[Résolu] Infection Win32

[kimi10]

Bonjour à tous,

 

A 2 reprises ce jour, mon pare-feu a détecté 2 problémes graves, sans doute dûs à Cacaoweb dont je n'arrive pas à me débarrasser :

 

Détection du Bouclier résident Nom de la menace Résultat Date de la détection Type d'objet Processus Virus identifié Win32/Heur, c:\System Volume Information\_restore{D44870F8-BB07-46F8-A47D-4CAF911022A6}\RP1055\A0169337.dll Sécurisé 23/11/2013, 17:31:20 Fichier ou répertoire C:\WINDOWS\system32\svchost.exe Virus identifié Win32/Heur, c:\System Volume Information\_restore{D44870F8-BB07-46F8-A47D-4CAF911022A6}\RP1055\A0169340.dll Sécurisé 23/11/2013, 18:34:29 Fichier ou répertoire C:\WINDOWS\system32\svchost.exe

 

AVG Antivirus Free quant à lui fait ressortir plusieurs infections suite analyse compléte du 21/11 : http://cjoint.com/?3KxsXEspXHM.

 

De plus, malgré plusieurs redémarrages effectués à sa demande pour finaliser les maj, le message " redémarrage de l'ordinateur requis " s'affiche toujours ... Je crois qu'il y a un sérieux probléme !

 

Merci pour votre aide

Modifié le 18 décembre 2013 par kimi10

[pear]

Bonjour,

 

Lancez cet outil de diagnostic:

Téchargement de Zhpdiag
Autres liens en cas de défaiillance du précédent
Ici ou Là


Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.


Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur

Cliquer Configurer
Cliquez sur le bouton
et choisissez Tous
Pour éviter un blocage , Décochez 045 et 061
Cliquer Rechercher
Le rapport ZhpDiag.txt apparait sur le bureau


Comment poster les rapports
Aller sur le site :
Ci-Joint
ou
Pijoint
Appuyez sur Parcourir et chercher les rapports sur le bureau
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

[kimi10]

Bonjour,

 

Merci de votre réponse.

 

Voici donc le rapport ZHPDiag aprés l'avoir installé sous C:/Program files avecraccourci sur le bureau. Aucun périphérique n'était raccordé pour cette analyse.

[pear]

---\\ Logiciels de protection du système
AVG 2014 v14.0.3629
Symantec Endpoint Protection v11.0.2010.25


Ils se marchent sur les pieds.
Il n'en faut qu'un seul.

Suivez cette procédure attentivement, point par point, et postez en les rapports dans l'ordre
Comment poster les rapports
Aller sur le site :Ci-Joint
ou PIjoint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.


1)Si vous avez Adwcleaner depuis quelque temps, désinstallez le et installez la dernière version

Télécharger AdwCleaner
Sous Vista et Windows 7_ 8-> Exécuter en tant qu'administrateur
Afin de ne pas fausser les rapports,Scanner et Nettoyer ne doivent être lancés qu'une seule fois
Cliquez sur Scanner et postez le rapport généré C:\AdwCleaner[R1].txt


Nettoyage A faire sans délai
Relancez AdwCleaner avec droits administrateur
Cliquez sur Nettoyer Une seule fois pour ne pas perturber la procédure
et postez le rapport C:\AdwCleaner[s1].txt

2)Télécharger Junkware Removal Tool de thisisu
OS:Windows XP/Vista/7/8
Utilisable sur systèmes 32-bits et 64-bits

Clquez sur Jrt.exe avec droits administrateur.
Si votre antvirus râle,Vous le signalez comme acceptable dans les exceptions de votre antivirus
Une fenêtre noire s'ouvre qui vous dit de cliquer une touche pour lancer le scan.

L'outil va prendre quelques minutes pour fouiller votre machine.
Patientez jusqu'à l'apparition de Jrt.txt dont vous posterez le contenu.

3)

Téléchargez MBAM
Avant de lancer Mbam
Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire
Cliquer ici
Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Exécuter avec droits d'administrateur.
Sous Vista/7/8 , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update/Mises à jour et Launch/Exécuter soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
.L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra


Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.


