[Résolu] Nettoyage suite infection

[Akito]

Bonjour à tous,

 

Je reviens vers vous une fois de plus pour un ordinateur de mon boulot que j'ai retrouvé infecté.

Voilà la situation :

L'ordi en question tourne sous Windows 7 et est normalement protégé par Kaspersky antivirus 2013.

Aujourd'hui seulement, je me suis aperçu que la recherche sur le navigateur était remplacée par Delta search, babylon et j'en passe. Inquiet j'ai regardé mon Kaspersky et je me suis aperçu que la protection temps réel était désactivée.

J'ai donc lancée une analyse complète, plusieurs choses ont été trouvées et corrigées.

J'ai installé Malwarebytes puis lancé avec Windows en mode sans échec. Là aussi, plusieurs choses trouvées puis normalement corrigées.

 

J'espère être revenu à une situation seine, mais je m'interroge, comment en être certain ?

 

Merci de vos conseils,

 

Nicolas.

Modifié le 22 juillet 2013 par Akito

[Apollo]

Bonjour,

 

On va voir pour Delta Search.

 

1) Télécharge Junkware Removal Tool sur le bureau: Junkware Removal Tool Download

 

Site éditeur: Junkware Removal Tool | Information about the tool

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

Afin de ne pas fausser les rapports, ne passer l'outil qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

>>>Si le rapport est long, l'héberger ici: Accueil de Cjoint.com

 

 

 

 

------------------------------

2) Télécharge AdwCleaner par Xplode: Téléchargements - Outils de Xplode - AdwCleaner

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Suppression et laisse travailler l'outil.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s1]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: Comment démarrer Windows en mode sans échec : Astuces pour Dépanner Windows XP

 

A lire absolument: Lisez d'abord, cliquez après !!! : Questions sur la Sécurité Windows

Logiciels et sponsors : Questions sur la Sécurité Windows

 

-------------------------

 

@++

[Akito]

Bonjour Apollo,

 

Merci pour l'aide rapide.

 

Ci-dessous les liens vers les deux rapports :

JRT

ADWcleaner

 

Merci encore,

 

Nicolas

[Apollo]

Il faut absolument éviter des sites comme Softonic, 01.net, etc pour télécharger des programmes: c'est l'infection assurée.

Va toujours chez l'éditeur d'origine.

 

ZHPDiag :

 

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.
   
  
• Double-clique sur ZHPDiag.exe pour lancer l'installation
  
  • Important:
    Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

 

[*]L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.

 

[*]Double-clique sur ZHPDiag pour lancer l'exécution

• Important:
  Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

 

[*]Clique sur le petit tournevis et clique sur TOUS.

 

Décocher 045 et 061.

 

[*]Clique sur la loupe pour lancer l'analyse. Tu patientes jusqu'à ce que le scan affiche 100%

Tu refermes ZHPDiag

 

[*]Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

Ce rapport étant trop long pour le forum, héberge le :

• soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum <<< Seulement pour le forum Vista-XP.fr!
  
• soit sur Cjoint et copie-colle le lien fourni dans ta réponse.

 

 

@++

[Akito]

Re-bonjour,

 

Alors voici le rapport de ZHPdiag

ZHPdiag

 

Nicolas.

[Apollo]

1) ZHPFix :

 

• Ferme toutes les applications ouvertes
   
  
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau
  Important:
  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.
   
  
• Copie les lignes ci-dessous dans la fenêtre

 

O39 - APT:Automatic Planified Task - C:\Windows\Tasks\AutoKMSDaily.job [204]

[MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS.exe (.not file.) [0]

[MD5.00000000000000000000000000000000] [APT] [AutoKMSDaily] (...) -- C:\Windows\AutoKMS.exe (.not file.) [0]

O43 - CFD: 02/07/2013 - 10:49:09 - [0] ----D C:\ProgramData\MentorGraphics

[MD5.B0F6507F8666E89DD9F192313D88EB98] [sPRF][16/06/2013] (.Babylon Ltd. - Uninstaller Application.) -- C:\Users\VISIONCO\AppData\Local\Temp\uninst1.exe [389632]

[MD5.A3CCFD0AA0B17FD23AA9FD0D84B86C05] [sPRF][20/03/2013] (.Simon Tatham - SSH, Telnet and Rlogin client.) -- C:\Users\VISIONCO\Desktop\putty.exe [483328]

C:\ProgramData\MentorGraphics

C:\Users\VISIONCO\AppData\Local\Temp\uninst1.exe

firewallraz

emptytemp

emptyflash

 

• Le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le. (avec le bouton "coller le presse-papier)
   
  Clique sur le bouton GO pour lancer le nettoyage

 

• Valide par Oui la désinstallation des programmes si demandé
   
  
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
   
  
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.
  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

 

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

----------------------------------

2) Fais ces vérifications de sécurité stp:

 

Apollo Et Compagnie :: A vérifier de temps en temps, important!

