[Résolu] Résidus d'infection ou autre infection ?

[fenr1r]

Bonsoir à toutes et à tous,

 

Tout d'abord, ayant eu recours à une époque lointaine, très lointaine à vos tutoriaux, je tenais à vous remercier pour le soutien que vous apportez à la communauté.

J'ai choppé mon premier trojan sur Windows 7, le premier depuis un sacré bout de temps en bousculant un peu mes habitudes. C'était System Security. Je me suis rapidement (trop sûrement) renseigné et SpyHunter4 semblait être la solution idéale. Je l'ai utilisé en tant que logiciel de détection (pour l'éradication, il fallait payer) et ai supprimé moi-même toute trace du virus. Or, il se trouve que j'étais par la suite dans l'impossibilité de désinstaller SpyHunter4. J'ai appris ensuite que ce programme souffrait d'une mauvaise réputation et était déconseillé. Je l'ai donc supprimé manuellement (y compris les clés du registre).

Sauf que depuis, coïncidence ou non (à vrai dire, ce problème m'a convaincu d'installer au moins un anti-virus ainsi que d'autres protections non-résidentes, choses que je n'avais pas sur cet ordinateur ni rien d'autre que le pare-feu windows, l'UAC) j'ai de gros ralentissements voire des freezes suffisamment récurrents pour m'inquiéter sérieusement ou des bug (programmes qui se dédoublent, souris qui se déconnecte reconnecte très briévement et c'est tout ce qui me vient à l'esprit pour le moment). L'anti-virus en question est Avast (que je compte changer pour Antivir qui, je l'espère, est toujours aussi performant et bien plus léger qu'Avast), et ce que je peux dire d'autre, c'est que j'ai de trop nombreux processus (106 en moyenne bien que mon CPU n'est utilisé qu'à 15/20% Opera lancé).

En tout cas, je vous remercie de l'aide que vous m'apporterez,

Au plaisir de vous lire.

 

 

Modifié le 28 mars 2012 par fenr1r

[pear]

Bonsoir,

 

Hijackthis ne vaut plus guère!

 

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman

Double-cliquer sur ZHPDiag.exe pour installer l'outil

Sur le bureau ,il y aura 3 icônes

 

Sous XP, double clic sur l'icône ZhpDiag

Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

 

Cliquez sur le tournevis et choisissez Tous

En cas de blocage, sur 061 ou O80 par exemple, cliquez sur le tournevis pour le décocher

 

Clic sur la Loupe pour lancer le scan

Postez le rapport ZhpDiag.txt qui apparait sur le bureau

 

Comment poster les rapports

Copiez/collez tout ou partie des rapports dans un ou plusieurs messages.

Autre solution à privilégier pour un rapport lourd

Aller sur le site :Ci-Joint

Appuyez sur Parcourir et chercher les rapports sur le disque,

Cliquer sur Ouvrir

Cliquer sur Créer le lien CJoint,

>> dans la page suivante --> ,,

une adresse http//.. sera créée

Copier /coller cette adresse dans votre prochain message.

 

[fenr1r]

Merci pour cette réponse rapide et claire.

 

(Et bon courage étant donné la longueur du rapport)

Modifié le 28 mars 2012 par fenr1r

[pear]

Ad_Aware est obsolète.Lavasoft qui le distribuait n'existe plus.

Désinstallez le.

 

Spybot, totalement obsolète va être désinstallé.

Vous pourriez utiliser Mbam (Malewares Bytes)pour le remplacer.

Téléchargez MBAM

ICI

ou LA

Vous devez faire ceci, avant de lancer Zhpfix:

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!

Sous Vista, exécuter avec privilèges Administrateur

Afficher d'abord le Mode Avancé dans SpyBot

->Options Avancées :

- >menu Mode, Mode Avancé.

Une colonne de menus apparaît dans la partie gauche :

- >cliquer sur Outils,

- >cliquer sur Résident,

Dans Résident :

- >décocher Résident "TeaTimer" pour le désactiver.

Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :

C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots

Et sous Vista :

C:\ProgramData\Spybot - Search & Destroy\Snapshots

Si vous ne trouvez pas Snapshots, poursuivez la procédure sans vous en préoccuper

 

 

Vous devez trouver sur le bureau ou ,sinon, dans le dossier où vous avez installé Zhpdiag ces 3 icônes .