4)Il faut parfois (Infection qv06, qone)nettoyer les raccourcis (icones) de lancement des navigateurs.
clic droit->propriétés sur les icones de raccourcis de lancement des navigateurs
Dans le champ cible, après le chemin du navigateur WEB s'il se trouve une adresse HTTP ajoutée pour ouvrir un autre site au démarrage du navigateur,
supprimer cette adresse http.

Shortcut Cleaner
C'est un utilitaire qui va scanner votre ordinateur pour les raccourcis Windows qui ont été détournés par des logiciels indésirables ou malveillants.
S'il trouve des raccourcis défectueux, il va automatiquement les nettoyer pour qu'ils n'ouvrent pas les programmes indésirables.

5)Il faut Réinitialiser votre Navigateur


6) rapport Zhpdiag
Téchargement de Zhpdiag

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.

Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur


Cliquer Configurer

Cliquez sur le bouton

et choisissez Tous
Pour éviter un blocage , Décochez 045 et 061
Cliquer Rechercher
Le rapport ZhpDiag.txt apparait sur le bureau

[kimi10]

J'avais déja tenté la désinstallation de Symantec, l'ancien AV mis en place par mon administrateur réseau; mais à chaque fois un message d'erreur 1327 signale que le lecteur M est invalide, d'ou le message "Erreur irrécupérable lors de l'installation" en Ajout/Suppression de programmes ....

 

Voici le rapport du scan AdwCleaner, mais aprés l'avoir relancé, le nettoyage ne semble possible qu'en lançant un nouveau scan ...

Modifié le 24 novembre 2013 par kimi10

[pear]

 

message d'erreur 1327 signale que le lecteur M est invalide

 

Ceci arrive quand un lecteur a été supprimé ou sa lettre modifiée.

Il faut donc supprimer toute les référence à ce lecteur dans la base de registre.

La procédure:

Démarrer->Exécuter-> Regedit

Dans "Edition->Rechercher indiquer la lettre du lecteur à vérifier p.ex. M

Supprimer la clé qui contient un chemin d'accès avec M(par exemple)

F3 pour afficher les entrées suivantes et les supprimer

et ainsi jusqu'a ce que la recherche ne donne plus de résultat.

Fermez la base de registre

 

Normalement, vous pourrez maintenant installer ou désinstaller les programmes sans problème.

 

 

Avez- vous obtenu un rapport de suppression d'Adwcleaner ?

Si oui, postez le.

En tous cas , continuez la procédure.

[kimi10]

Je ne peux pas déclencher le nettoyage, car aprés avoir relancé AdwCleaner, le nettoyage ne semble possible qu'en lançant un nouveau scan, ce qui n'est pas recommandé dans la procédure .. Je relance malgré tout un nouveau scan, de facon à enchainer directement avec le nettoyage ?

 

Concernant regedit, avec la seule lettre M en critére, la recherche paraît fastidieuse; j'ai donc saisi M:, qui ne donne pas de résultat probant. Comment peut'on identifier le chemin d'accés de la clé? Faut'il rechercher dans les valeurs et données ?Existe t'il un tuto pour visualiser la démarche à suivre, je ne pense pas avoir fait la bonne manip !

 

Je préfére attendre votre réponse avant de pousuivre la procédure ...

[pear]

1) lettre du lecteur:

http://michel.vergriete.perso.sfr.fr/154xp.html

 

2) Avez-vous obtenu un rapport de suppression d'Adwcleaner ?

Si oui, postez-le.

En tous cas, continuez la procédure.

[kimi10]

1) Aucune des solutions proposées ne m'a permis de détecter le lecteur M supprimé; je me suis rabattu vers la commande subst M: C:\ qui m'a a priori permis de désinstaller Symantec avec succès.

 

2) Je continue la procédure, étant bloqué avec AdwCleaner.

 

Voici donc le rapport JRT dans un 1er temps

[kimi10]

Bonjour,

 

Et voici le rapport MBAM, à l'issue duquel j'ai procédé à un redémarrage immédiat, comme cela était demandé par MBAM pour supprimer correctement toutes les menaces actives; pour info, durant l'analyse, MBAM a bloqué l'accés a plusieurs sites Web potentiellement malveillants :

• 85.234.168.213
• 77.78.245.237
• 89.28.51.53