[Résolu] Infections multiples

[Apollo]

On va regarder ça, ce ne doit pas être Bagle sinon il n'y aurait pas de connexion.

 

1) Télécharge RogueKiller (par Tigzy) sur le bureau

(A partir d'une clé USB si le Rogue empêche l'accès au net) .

Télécharger RogueKiller (Site Officiel)

Quitte tous les programmes en cours

Lance RogueKiller.exe.

 

Sous Vista/Seven/8, faire un clic droit et choisir Exécuter en tant qu'administrateur. Clique sur scan

 

Poste le rapport stp.

 

----------------------------------

 

2) Clique sur Suppression et poste le rapport.

 

@++

[Oulh]

Bien, je vais pouvoir bosser un peu aujourd'hui pour finir.

Roguekiller était détecté comme infecté par Comodo (que j'ai chinté).

 

RogueKiller Scan

 

Suppression RogueKiller

 

PS : il y a un fichier JRT qui s'est installé à la racine de C, alors qu'il n'y a aucune désinstallation disponible le concernant. Je peux le virer manuellement ?

Modifié le 23 juin 2013 par Oulh

[Apollo]

Bonjour,

 

Le fichier JRT sur C est sûrement un rapport texte de l'outil. Tu peux le virer.

 

Le logiciel qui suit n'est à utiliser que prescrit par un helper qualifié et formé à l'outil.

Ne pas utiliser en dehors de ce cas de figure.

 

Désactive ton antivirus, firewall et antispyware le temps de l'analyse.

Si vous ne savez pas comment faire, reportez-vous à cet article.

 

Connecter les supports amovibles (clé usb et autres) avant de procéder.

 

 

Tutoriel officiel

 

Télécharge ComboFix sur ton bureau (et pas ailleurs).

• Si la console de récupération n'est pas installée sur un XP, ComboFix va proposer de l'installer: Accepter!
   
  
   
  
• Assure toi que tous les programmes soient fermés avant de commencer.
  
• Double-clique ComboFix.exe afin de l'exécuter.
  
• Clique sur "Oui" au message de Limitation de Garantie qui s'affiche.
  
• Il est possible que ton pare-feu (firewall) te demande si tu acceptes ou non l'accès de nircmd.cfexe à la zone sûre: accepte.
  
• Ne ferme pas la fenêtre qui vient de s'ouvrir, tu te retrouverais avec un bureau vide.
  
• Lorsque l'analyse sera terminée, un rapport apparaîtra.
  
• Copie-colle ce rapport dans ta prochaine réponse.
  Le rapport se trouve dans : C:\Combofix.txt.

 

Si tu perds la connexion après le passage de ComboFix, voici comment la réparer ICI.

 

 

Si le message: "Tentative d'opération non autorisée sur une clé du Registre marquée pour suppression".

apparaissait, redémarrer le pc.

 

@++

[Oulh]

Tout s'est bien déroulé. Je n'ai pas désinstallé Combofix pour le moment.

 

Combofix

 

ZHPDiag 3

 

Les mises à jour que je télécharge marchent maintenant !

 

J'attends d'autres éventuelles manipulations.

Merci.

Modifié le 23 juin 2013 par Oulh

[Apollo]

Re,

 

Les mises à jour que je télécharge marchent maintenant !

 

All right!

 

1) ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

[HKCU\Software\Ask.com.tmp]

firewallraz

emptytemp

emptyflash

 

• Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier)
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

 

-----------------------------------

2) Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer s'il est ailleurs.

 

Sous XP, double cliquer sur le fichier.

Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFT.txt)

 

Héberger sur Accueil de Cjoint.com pour ne pas planter le sujet.

 

 

--------------------------

3) Télécharge Malwarebytes' Anti-Malware (MBAM).

 

Enregistre l'exécutable sur le bureau. Malwarebytes : Téléchargement gratuit anti-malware, antivirus et anti-espion

 

Télécharger Malwarebytes´ Anti-Malware - Logithèque PC Astuces

 

Attention, ne rien installer d'autre que MBAM car il est parfois proposé des trucs inutiles comme Registry Booster ou autres bêtises. A éviter donc.

