[Résolu] PC infecté

[Cyberal]

Bonjour,

 

J'utilise MAM et a chaque fois que je le lance il me dit que je suis infecté. A chaque fois je lui demande de supprimer mais après le redémarrage de rigeur c'est pareil. J'aurai besoin de votre aide.

 

Voici le rapport MAM:

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.09.24.08

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 10.0.9200.16686
Cyberal :: CYBERAL-PC [administrateur]

29/09/2013 15:16:30
MBAM-log-2013-09-29 (15-20-03).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 222632
Temps écoulé: 2 minute(s), 3 seconde(s)

Processus mémoire détecté(s): 1
C:\Program Files (x86)\tuto4pc_fr_68\tuto4pc_fr_68.exe (Adware.Tuto4PC) -> 5608 -> Aucune action effectuée.

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 2
HKLM\SOFTWARE\TUTO4PC (PUP.Tuto4PC) -> Aucune action effectuée.
HKLM\SOFTWARE\TUTO4PC (Trojan.EORezo) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 1
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|tuto4pc_fr_68 (Adware.Tuto4PC) -> Données: "C:\Program Files (x86)\tuto4pc_fr_68\tuto4pc_fr_68.exe" -> Aucune action effectuée.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 2
C:\Program Files (x86)\tuto4pc_fr_68\tuto4pc_fr_68.exe (Adware.Tuto4PC) -> Aucune action effectuée.
C:\Users\Cyberal\AppData\Local\tuto4pc_fr_59\Download\setup_recover_a2_tuto4pc_fr_68.exe (Adware.Tuto4PC) -> Aucune action effectuée.

(fin)

Voici le log HijackThis (le lien dans la procédure n'est plus valide) :

Merci de votre aide

Modifié le 1 octobre 2013 par Notpa

[pear]

Bonjour,

 

Suivez attentivement cette procédure et particulièrement celle de Mbam

 

Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

1)Si vous avez Adwcleaner depuis quelque temps, désinstallez le et installez la dernière version

Télécharger AdwCleaner
Sous Vista et Windows 7_ 8-> Exécuter en tant qu'administrateur
Afin de ne pas fausser les rapports,Scanner et Nettoyer ne doivent être lancés qu'une seule fois
Cliquez sur Scanner et postez le rapport généré C:\AdwCleaner[R1].txt


NettoyageA faire sans délai
Relancez AdwCleaner avec droits administrateur
Cliquez sur Nettoyer et postez le rapport C:\AdwCleaner[s1].txt

2)Télécharger Junkware Removal Tool de thisisu
OS:Windows XP/Vista/7/8
Utilisable sur systèmes 32-bits et 64-bits

Clquez sur Jrt.exe avec droits administrateur.
Si votre antvirus râle,Vous le signalez comme acceptable dans les exceptions de votre antivirus
Une fenêtre noire s'ouvre qui vous dit de cliquer une touche pour lancer le scan.

L'outil va prendre quelques minutes pour fouiller votre machine.
Patientez jusqu'à l'apparition de Jrt.txt dont vous posterez le contenu.

3)

Téléchargez MBAM
Avant de lancer Mbam
Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire
Cliquer ici
Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Exécuter avec droits d'administrateur.
Sous Vista/7/8 , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update/Mises à jour et Launch/Exécuter soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
.L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra


Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.


4)reinitialiser-son-navigateur

5) rapport Zhpdiag
Téchargement de Zhpdiag

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.

Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur


Cliquer Configurer

Cliquez sur le bouton

et choisissez Tous
Pour éviter un blocage , Décochez 045 et 061
Cliquer Rechercher
Le rapport ZhpDiag.txt apparait sur le bureau

[Cyberal]

Bonjour et merci de votre aide,

 

1) AdwCleaner:

http://cjoint.com/data/0IDtRv5S6fB.htm

http://cjoint.com/data/0IDtSnKKqGJ.htm

 

2) JRT

http://cjoint.com/data/0IDtTxRnEIN.htm

 

3) MBAM

http://cjoint.com/data/0IDtYiX9Xj9.htm

 

4) reinit navigateur (pas de log)

 

5) ZhpDiag

http://cjoint.com/data/0IDtZVoHWk3.htm

 

A+ et merci,

Cyberal

[pear]

Vous devez trouver les 2 icônes Zhpdiag, Zhpfix. sur le bureau

ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)
Cliquer sur l'icône Zhpfix
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer Importer
pour inscrire le texte dans la fenêrtre vide qui s'ouvre