 

Le PSI de Secunia est pratique pour connaître les failles dans diverses applications.

 

En français depuis la version 3.0. Très simple d'utilisation. Ne pas utiliser si Kaspersky est présent: il a ce module intégré. (analyse/recherche de vulnérabilités).

 

--------------------------------

3) Refais un scan ZHPDiag stp. Héberge le rapport.

 

@++

Modifié le 22 juillet 2013 par Apollo

[Akito]

Pfiouµ...

Alors

Pour ZHPfix on a

Rapport de ZHPFix 2013.7.20.5 par Nicolas Coolman, Update du 20/07/2013

Fichier d'export Registre :

Run by VISIONCO at 22/07/2013 16:43:18

High Elevated Privileges : OK

Windows 7 Business Edition, 64-bit Service Pack 1 (Build 7601)

 

Corbeille vidée

 

========== Processus mémoire ==========

SUPPRIME Memory Process: C:\Users\VISIONCO\AppData\Local\Temp\uninst1.exe

SUPPRIME Memory Process: C:\Users\VISIONCO\Desktop\putty.exe

 

========== Valeur(s) du Registre ==========

ABSENT Valeur Standard Profile: FirewallRaz :

ABSENT Valeur Domain Profile: FirewallRaz :

 

========== Dossier(s) ==========

SUPPRIME Folder: C:\ProgramData\MentorGraphics

SUPPRIME Temporaires Windows

SUPPRIME Flash Cookies

 

========== Fichier(s) ==========

SUPPRIME File: c:\windows\tasks\autokmsdaily.job

SUPPRIME File*: c:\users\visionco\appdata\local\temp\uninst1.exe

SUPPRIME File*: c:\users\visionco\desktop\putty.exe

ABSENT Folder/File: c:\programdata\mentorgraphics

ABSENT Folder/File: c:\users\visionco\appdata\local\temp\uninst1.exe

SUPPRIME Temporaires Windows

SUPPRIME Flash Cookies

 

========== Tache planifiée ==========

SUPPRIME Task: AutoKMS

SUPPRIME Task: AutoKMSDaily

 

 

========== Récapitulatif ==========

2 : Processus mémoire

2 : Valeur(s) du Registre

3 : Dossier(s)

7 : Fichier(s)

2 : Tache planifiée

 

 

End of clean in 00mn 01s

 

========== Chemin de fichier rapport ==========

C:\ZHP\ZHPFix[R1].txt - 22/07/2013 16:43:18 [1416]

 

J'ai fait pareil pour ZHPdiag que la fois précédente, a savoir cliqué sur Tous puis décocher O45 et O61

ZHPdiag 2eme prise

 

Thanks,

Nicolas

[Apollo]

Je crois que c'est bon, non?

 

Si oui,

 

1) Nettoyage:

Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer si besoin.

 

Sous XP, double cliquer sur le fichier.

Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFT.txt)

 

Héberger sur Accueil de Cjoint.com pour ne pas planter le sujet.

 

----------------------------------

2) Désinstaller les outils spéciaux.

 

Télécharge DelFix sur ton bureau. Téléchargements - Outils de Xplode - DelFix

Lance-le et appuie sur le bouton "Supprimer les outils de désinfection". >> Exécuter.

 

NB, tu peux également cocher la case "Purger la restauration système", un nouveau point sera automatiquement créé. Conseillé quand le pc est désinfecté.

 

 

Delfix s'autodétruira ensuite.

 

------------------

Si tout est ok,

• Pense à éditer ton premier post pour ajouter "Résolu" devant le titre. Pour cela clique sur "Modifier" dans ton premier post. Tu pourras alors changer le titre.

 

Utilise pour ça, l'éditeur complet

 

@++

[Akito]

Super, voilà ou nous en sommes :

 

SFTGC

 

J'ai executé delfix avec la purge.

 

Merci encore pour ton aide.

[Apollo]

De rien

 

2.26 Go libérés

 

Pas mal! Utilise SFTGC de temps en temps pour nettoyer les inutiles; il complète parfaitement CCleaner. (Avec ce dernier, laisse le registre tranquille, il n'aime pas qu'on le chatouille)

 

Bon surf prudent.

 

Bye.