[Résolu] Window 7 - Ordinateur lent après avoir echappé à un exploit

[matt10456]

Bonjour,

le 30 Août Kaspersky m'a bloqué un exploit après avoir cliqué sur un lien de jeuxvideo.com

Depuis mon ordinateur était très lent, j'ai alors lancé une restauration du système au 19 Août et depuis les lenteurs ont disparu mais certains problèmes restent présents (calculatrice qui s'ouvre au démarrage, certains jeux comme league of legend ne se lancent plus).

Je joint un log ZHPDiag pour vous aider à voir si mon ordinateur est infecté :

Lien CJoint.com BIbsVQxFaaC

Merci d'avance de votre aide.

[Apollo]

Bonjour,

 

ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

R0 - HKCU\SOFTWARE\Classes\Software\Microsoft\Internet Explorer\Main,Start Page = [url=http://allssearch.com]Rechercher sur le Web..[/url]    
O61 - LFC:Last File Created 01/09/2012 - 14:34:25 ---A- C:\Users\Jean-Thomas\Downloads\Setup.exe   [667533]    
[HKCU\Software\DC3_FEXEC]    
firewallraz
emptytemp   

 

• Clique sur l'icône représentant la lettre H (« coller les lignes Helper »). Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le.
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

-----------------------

Désinstalle la version d'AdwCleaner que tu as en le lançant puis clique sur désinstaller.

 

Télécharge AdwCleaner par Xplode: Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

-------------------------

 

Pour info: Pour ceux qui utilisent Kaspersky : Questions sur la Sécurité Windows

 

@++

[matt10456]

Merci de ta réponse rapide !

Voici les rapports après l'utilisation de ZHPFix et AdwCleaner :

ZHPFix : Lien CJoint.com BIbtHUZcW1a

AdwCleaner : Lien CJoint.com BIbtIFv1ql3

J'attends tes instructions pour la suite

[Apollo]

1) Télécharger SFT.exe de Pierre13. A enregistrer absolument sur le BUREAU!

 

Si l'antivirus chicane, Désactive-le provisoirement le temps de l'analyse par SFT..

Si tu ne sais pas comment faire, reporte-toi à cet article.

 

• Double clique (xp) sur SFT.exe.
  Clic droit sur le fichier et choisir Exécuter en tant qu’administrateur. (sous Vista/7).
  Patienter le temps du nettoyage...dépend du nombre de fichiers à nettoyer.
   
  
   
  Un rapport va s'ouvrir à la fin.
   
  Le rapport se trouve sur le bureau (SFT.txt)

 

>>Le rapport est très long, l'héberger sur Accueil de Cjoint.com et me communiquer le lien, stp.<<

 

Compatible avec XP, Windows Vista et Windows 7 en 32 et 64 bits.

 

 

-----------------

2) Pendant l'installation de MBAM, décoche la case proposant la version d'essai, sinon le résident entrera en conflit avec Kaspersky.

 

Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau.

 

Télécharger Malwarebytes´ Anti-Malware - Logithèque PC Astuces

 

|MG| Malwarebytes Anti-Malware 1.62.0.1300 Download

 

Malwarebytes : Malwarebytes Anti-Malware removes malware including viruses, spyware, worms and trojans, plus it protects your computer

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[matt10456]

Merci de ton aide, alors voila j'ai fais l'analyse de SFT, voila le rapport : Lien CJoint.com BIbvEsMrR1t

Ensuite, l'explication de ma réponse tardive, le rapport de malware byte :

Malwarebytes Anti-Malware (Essai) 1.62.0.1300

www.malwarebytes.org

 

Version de la base de données: v2012.09.01.05

 

Windows 7 Service Pack 1 x64 NTFS

Internet Explorer 9.0.8112.16421

Jean-Thomas :: JEAN-THOMAS-PC [administrateur]

 

Protection: Désactivé

 

01/09/2012 19:56:28

mbam-log-2012-09-01 (19-56-28).txt

 

Type d'examen: Examen complet (C:\|D:\|Q:\|)

Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM

Options d'examen désactivées: P2P

Elément(s) analysé(s): 456958

Temps écoulé: 1 heure(s), 25 minute(s), 54 seconde(s)

 

Processus mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Module(s) mémoire détecté(s): 0

(Aucun élément nuisible détecté)

 

Clé(s) du Registre détectée(s): 0

(Aucun élément nuisible détecté)

 

Valeur(s) du Registre détectée(s): 1

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|MicroUpdate (Backdoor.Agent.DC) -> Données: C:\Users\Jean-Thomas\Documents\MSDCSC\msdcsc.exe -> Mis en quarantaine et supprimé avec succès.

