Infection

[Yann-Paol]

Bonjour.

Je viens demander de l'aide car je pense que mon ordinateur portable est infecté... depuis longtemps déjà, et je n'arrive pas à m'en sortir.

Guère de difficulltés pour les tâches habituelles (navigation, bureautique,...), mais aussitôt que je veux mettre à jour windows, l'antivirus, d'autres programmes, j'ai l'impression d'avoir des bâtons dans les roues. Le processeur se met à chauffer jusqu'à atteindre la température de sécurité et l'ordinateur s'éteint, ou bien je n'ai plus accès à "documents et settings", ou bien (c'était le tout début) Kaspersky notifie qu'il a mis à jour ses bases de données alors que je constate que ce n'est pas vrai, etc.

J'ai un HP Pavilion dv7 avec Windows 7 éd. familiale premium service pack 1; micorprocesseur: AMD Athlon II P320 Dual-Core Processor; mémoire: 4GO.

Il a été en réseau avec 4 autres ordinateurs, 2 web radios, le player de Free... J'ai des disques durs externes avec des sauvegardes. Certaines au moins sont infectées, de même que des clés USB.

J'ai utilisé TeamViewer pour faire à distance l'entretien d'un ordinateur. Je pense que l'infection a commencé ainsi. J'ai plusieurs fois formaté le disque dur de l'un ou l'autre de nos ordinateurs... en vain.

Si quelqu'un peut m'aider, merci d'avance.

[pear]

Lancez cet outil de diagnostic:

Téchargement de Zhpdiag

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 3 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.



Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur


Cliquer Configurer

Cliquez sur le bouton

et choisissez Tous
Pour éviter un blocage, décochez 045 et 061

Cliquer Rechercher
Le rapport ZhpDiag.txt apparait sur le bureau


Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le bureau
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

[Yann-Paol]

Bonsoir, et merci pour la rapidité de la réponse.

Quant à moi, je n'ai pas réussi à faire fonctionner le logiciel de test: des messages d'erreur (le chemin n'est pas valide, vous n'avez pas les droits nécessaires,...). Je l'ai désinstallé, puis réinstallé. J'ai essayé dans ma session et dans la session administrateur, en mode normal et en mode sans échec,... L'analyse n'est jamais allée au delà de 1%, et finalement l'écran s'est figé.

Que faire, maintenant?

[pear]

Essayez ceci;

 

Télécharger OTL sur le bureau
Double cliquer sur l'icône




Si la protection en temps réel de Malwarebytes Anti-Malware est activée..
Il faut absolument la désactiver sous peine de plantage dans MBAM version PRO ou dans MBAM version gratuite si la période d'essai (de 14 jours de la version PRO) est en cours

Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
Cochez]----------------->Tous les utilisateurs (scan all users)
Sous Rapport (output)
Cliquez ----------------------------->Rapport Standard (Standard Output)
Sous Régistre Standard(Standard Registry) cocher Tous(All)
Cochez------------------------------> Lop check et Purity check

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous, en vert:


SAVEMBR:0
NetSvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%SYSTEMDRIVE%\*.exe
%USERPROFILE%\AppData\Local\*.*
%USERPROFILE%\AppData\Roaming\*.*
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
/md5start
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
afd.sys
ahcix86s.sys
atapi.sys
iaStor.sys
iastorv.sys
ipsec.sys
netbt.sys
tcpip.sys
nvrd32.sys
nvstor.sys
nvstor32.sys
explorer.exe
ntoskrnl.exe
services.exe
userinit.exe
winlogon.exe
wininit.exe
/md5stop
CREATERESTOREPOINT

Clic sur Analyse
une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir

Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

[Yann-Paol]

Bonsoir.

Voici les deux rapports d'OTL.

Il y a peut-être eu une interruption dans l'accomplissement du logiciel: mon ordinateur n'était pas branché sur le secteur et il s'est mis en veille vers la fin de l'analyse des nouveaux fichiers. Il semble avoir repris sans difficulté(?). Au temps pour moi, en tout cas. Excusez-moi.

 

http://cjoint.com/?CIduRefe654

http://cjoint.com/?CIduSucHTZ1

 

Merci de me guider dans l'étape suivante.

 

[pear]