A la fin de l'installation, décocher la case proposant l'essai de la version Pro.

 

 

 

Si MBAM est déjà installé, aller directement à la mise à jour puis à l'analyse.

 

Ce logiciel est à garder.

 

Uniquement en cas de problème de mise à jour:

 

Télécharger mises à jour MBAM

 

Exécute le fichier après l'installation de MBAM

 

Connecter les supports amovibles (clés usb etc.) avant de lancer l'analyse.

 

• Double clique sur le fichier téléchargé pour lancer le processus d'installation.
  
• Dans l'onglet "Mise à jour", clique sur le bouton "Recherche de mise à jour": si le pare-feu demande l'autorisation à MBAM de se connecter, accepte.
  
• Une fois la mise à jour terminée, rends-toi dans l'onglet "Recherche".
  
• Sélectionne "Exécuter un examen complet"
  
• Clique sur "Rechercher"
  
• L'analyse démarre, le scan est relativement long, c'est normal.
  
• A la fin de l'analyse, un message s'affiche :

  L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.

  Clique sur "Ok" pour poursuivre. Si MBAM n'a rien trouvé, il te le dira aussi.
  
• Ferme tes navigateurs.
  
• Si des malwares ont été détectés, clique sur Afficher les résultats.
  Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
  
• MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse. Copie-colle ce rapport et poste-le dans ta prochaine réponse.

Si MBAM demande à redémarrer le pc, fais-le.

 

Si au redémarrage Windows te dit qu'il a bloqué certains programmes de démarrage, clique sur la bulle puis sur Exécuter les programmes bloqués/Malwarebytes Anti-Malware.

 

@++

[Oulh]

ZHPFix 3

 

SFTGC 3

 

MBAM 3

(Aucun élément détecté)

 

ZHPDiag 4

 

Le PC a l'air d'aller mieux ...

Il reste sans doute des réglages encore à faire comme la bonne désinstallation de Spybot.

En attente de tes conseils.

Merci.

Modifié le 23 juin 2013 par Oulh

[Apollo]

Oui, tu dois découvrir les fichiers/dossiers cachés et supprimer le répertoire que j'indique en gras:

 

c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

 

Afficher les dossiers/fichiers cachés sous XP

 

-------------------------

Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton "Supprimer les outils de désinfection". >> Exécuter.

 

NB, tu peux également cocher la case "Purger la restauration système", un nouveau point sera automatiquement créé. Conseillé quand le pc est désinfecté.

 

 

Delfix s'auto-détruira ensuite.

 

 

++

Modifié le 23 juin 2013 par Apollo

[Oulh]

ok, c'est fait ...

Delfix

 

J'ai repéré des petits trucs qui me paraissent bizarre sur le C ... 2 dossiers à la racine d'une appellation douteuse (mélange de 20-30 lettres et chiffres) :

1) contenant 2 sous-répertoires "amd64" et "i386" avec chacun les mêmes fichiers (dll,cat,inf,ppd,gpd)

2) contenant un éxécutable "mrtstub"

 

et 2 dossiers (que je pense qu'on peut virer sans risque) :

3) bin : vide (même de dossiers cachés)

4) config.msi : vide (même de dossiers cachés)

 

Merci.

[Apollo]

Laisse ces dossiers où ils sont!

 

par exemple, i386 est normal dans XP et il peut servir à récupérer des fichiers sains avec la console de récupération... en cas de fichiers système qui seraient patchés par une infection.

 

Pour plus d'infos concernant le système proprement dit, vois avec le forum software.

 

Et ceci peut être utile: Toutes les astuces Windows XP : Astuces Windows XP

 

• Pense à éditer ton premier post pour ajouter "Résolu" devant le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.

 

Utilise pour ça, l'éditeur complet

 

@++

Modifié le 23 juin 2013 par Apollo

[Oulh]

ok.

Je te remercie pour ta patience et cette désinfection faite dans tout son art ! T'es un champion ! Bravo !!! :super:

Bonne continuation !!