 

Elément(s) de données du Registre détecté(s): 0

(Aucun élément nuisible détecté)

 

Dossier(s) détecté(s): 0

(Aucun élément nuisible détecté)

 

Fichier(s) détecté(s): 1

C:\Users\Jean-Thomas\Documents\MSDCSC\msdcsc.exe (Backdoor.Agent.DC) -> Mis en quarantaine et supprimé avec succès.

 

(fin)

 

Voila, j'attends la suite de tes explications

[Apollo]

Te sers-tu de recherche de vulnérabilités dans analyse de Kaspersky? Ce module est l'équivalent du PSI de Secunia. (que tu ne dois pas installer).

 

Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Sinon, comment se comporte le pc?

 

Tu peux désinstaller MBAM, sauf si tu veux le conserver; pas de conflit sans résident

 

@++

[matt10456]

Non je n'utilise pas la recherche de vulnérabilité, c'est important ?

Sinon l'ordi est revenu comme avant, merci beaucoup

Et tous les programmes que tu m'as fais installé, je peux les enlever ?

Je vais faire les vérifications dans un moment

[Apollo]

Non je n'utilise pas la recherche de vulnérabilité, c'est important ?

Bien sûr! Cela te signale quelles applications ont des failles sur ton pc et t'indique les liens pour faire les mises à jour.

 

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton [suppression]

Copie tout le contenu du texte qui s'ouvre et colle-le dans ta réponse.

 

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

 

Tu peux ensuite relancer DelFix et appuyer sur [Désinstaller] afin de supprimer toute trace de son utilisation.

 

@++

[matt10456]

J'ai fais toutes les vérifications, et voila pour delfix : # DelFix v8.9 - Rapport créé le 01/09/2012 à 22:14:37

# Mis à jour le 27/07/12 par Xplode

# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)

# Nom d'utilisateur : Jean-Thomas - JEAN-THOMAS-PC (Administrateur)

# Exécuté depuis : C:\Users\Jean-Thomas\Downloads\delfix.exe

# Option [suppression]

 

 

~~~~~~ Dossiers(s) ~~~~~~

 

Supprimé : C:\ZHP

Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP

Supprimé : C:\Program Files (x86)\ZHPDiag

Supprimé : C:\Program Files (x86)\Trend Micro\Hijackthis

 

~~~~~~ Fichier(s) ~~~~~~

 

Supprimé : C:\JavaRa.log

Supprimé : C:\PhysicalDisk0_MBR.bin

Supprimé : C:\Users\Jean-Thomas\Desktop\adwcleaner.exe

Supprimé : C:\Users\Jean-Thomas\Desktop\AdwCleaner[s1].txt

Supprimé : C:\Users\Jean-Thomas\Desktop\HiJackThis.lnk

Supprimé : C:\Users\Jean-Thomas\Desktop\JavaRa.exe

Supprimé : C:\Users\Jean-Thomas\Desktop\ZHPDiag.txt

Supprimé : C:\Users\Jean-Thomas\Desktop\ZHPFixReport.txt

Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk

Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk

Supprimé : C:\Users\Jean-Thomas\Downloads\hijackthis_hijackthis_2.0.4_anglais_17891.msi

Supprimé : C:\Users\Jean-Thomas\Downloads\JavaRa.zip

Supprimé : C:\Users\Jean-Thomas\Downloads\ZHPDiag2.exe

 

~~~~~~ Registre ~~~~~~

 

Clé Supprimée : HKLM\SOFTWARE\AdwCleaner

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

 

~~~~~~ Autres ~~~~~~

 

-> Prefetch Vidé

 

*************************

 

DelFix[s1].txt - [1547 octets] - [01/09/2012 22:14:37]

 

########## EOF - C:\DelFix[s1].txt - [1671 octets] ##########

 

J'avais 2 mise a jours a faire dans windows update, sinon ca va

[matt10456]

Et je viens de lancer une recherche de vulnérabilités, aprés ca c'est fini non ?

Edit : la recherche vient de se finir, j'ai 13 vulnérabilités, je fais quoi ?

Modifié le 1 septembre 2012 par matt10456