Revenez dans Otl


Sous Custom scan Files ou Personnalisation

Copiez Collez

:OTL
IE - HKU\S-1-5-21-2254727682-1686935774-722484824-1001\..\URLSearchHook: {08C06D61-F1F3-4799-86F8-BE1A89362C85} - No CLSID value found
IE - HKU\S-1-5-21-2254727682-1686935774-722484824-1001\..\URLSearchHook: {19803860-b306-423c-bbb5-f60a7d82cde5} - No CLSID value found
IE - HKU\S-1-5-21-2254727682-1686935774-722484824-1001\..\URLSearchHook: {B922D405-6D13-4A2B-AE89-08A030DA4402} - No CLSID value found
FF - user.js - File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@adobe.com/FlashPlayer: C:\Windows\system32\Macromed\Flash\NPSWF64_11_8_800_94.dll File not found
FF:64bit: - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
FF - HKLM\Software\MozillaPlugins\@Apple.com/iTunes,version=: File not found
FF - HKLM\Software\MozillaPlugins\@foxitsoftware.com/Foxit Reader Plugin,version=1.0,application/pdf: File not found
FF - HKLM\Software\MozillaPlugins\@microsoft.com/GENUINE: disabled File not found
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - No CLSID value found.
O2 - BHO: (no name) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - No CLSID value found.
O3 - HKLM\..\Toolbar: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O3 - HKU\S-1-5-21-2254727682-1686935774-722484824-1001\..\Toolbar\WebBrowser: (no name) - {19803860-B306-423C-BBB5-F60A7D82CDE5} - No CLSID value found.
O3 - HKU\S-1-5-21-2254727682-1686935774-722484824-1001\..\Toolbar\WebBrowser: (no name) - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - No CLSID value found.
O4 - HKLM..\Run: [NPSStartup] File not found
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)
O18:64bit: - Protocol\Handler\livecall - No CLSID value found
O18:64bit: - Protocol\Handler\ms-help - No CLSID value found
O18:64bit: - Protocol\Handler\ms-itss - No CLSID value found
O18:64bit: - Protocol\Handler\msnim - No CLSID value found
O18:64bit: - Protocol\Handler\skype4com - No CLSID value found
O18:64bit: - Protocol\Handler\tbr - No CLSID value found
O18:64bit: - Protocol\Handler\wlmailhtml - No CLSID value found
O18:64bit: - Protocol\Handler\wlpg - No CLSID value found
O18 - Protocol\Handler\tbr - No CLSID value found
MsConfig:64bit - StartUpReg: ClamWin - hkey= - key= - File not found
MsConfig:64bit - StartUpReg: ContentTransferWMDetector.exe - hkey= - key= - File not found
MsConfig:64bit - StartUpReg: FlashGet 3 - hkey= - key= - File not found
MsConfig:64bit - StartUpReg: FREEBOX - hkey= - key= - Reg Error: Value error. File not found
MsConfig:64bit - State: "startup" - Reg Error: Key error.
MsConfig:64bit - State: "bootini" - Reg Error: Key error.
MsConfig:64bit - State: "services" - Reg Error: Key error.
[2012/08/29 22:07:03 | 000,000,000 | ---D | M] -- C:\Users\Jean-Paul\AppData\Roaming\Babylon
[2012/08/28 19:45:08 | 000,000,000 | ---D | M] -- C:\Users\Jean-Paul\AppData\Roaming\pdfforge
@Alternate Data Stream - 254 bytes -> C:\ProgramData\Temp:0FF263E8
@Alternate Data Stream - 128 bytes -> C:\ProgramData\Temp:CDEBE8F6

:reg
[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

64bit:- [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*"

[purity]
[emptytemp]
[resethosts]

-------->Cliquer Runfix ou Correction

OTL redémarrera le système automatiquement.
Postez le rapport.

 

Démarrer-<Exécuter
Tapez
sfc / scannow
et validez

La commande sfc /scannow vérifie tous les fichiers système protégés et remplace les versions incorrectes par des versions Microsoft appropriées.
Vous pouvez être invité à insérer un CD-ROM Windows XP Professionnel

le CD n'est pas conforme à la version installée

pour rectifier :
Copier/coller ce qui suiten vertdans le bloc notes,
sans ligne blanche au début.mais une à la fin
Fichier ->Enregistrez sous..
Clic sur bureau à gauche
Dans type de fichier->Tous les fichiers
Dans Nom-> regis.reg.
Allez sur le bureau
Cliquez droit sur le fichier ->fusionner
Acceptez la modification du Régistre:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\COM3\Setup]
"Source Path"="D:\\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MSDTC\Setup]
"Source Path"="D:\\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Transaction Server\Setup(OCM)]
"Source Path"="D:\\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Setup]
"SourcePath"="D:\\"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion]
"SourcePath"="D:\\I386"

Modifié le 4 septembre 2013 par pear

[Yann-Paol]

Bonjour. Merci de votre aide.

OTL a bloqué ("ce programme ne répond pas") alors qu'étaient affichées les lignes

64bit: -[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*

J'ai essayé de "dégager" OTL en arrêtant quelques processus à partir du gestionnaire de tâches (est-ce que cela peut servir à quelque chose?). Je n'ai réussi qu'à faire redémarrer l'ordinateur.

J'ai préféré ne pas aller plus loin avant de vous rendre compte de ce début.

Dois-je réessayer l'opération par exemple en mode sans échec? Est-ce que j'exécute la suite de ce que vous avez proposé? Ou autre chose?

[pear]

C'est normal.

Je ne sais pourquoi, je vous croyais en OS 64 bits.

 

Relancez la procédure après suppression de ces 2 lignes

64bit: -[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command]
""=""%1" %*

e

[Yann-Paol]

... Mais, c'est une version 64 bits! D'ailleurs, c'est coché dans OTL.

J'attends vos indications. Merci.

[pear]

Il semble qu'il manquait un espace.

Voulez vous relancer la procédure que j'ai corrigée ?