Suspicion d'infection

[LolaJones]

Bonsoir,

 

Je fais appel à votre aide car mon ordi me fait quelques peurs bleues en ce moment: il a notamment beaucoup de mal à démarrer (il reste bloqué pendant parfois des heures sur un écran noir avec juste une flèche blanche, après le message "Bienvenue" de Windows), et il est globalement plutot lent et fait des blocages. Pour info, il est sous Vista, je l'ai depuis 3 ans et demi, et j'aimerais pouvoir le garder encore un peu...

 

Du coup, je suspecte une possible infection, et j'aimerais en avoir le coeur net. Si quelqu'un pouvait m'aider et me conseiller sur les outils à utiliser pour tirer ça au clair, ça serait super

 

Merci d'avance !

 

PS: peut-être quelque chose qui n'a rien à voir, mais je viens de faire un tour dans la quarantaine d'Avast, et il y a un programme en quarantaine qui s'appelle Acer VCM, qui est visiblement infecté par le virus Win32:Injector-AUU [Trj]. Est-ce que le fait qu'il soit en quarantaine l'empèche d'être nocif? Est-ce que je peux demander à Acer de supprimer ce fichier infecté sans risque?

Modifié le 1 février 2013 par LolaJones

[Apollo]

Bonjour,

 

Un objet en quarantaine est neutralisé, mais ne le supprime pas de suite car il y a parfois de faux-positifs, ce qui arrive à tous les antivirus.

 

1) Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

Télécharger RogueKiller (Site Officiel)

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

----

 

2) Clique sur Suppression et poste le rapport.

 

@++

Modifié le 1 février 2013 par Apollo

[LolaJones]

Bonsoir,

 

Merci de la réponse !

 

Le rapport AVANT suppression:

 

RogueKiller V8.4.4 [Feb 1 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : Pauline [Droits d'admin]

Mode : Recherche -- Date : 01/02/2013 20:33:21

| ARK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 2 ¤¤¤

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++

--- User ---

[MBR] 228b957948f6ca9ffe1c293cd99e1148

[bSP] 957a78be4a8cda06663ba8c0c1fa34a1 : Windows XP MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10000 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20482048 | Size: 295243 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[1]_S_01022013_203321.txt >>

RKreport[1]_S_01022013_203321.txt

 

 

 

 

Et le rapport APRES suppression:

 

 

RogueKiller V8.4.4 [Feb 1 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : Pauline [Droits d'admin]

Mode : Recherche -- Date : 01/02/2013 20:34:46

| ARK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ MBR Verif: ¤¤¤

 

+++++ PhysicalDrive0: Hitachi HTS545032B9A300 +++++

--- User ---

[MBR] 228b957948f6ca9ffe1c293cd99e1148

[bSP] 957a78be4a8cda06663ba8c0c1fa34a1 : Windows XP MBR Code

Partition table:

0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 10000 Mo

1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 20482048 | Size: 295243 Mo

User = LL1 ... OK!

User = LL2 ... OK!

 

Termine : << RKreport[3]_S_01022013_203446.txt >>

RKreport[1]_S_01022013_203321.txt ; RKreport[2]_D_01022013_203425.txt ; RKreport[3]_S_01022013_203446.txt

 

 

 

 

Du coup j'ai plusieurs questions:

 

- J'ai un dossier RK Quarantine sur le bureau: c'est peut-être bête mais je n'ai pas osé l'ouvrir, j'en fais quoi? Je le laisse là, je peux faire Clic-droit supprimer et l'envoyer dans la Corbeille?

 

- Qu'est-ce qu'un fichier HOSTS, comme celui qui apparait dans le rapport?

 

- Est-ce qu'il faut également utiliser d'autres outils pour une vérification complémentaire?

Modifié le 1 février 2013 par LolaJones

[Apollo]

Bonjour,

 

Les outils spéciaux et leurs rapports seront supprimés tous en même temps à la fin des procédures, grâce à un outil ad-hoc.

 

hosts - Wikipédia

 

Relance RogueKiller et clique sur HostRaz: poste le rapport.

 

Oui, il faut faire d'autres analyses.

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le petit tournevis et clique sur TOUS.

 

Décocher 045 et 061.

 

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse. OU >>
  
• Free large file hosting. Send big files the easy way! copier/coller le tout premier lien fourni.

 

 

@++

Modifié le 2 février 2013 par Apollo

[LolaJones]

Merci de ta réponse !

 

Voilà déjà le rapport après avoir cliqué sur "HostsRAZ":

 

RogueKiller V8.4.4 [Feb 1 2013] par Tigzy

mail : tigzyRK<at>gmail<dot>com

Remontees : [RogueKiller] Remontées

Site Web : Télécharger RogueKiller (Site Officiel)

Blog : tigzy-RK

 

Systeme d'exploitation : Windows Vista (6.0.6002 Service Pack 2) 32 bits version

Demarrage : Mode normal

Utilisateur : Pauline [Droits d'admin]

Mode : HOSTS RAZ -- Date : 03/02/2013 16:18:38

| ARK || MBR |

 

¤¤¤ Processus malicieux : 0 ¤¤¤

 

¤¤¤ Entrees de registre : 0 ¤¤¤

 

¤¤¤ Driver : [CHARGE] ¤¤¤

 

¤¤¤ Fichier HOSTS: ¤¤¤

--> C:\Windows\system32\drivers\etc\hosts

 

127.0.0.1 localhost

::1 localhost

 

 

¤¤¤ Nouveau fichier HOSTS: ¤¤¤

127.0.0.1 localhost

 

Termine : << RKreport[1]_H_03022013_161838.txt >>

RKreport[1]_H_03022013_161838.txt

 

 

 

 

Je m'occupe d'installer ZHPDiag tout de suite, et je te poste le rapport demandé dès que possible.