Cliquer sur l'icône Zhpfix

Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur

Copiez/Collez les lignes vertes dans le cadre ci dessous:

pour cela;

Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas

Ctrl+c mettre le tout en mémoire

Ctrl+v pour inscrire le texte dans le Document

Vous ne verrez rien avant d'avoir Cliqué sur le H-

 

[HKCU\Software\AppDataLow\Software\PriceGong] => Infection BT (Adware.PriceGong)

O43 - CFD: 12.06.10 - 17:22:04 - [0] ----D- C:\ProgramData\Trymedia => Infection BT (Adware.Trymedia)

O87 - FAEL: "{03FD98F2-959A-4564-AA56-D7A7D87A2FAF}" | In - Private - P6 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files (x86)\adawaretb\dtUser.exe => Infection PUP (Adware.Bandoo)

O87 - FAEL: "{F2A9C33A-B1CD-4349-AE65-67140B0F3EA8}" | In - Private - P17 - TRUE | .(.Visicom Media Inc. - DTX broker.) -- C:\Program Files (x86)\adawaretb\dtUser.exe => Infection PUP (Adware.Bandoo)

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}] => Infection BT (Adware.MyWebSearch)

C:\ProgramData\Trymedia => Infection BT (Adware.Trymedia)

C:\Users\Guillaume\AppData\LocalLow\PriceGong => Infection BT (Adware.PriceGong)

O4 - HKCU\..\Run: [spybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe => Safer Net Working®Spybot S&D

O4 - HKUS\S-1-5-21-52574420-1737788826-2909135640-1000\..\Run: [spybotSD TeaTimer] . (.Safer-Networking Ltd. - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe => Safer Net Working®Spybot S&D

O4 - HKUS\S-1-5-18\..\RunOnce: [adawarebp] . (.Microsoft Corporation - Outil de Registre de la console.) -- C:\Windows\System32\reg.exe

O4 - HKUS\S-1-5-18\..\RunOnce: [adawarebp_XP] . (.Microsoft Corporation - Outil de Registre de la console.) -- C:\Windows\System32\reg.exe

O4 - HKUS\S-1-5-18\..\RunOnce: [adawarebp] . (.Microsoft Corporation - Outil de Registre de la console.) -- C:\Windows\System32\reg.exe

O4 - HKUS\S-1-5-18\..\RunOnce: [adawarebp_XP] . (.Microsoft Corporation - Outil de Registre de la console.) -- C:\Windows\System32\reg.exe

O4 - Global Startup: C:\Users\Guillaume\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Spybot - Search & Destroy.lnk . (.Safer Networking Limited.) -- C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe => Safer Net Working®Spybot S&D

O23 - Service: Lavasoft Ad-Aware Service (Lavasoft Ad-Aware Service) . (.Lavasoft Limited - Ad-Aware Service Application.) - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe => Lavasoft®Ad-Aware Service

O23 - Service: SBSD Security Center Service (SBSDWSCService) . (.Safer Networking Ltd. - Spybot-S&D Security Center integration.) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe => Spybot®Search & Destroy

[MD5.98070A7FCE5B4AFB24A142C6F4C25CC1] [APT] [Ad-Aware Update (Weekly)] (.Lavasoft Limited.) -- C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe

[MD5.00000000000000000000000000000000] [APT] [{243C5350-E07C-40F4-9B49-DF8EB1A56C69}] (...) -- C:\Users\Guillaume\AppData\Local\Temp\Temp1_bios-20091104180143.zip\V160_Win.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{6D0705BB-7621-48DB-AD53-156348E86C9E}] (...) -- C:\Users\Guillaume\Desktop\flmminstaller.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{B543917F-0B25-4E02-874F-6D74D44E8A16}] (...) -- C:\Users\Guillaume\Desktop\RegCleaner.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{E61BC097-D289-4108-A3BC-04092EA70819}] (...) -- C:\Users\Guillaume\Desktop\Fallout3_1.7_French.exe (.not file.) => Fichier absent

[MD5.00000000000000000000000000000000] [APT] [{F53A5242-F59B-46FA-8EAB-41CBCA0887F2}] (...) -- C:\Users\Guillaume\Desktop\Oblivion_v1.2.0416French.exe (.not file.) => Fichier absent

O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1 => Safer Networking Limited Spybot - S&D

O43 - CFD: 25.03.12 - 17:37:44 - [0.034] ----D- C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy

O87 - FAEL: "UDP Query User{385E08D2-9E79-471B-93F5-2DA8166DBC67}C:\windows\syswow64\regsvr32.exe" |In - Public - P17 - TRUE | .(...) -- C:\Windows\system32\ (.not file.) => Fichier absent

O87 - FAEL: "TCP Query User{80EC0F29-0D17-450F-8BB7-B6374C5C5B5B}C:\windows\syswow64\regsvr32.exe" |In - Public - P6 - TRUE | .(...) -- C:\Windows\system32\ (.not file.) => Fichier absent

SR - | Auto 25.03.12 2152152 | (Lavasoft Ad-Aware Service) . (.Lavasoft Limited.) - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe => Lavasoft®Ad-Aware Service