[

Script Zhpfix

[MD5.2A665235EE16982136845E78789E69DC] [sPRF][26/08/2012] (.Iminent - Iminent Setup.) -- C:\Users\Cyberal\AppData\Local\Temp\IminentSetup.exe [825976] =>Adware.IMBooster
[MD5.680DA53EFF469E558CAFC4E1D1D323C1] [sPRF][26/08/2012] (.Somoto Ltd. - FilesFrog Update Checker.) -- C:\Users\Cyberal\AppData\Local\Temp\UpdateCheckerSetup.exe [259512] =>Adware.MegaSearch
[HKLM\Software\Classes\Interface\{66EEF543-A9AC-4A9D-AA3C-1ED148AC8EEE}] =>PUP.Whitesmoke
[HKLM\Software\Classes\Interface\{7C28CEF1-A4A6-4B6A-8B97-C44F1267753C}] =>PUP.WebConnect
C:\Users\Cyberal\AppData\Local\Temp\IminentSetup.exe =>Adware.IMBooster^
C:\Users\Cyberal\AppData\Local\Temp\UpdateCheckerSetup.exe =>Adware.MegaSearch^
O4 - GS\Desktop [Cyberal]: Système - Raccourci.lnk - Clé orpheline => Orphean Key not necessary
O51 - MPSK:{04ca857c-2fe9-11e1-b547-806e6f6e6963}\AutoRun\command. (...) -- D:\.\Bin\ASSETUP.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{55E0E4F9-C770-4755-921B-C028C244C08C}C:\users\cyberal\downloads\nattrace.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\cyberal\downloads\nattrace.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{F578AE86-6CF0-4725-84FB-F2E11369244E}C:\users\cyberal\downloads\nattrace.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\cyberal\downloads\nattrace.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{C93D2664-D82E-4A36-B851-1F70EB2AE03E}C:\users\cyberal\desktop\faf\nattrace.exe" |In - Public - P6 - TRUE | .(...) -- C:\users\cyberal\desktop\faf\nattrace.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{436C6DA8-3F6F-4651-B15E-CAD6B87FFB75}C:\users\cyberal\desktop\faf\nattrace.exe" |In - Public - P17 - TRUE | .(...) -- C:\users\cyberal\desktop\faf\nattrace.exe (.not file.) => Fichier absent
O87 - FAEL: "TCP Query User{348D124F-90C9-4281-B751-5E8A82D734F1}D:\cavedog\totala\totala 1500 nocd.exe" |In - Public - P6 - TRUE | .(...) -- D:\cavedog\totala\totala 1500 nocd.exe (.not file.) => Fichier absent
O87 - FAEL: "UDP Query User{B13ED63E-2387-4F5C-8BAA-A20440594631}D:\cavedog\totala\totala 1500 nocd.exe" |In - Public - P17 - TRUE | .(...) -- D:\cavedog\totala\totala 1500 nocd.exe (.not file.) => Fichier absent
EmptyTemp
EmptyClsid
Hostfix
Proxyfix
FirewallRaz
SysRestore



Cliquer sur "Go" en bas, à gauche

Redémarrer pour achever le nettoyage.

Copier-coller,dans la réponse, le contenu du rapport ZHPFixReport.txt qui s'affiche .
Si besoin; il est enregistré sous C:\ZHP\ZHPFixReport.txt

[Cyberal]

Bonjour,

 

J'ai dû executer le script 2 fois car la 1er fois avira a bloqué des choses (la 2nd fois j'ai désactivé avira avant).

 

1er log : http://cjoint.com/data/0IEu7m1CemJ.htm

2ème log : http://cjoint.com/data/0IEu7Th9tqb.htm

 

J'utilise le logiciel MiPony pour télécharger j'aimerai savoir si c'est lui qui m'a infecté ou si c'est autre chose ?

 

Merci de ton aide,

Cyberal

[pear]

Relisez les lignes vertes.

Les infections sont indiquées de cette façon: =>Adware.MegaSearch

 

A)Pubs intempestives ?
Un PUP (Potentially Unwanted Programs) est un programme indésirable.
par exemple: 01NetToolbar ,Conduit, Babylone,Delta Search , Wajam Kiwee etc..
C'est ainsi que 01net depuis quelques temps repack des logiciels pour y ajouter des programmes parasites qui sont d'ailleurs précochés.
Alors .ATTENTION
Le but est de gagner de l'argent à chaque installation réussie.


Cliquez ce lien pour en voir quelques spécimens:

Pour vous éviter cela ou, au moins ,limiter ce genre de problèmes:

1)Cliquez sur le lien suivant
Comment se protéger des Pups Indésirables
2)Quelques solutions complémentaires
HOSTS Anti-PUPs/Adware modifie votre fichier HOSTS afin de vous protéger des sites distribuant les PUPs/LPIs et Adwares :

Filtrer les PUPs/Adwares (programmes parasites) les plus fréquents avec :HOSTS Anti-PUPs/Adwares
HOSTS Anti-PUPs/Adwares par Malekal
Le message ci-dessous va s’ouvrir – Cliquez sur OK pour lancer l’installation :


Le programme va créer un dossier dans %PROGRAMDIR/Hosts_Anti_Adwares_PUPs, un service HOSTS Anti-PUPs et une Clef Run.
Enfin un raccourci Desinstaller_HOSTS_Anti-PUPs est créer sur le bureau si vous souhaitez désinstaller HOSTS_Anti-PUPs/Adware

Le programme va donc être lancé à chaque démarrage le fichier HOSTS.txt sera téléchargé pour mettre à jour le fichier HOSTS de filtrage.
Le programme va aussi checker la version, dans le cas où une nouvelle version est disponible, le programme va la télécharger et l’installer.

Si vous souhaitez désinstaller HOSTS_Anti-PUPs/Adware, lancez le raccourci qui a été créé sur le bureau.

Et ,si ce n'est déjà fait,installez ces 2 extensions pour Firefox:

Adblock+ 2.2.1
Ghostery 2.8.4


B)Ce logiciel va désinstaller les outils utilisés pour la désinfection:

Télécharger DelFix de Xplode


Lancez-le.

Cochez [suppression des outils]
et Cliquez [Exécuter]


C)Si vous pensez que votre problème a trouvé une solution, et afin que ceux qui la cherchent en profitent,
éditez votre premier message (Edition complète)et, dans le titre, inscrivez Résolu.

[1] En bas de votre premier message, cliquer sur Modifier
[2] En bas de l'éditeur qui s'ouvre, cliquer sur Utiliser l'éditeur complet
[3] En haut de l'éditeur complet, ajouter Résolu au début du titre de votre sujet.
[4] Enregistrer les modifications

[Cyberal]

Merci encore pour votre aide

 

Cyberal