[LolaJones]

Et voilà le rapport ZHPDiag:

 

© CJoint.com, 2012

 

Merci d'avance !

[Apollo]

Bonjour LolaJones,

 

1) ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

[MD5.00000000000000000000000000000000] [APT] [spyHunter3] (...) -- C:\Program Files\Enigma Software Group\SpyHunter\Spyhunter3.exe (.not file.)    
O42 - Logiciel: Orion - (.Convesoft.) [HKLM] -- {5B63A470-9334-44D1-AF61-6CE2DB565AE9}     
O43 - CFD: 09/06/2009 - 19:50:47 - [15,047] ----D C:\Program Files\Convesoft    
[HKLM\Software\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{5B63A470-9334-44D1-AF61-6CE2DB565AE9}]    
C:\Program Files\Convesoft    
[HKCU\Software\AppDataLow\Software\Conduit]    
[HKLM\Software\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}]     
[HKLM\Software\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}]    
[HKLM\Software\Classes\Toolbar.CT2613520]    
C:\Users\Pauline\AppData\LocalLow\Conduit    
firewallraz
emptytemp
emptyflash   

 

• Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier)
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFixReport.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

---------------------------

2) Si tu as déjà AdwCleaner, lance-le et clique sur désinstaller ==> télécharge la dernière version.

 

Télécharge AdwCleaner par Xplode: Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

A lire absolument: Lisez d'abord, cliquez après !!! : Questions sur la Sécurité Windows

Logiciels et sponsors : Questions sur la Sécurité Windows

 

-------------------------

 

@++

[LolaJones]

Voici déjà le rapport ZHPFix:

 

Rapport de ZHPFix 1.3.13 par Nicolas Coolman, Update du 26/01/2013

Fichier d'export Registre :

Run by Pauline at 03/02/2013 23:26:03

Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

 

 

 

========== Tache planifiée ==========

SUPPRIME Task: SpyHunter3

 

 

========== Récapitulatif ==========

1 : Tache planifiée

 

 

End of clean in 00mn 13s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 29/01/2013 20:28:10 [1452]

C:\ZHP\ZHPFix[R2].txt - 29/01/2013 19:55:02 [673]

C:\ZHP\ZHPFix[R3].txt - 03/02/2013 23:26:10 [527]

[Apollo]

Le script ZHPFIX n'a pas été exécuté entièrement...

 

@++

[LolaJones]

Concernant le script ZHPFix, j'ai recommencé la procédure plusieurs fois, mais je ne comprends pas ce qui bloque: le texte est bien copié intégralement et correctement, et lorsque j'appuie sur "Go", la procédure est très rapide, et le rapport suivant s'affiche:

 

Rapport de ZHPFix 1.3.13 par Nicolas Coolman, Update du 26/01/2013

Fichier d'export Registre :

Run by Pauline at 03/02/2013 23:55:05

Windows Vista Home Premium Edition, 32-bit Service Pack 2 (Build 6002)

 

 

 

========== Tache planifiée ==========

ABSENT Task: SpyHunter3

 

 

========== Récapitulatif ==========

1 : Tache planifiée

 

 

End of clean in 00mn 03s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 29/01/2013 20:28:10 [1452]

C:\ZHP\ZHPFix[R2].txt - 29/01/2013 19:55:02 [673]

C:\ZHP\ZHPFix[R3].txt - 03/02/2013 23:26:10 [578]

C:\ZHP\ZHPFix[R4].txt - 03/02/2013 23:54:45 [627]

C:\ZHP\ZHPFix[R5].txt - 03/02/2013 23:55:05 [627]

 

 

 

Du coup, qu'est-ce que je peux faire? Je pense vraiment suivre la procédure correctement et je ne comprends pas pourquoi il ne s'intéresse qu'à SpyHunter et ne "lit" pas le reste des instructions...

 

 

Voilà également le rapport AdwCleaner:

 

# AdwCleaner v2.110 - Rapport créé le 03/02/2013 à 23:36:54

# Mis à jour le 03/02/2013 par Xplode

# Système d'exploitation : Windows Vista Home Premium Service Pack 2 (32 bits)

# Nom d'utilisateur : Pauline - PC-DE-PAULINE

# Mode de démarrage : Normal

# Exécuté depuis : C:\Users\Pauline\Desktop\adwcleaner.exe

# Option [suppression]

 

 

***** [services] *****

 

 

***** [Fichiers / Dossiers] *****

 

Dossier Supprimé : C:\Users\Pauline\AppData\LocalLow\Conduit

 

***** [Registre] *****

 

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}

Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9AFB8248-617F-460D-9366-D71CDEDA3179}

Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{FFB96CC1-7EB3-449D-B827-DB661701C6BB}

Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2613520

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4EFB-9B51-7695ECA05670}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{02478D38-C3F9-4EFB-9B51-7695ECA05670}

 

***** [Navigateurs] *****

 

-\\ Internet Explorer v9.0.8112.16457

 

[OK] Le registre ne contient aucune entrée illégitime.

 

-\\ Mozilla Firefox v9.0.1 (fr)

 

Fichier : C:\Users\Pauline\AppData\Roaming\Mozilla\Firefox\Profiles\kppnmvd2.default\prefs.js

 

[OK] Le fichier ne contient aucune entrée illégitime.

 

*************************

 

AdwCleaner[s1].txt - [1479 octets] - [03/02/2013 23:36:54]

 

########## EOF - C:\AdwCleaner[s1].txt - [1539 octets] ##########