SR - | Auto 26.01.09 1153368 | (SBSDWSCService) . (.Safer Networking Ltd..) - C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe => Spybot®Search & Destroy

R3 - URLSearchHook: BittorrentBar_FR Toolbar [64Bits] - {ef79f67a-6ad7-4715-a0f8-932fca442023} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.6.0) -- C:\Program Files (x86)\BittorrentBar_FR\tbBitt.dll

R3 - URLSearchHook: BittorrentBar_FR Toolbar [64Bits] - {ef79f67a-6ad7-4715-a0f8-932fca442023} . (.Conduit Ltd. - Conduit Toolbar.) (6.2.6.0) -- C:\Program Files (x86)\BittorrentBar_FR\tbBitt.dll

O2 - BHO: Conduit Engine [64Bits] - {30F9B915-B755-4826-820B-08FBA6BD249D} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\ConduitEngine\ConduitEngine.dll

O2 - BHO: BittorrentBar_FR Toolbar [64Bits] - {ef79f67a-6ad7-4715-a0f8-932fca442023} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\BittorrentBar_FR\tbBitt.dll

O42 - Logiciel: Conduit Engine - (.Conduit Ltd..) [HKLM] -- conduitEngine => Toolbar.Conduit

[HKCU\Software\AppDataLow\Software\BittorrentBar_FR] => Conduit BitTorrentBar

[HKCU\Software\AppDataLow\Software\Conduit] => Toolbar.Conduit

[HKCU\Software\AppDataLow\Software\conduitEngine] => Toolbar.Conduit

[HKCU\Software\AppDataLow\Toolbar] => Toolbar.Conduit

[HKLM\Software\BittorrentBar_FR] => Conduit BitTorrentBar

O43 - CFD: 09.12.10 - 18:15:16 - [3.941] ----D- C:\Program Files (x86)\BittorrentBar_FR => Conduit BitTorrentBar

O43 - CFD: 09.12.10 - 18:15:16 - [0.507] ----D- C:\Program Files (x86)\Conduit => Toolbar.Conduit

O43 - CFD: 09.12.10 - 18:15:14 - [3.800] ----D- C:\Program Files (x86)\ConduitEngine => Toolbar.Conduit

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{30F9B915-B755-4826-820B-08FBA6BD249D}] => Toolbar.Conduit

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{30F9B915-B755-4826-820B-08FBA6BD249D}] => Toolbar.Conduit

[HKLM\Software\WOW6432Node\Classes\CLSID\{30F9B915-B755-4826-820B-08FBA6BD249D}] => Toolbar.Conduit

[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}] => Toolbar.Conduit

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{ef79f67a-6ad7-4715-a0f8-932fca442023}] => Toolbar.Conduit

[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ef79f67a-6ad7-4715-a0f8-932fca442023}] => Toolbar.Conduit

[HKLM\Software\WOW6432Node\Classes\CLSID\{ef79f67a-6ad7-4715-a0f8-932fca442023}] => Toolbar.Conduit

[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{ef79f67a-6ad7-4715-a0f8-932fca442023}] => Toolbar.Conduit

[HKCU\Software\AppDataLow\Software\BittorrentBar_FR] => Conduit BitTorrentBar

[HKLM\Software\WOW6432Node\BittorrentBar_FR] => Conduit BitTorrentBar

[HKCU\Software\AppDataLow\Software\conduitEngine] => Toolbar.Conduit

[HKLM\Software\WOW6432Node\conduitEngine] => Toolbar.Conduit

[HKCU\Software\AppDataLow\Toolbar] => Toolbar.Conduit

[HKLM\Software\Classes\Toolbar.CT2849852] => Toolbar.Agent

C:\Users\Guillaume\AppData\LocalLow\BittorrentBar_FR => Toolbar.Conduit

C:\Users\Guillaume\AppData\LocalLow\Conduit => Toolbar.Conduit

C:\Users\Guillaume\AppData\LocalLow\ConduitEngine => Toolbar.Conduit

C:\Program Files (x86)\BittorrentBar_FR => Conduit BitTorrentBar

C:\Program Files (x86)\Conduit => Toolbar.Conduit

C:\Program Files (x86)\ConduitEngine => Toolbar.Conduit

O87 - FAEL: "{63BB89CF-A883-41EA-A650-F5782C33AFB4}" | In - Private - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe

O87 - FAEL: "{8708D33B-5E56-45F3-81C1-95EAC8C65628}" | In - Private - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe

O87 - FAEL: "{D6C4AD60-84C2-47F8-8ACB-73DEA5204084}" | In - Public - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

O87 - FAEL: "{F6585F11-2818-427C-98E5-8E6D38ACC4F1}" | In - Public - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe

O87 - FAEL: "{AD16E506-A379-4F00-AB05-825324645C1A}" | In - Public - P6 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe

O87 - FAEL: "{2A716DD0-981F-46B9-8074-6C5E1D04C78C}" | In - Public - P17 - TRUE | .(.Apple Inc. - Bonjour Service.) -- C:\Program Files (x86)\Bonjour\mDNSResponder.exe

 

EmptyFlash

EmptyTemp

FirewallRaz

 

 

Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.

