  O44 - LFC:[MD5.F3B25701FE362EC84616A93A45CE9998] - 21/12/2011 - 20:21:41 ---A- . (...) -- C:\FreeboxHD.log [2]
  O51 - MPSK:{8fe81cc9-bf79-11e0-8144-406186c0716f}\AutoRun\command. (...) -- Q:\autorun.exe (.not file.)
  O51 - MPSK:{fd20cae9-25b8-11e1-84ad-0011954785d6}\AutoRun\command. (...) -- F:\setup.exe
  C:\ProgramData\Lavasoft\Ad-Aware\Quarantine\keygen.exe.7bfb37f1c3a5f93e71ba815ddb4c444.a28e44828bc69381920bc1018ae80ec.aawqff
  C:\Users\All Users\Lavasoft\Ad-Aware\Quarantine\keygen.exe.7bfb37f1c3a5f93e71ba815ddb4c444.a28e44828bc69381920bc1018ae80ec.aawqff
  C:\Users\flabby\Favorites\Informatique\SeriAll.Com - Serials, Keys, Keygen, Cracks.URL
  C:\ProgramData\Lavasoft\Ad-Aware\Quarantine\keygen.exe.7bfb37f1c3a5f93e71ba815ddb4c444.a28e44828bc69381920bc1018ae80ec.aawqff
  C:\Users\All Users\Lavasoft\Ad-Aware\Quarantine\keygen.exe.7bfb37f1c3a5f93e71ba815ddb4c444.a28e44828bc69381920bc1018ae80ec.aawqff
  C:\Users\flabby\Favorites\Informatique\SeriAll.Com - Serials, Keys, Keygen, Cracks.URL
  D:\divers\EXE\Table Tennis Pro 1.41\Table.Tennis.PRO.V1.41.DELUXE.CORE.Spaceman\Keygen\keygen.exe
  T:\divers\EXE\Table Tennis Pro 1.41\Table.Tennis.PRO.V1.41.DELUXE.CORE.Spaceman\Keygen\keygen.exe
  [HKLM\Software\Classes\.b4f]
  [HKLM\Software\Classes\b4fm.sxcontextmenu1]
  [HKLM\Software\Classes\burn4free project]
  [HKLM\Software\Classes\CLSID\{1c311aaa-d8b1-4a0a-bee5-2387fec583da}]
  C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Burn4Free
   
   
  FirewallRAZ
  EmptyFlash
  EmptyTemp
  

• Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la "malette cachée par la feuille" .
   
  
• Vérifie que toutes les lignes que je t'ai demandé de copier sont dans la fenêtre.
  
• Et seulement ces lignes
  
• Puis clique sur le bouton [OK]
  
• A ce moment apparaîtra au début de chaque ligne
  une petite case vide. [ ]
  
• Ensuite clique sur Tous puis sur Nettoyer
  
• Valide par Oui la désinstallation des programmes si demandé
  
• Laisse l'outil travailler. Si un redémarrage est demandé accepte et redémarre le PC
  
• Le rapport ZHPFixReport.txt s'affiche. post le contenu de ce rapport via Cjoint.
   
  Le rapport ZHPFixReport.txt est enregistré sur le bureau

 

• Télécharge

Temp File Cleaner (TFC) de Old Timer :
 
Enregistre-le sur le Bureau
Enregistre (sauvegarde) tous tes travaux en cours et ferme les applications - quitte-les définitivement (l'outil les fermera de toute façon automatiquement)
Double-clique sur TFC.exe (sous Vista - Windows 7 clique droit
"exécuter en tant qu'administrateur)
Clique sur Start
Laisse l'outil travailler (cela prend de quelques secondes à quelques minutes)
Si l'outil demande à redémarrer :
Clique sur Yes
Si l'outil ne propose pas le redémarrage
redémarrer manuellement.

 

 

A+

[flabby]

J'ai enfin trouvé le temps de me pencher sur ces manips.

 

Voila le lien CJoint du rapport ZHPFix : Lien CJoint.com BAuuFRRE6Cu

 

Au redémarrage, ma page d'accueil internet est toujours bloquée sur search.

[tomtom95]

Bonsoir flabby

 

• Désactiver TeaTimer de spybot qui ne sert à rien et peut faire échouer une désinfection:!
  Affiche d'abord le Mode Avancé dans Spybot
  
• Options Avancées :
  
• menu Mode
  -Mode Avancé. Une colonne de menus apparaît dans la partie gauche :
  
• clique sur Outils
  
• clique sur Résident
  -Dans Résident :
  
• décoche Résident "TeaTimer" pour le désactiver.
   
  
• Si dans Spybot S&D tu as vacciné
  Sur l'onglet "vaccination"
  
• Clique sur "Vaccination" dans la colonne sur la gauche :
  
• Clique sur annuler (la flèche bleue) pour annuler la vaccination.
  IMPORTANT Il faut aussi savoir que Spybot utilise une technologie dépassée.
  
• Si vous ajoutez à cela les problèmes causés par la vaccination qui ralentit le système et TeaTimer qui peut faire obstacle à une désinfection..... je te conseil de le désinstaller du pc

 

• Télécharger

DeFogger de Jpshortstuff sur le bureau.
Double cliquer sur DeFogger pour démarrer l'outil.
Pour Vista et seven fais un clique droit sur l'icône et exécute en tant qu'administrateur.
La fenêtre de DeFogger apparaît
Cliquer sur le bouton Disable pour désactiver les pilotes d'émulateurs CD.
Cliquer sur Yes pour continuer.
Un message 'Finished!' apparaîtra
Cliquer sur OK
DeFogger peut te demander de redémarrer la machine
Clique sur OK
Ne réactive PAS ces pilotes avant la fin de la désinfection

 

 

Télécharge UsbFix (El Desaparecido) sur ton Bureau.

• Lance l'installation avec les paramètres par défaut.
  Branche tes sources de données externes à ton PC (clé USB?disque dur externe?etc...) sans les ouvrir /!\
  
• Double-clique sur le raccourci UsbFix sur ton Bureau.
  (ou sous Vista et seven fais un clic droit > Exécuter en tant qu'administrateur)
  
• Choisis l'option Recherche
  
• Au message information clique sur OK
  
• Si te propose un message d'avertissement
  
• Clique sur NON
  
• Laisse travailler l'outil.
  
• Poste le rapport UsbFix.txt
   
  Note : le rapport UsbFix.txt est sauvegardé à la racine du disque (C:\UsbFix.txt).

 

A+

[flabby]

Merci de tes conseils.

 

Sybot désinstallé et voici le rapport USBfix : Lien CJoint.com BAuxsoeNJFX

[tomtom95]

RE

 

• Relance USBFix clique sur l'icone présent sur ton bureau
   
  
• /!\Branche tes sources de données externes à ton PC (clé USB,disque dur externe,carte SD,etc...) sans les ouvrir /!\
  
• Double-clique sur le raccourci UsbFix présent sur ton Bureau.
  
• Choisis l'option (Suppression).
  
• Ton Bureau disparaîtra et le PC redémarrera.
  
• Au redémarrage UsbFix scannera ton PC laisse travailler l'outil.
  
• Ensuite poste le rapport UsbFix.txt qui apparaîtra avec le Bureau .

 

A+