Cliquer sur "Tous" puis sur "Nettoyer" .

Redémarrer pour achever le nettoyage.

Un rapport apparait:

Si le rapport n'apparait pas,cliquer sur

Copier-coller le rapport de suppression dans la prochaine réponse.

[fenr1r]

Récapitulatif :

 

-J'ai remplacé HijackThis par ZhpDiag.

 

-J'ai remplacé et ad aware et spybot par MBAM.

 

-J'ai désinstallé Avast, j'ai téléchargé Antivir mais j'ai un problème de compatiblité avec Microsoft Security Essentials. Dois-je désinstaller ce dernier ?

 

 

Merci de ton soutien.

 

 

 

Modifié le 28 mars 2012 par fenr1r

[pear]

,

j'ai téléchargé Antivir mais j'ai un problème de compatiblité avec Microsoft Security Essentials. Dois-je désinstaller ce dernier ?

 

Je l'ai préféré à Antivir car aussi efficace et plus léger, sans risque d'Askbar.

 

[fenr1r]

C'est en effet une excellente raison à mes yeux. D'autant plus qu'il est parfois difficile d'avoir un avis correspondant à nos attentes, tant les critères avancés par certains professionnels ne font pas l'unanimité. J'ai toujours considéré l'anti-virus de mon point de vue de néophyte et en faisant abstraction de la partie résidente, comme un médicament : tant que l'on n'est pas malade, il ne sert guère à quelque chose. Toutefois, si l'on est ensuite trop malade pour se déplacer, on regrette de ne pas avoir quelques médicaments en stock .

 

 

 

 

Dans tous les cas, par nostalgie sans doute, je vais expérimenter quelques temps Avira afin de voir s'il me correspond toujours. A vrai dire, le fait qu'il y ait eu une infection malgré MSE m'est resté en travers de la gorge même si j'ai sans doute ma part de responsabilité là-dedans (même si je suis plutôt vigilant, un pop-up qui apparaît, que je ferme dans l'instant mais déjà trop tardivement sur un site pourtant pas dans ma catégorie de sites dits sensibles (débrideur), ça a de quoi me laisser perplexe songeur).

 

 

 

 

Deux questions subsistent cependant : D'une part, étais-je toujours infecté au moment où j'ai posté ou était-ce un souci d'optimisation ?

 

D'autre part, quelle est la suite des événements ?

 

 

 

 

J'apprécie beaucoup ton aide d'autant que tu fais ça de façon bénévole et pourtant professionnelle, et je conviens que parfois, les posts se ressemblent et que de nombreux problèmes pourraient être évités .

 

 

[pear]

le fait qu'il y ait eu une infection malgré MSE m'est resté en travers de la gorge même si j'ai sans doute ma part de responsabilité là-dedans

 

Mse n'y est pour rien car il n'y avait pas de virus mais plusieurs adwares qui vous arrivent lors de fréquentations douteuses ,avec toolbars etc..

Quand vous télécharger, allez de préférence sur le site du concepteur de l'outil ou sur des sites de téléchargement reconnus comme sérieux.

D'autre part vérifiez qu'il n'aurait pas une case à cocher ou décocher pour vous éviter d'installer un adware.

Dans le cas présent, c'est Bittorent le responsable.

[fenr1r]

Ah, il ne se lance pourtant pas automatiquement et je ne l'ai pas utilisé (aucun upload/download en cours/attente) depuis un bon mois. Un moyen d'éviter ce genre de désagrément autrement qu'en le désinstallant (DropMyRights est-il toujours efficace sur 7 si l'UAC est activé) ?

 

 

 

 

Dois-je considérer que le problème est résolu ? (Je demande, je ne voudrais pas me baser sur ma simple impression)

 

 

[pear]

DropMyRights est-il toujours efficace sur 7 si l'UAC est activ

 

Il ne sert à rien dans ce cas.Il ne vaut que sur une ssion avec tous les droits , donc UAC désactivé.

 

Dois-je considérer que le problème est résolu ?

Oui, pour moi.

 

Si votre problème a trouvé une solution, et afin que ceux qui la cherchent en profitent,

éditez votre premier message (Edition complète)et, dans le titre, inscrivez Résolu.