[Résolu] Ordinateur PC infecté

[pilus]

Bonjour, une amie m'a passé son pc car elle avait pris un virus, ce dernier n'avait pas d'antivirus d'installé.

 

je lui ai donc installé avast qui après analyse a détecté le virus (win32:alroot-E [Rk]).

Impossible de le mettre en quarantaine, de le supprimer, ni de corriger

.

l'ordinateur n'accede plus a internet (n' envoie plus ni ne reçois de paquets).

 

Je n' ai pas pu installer et lancer l'analyse de ZHPDIAG qu'en mode sans echec .

 

Merci pour votre aide.

 

Pilus

ps: desole lpour le liens (cijoint) je nai pas pu le coller ailleur que dans le titre.

 

Rapport de ZHPDiag.

 

Modifié le 9 février 2014 par Notpa
Déplacement du lien ;o)

[pear]

Bonjour,

 

Il y a du monde!

 

Suivez cette procédure attentivement, point par point, et postez en les rapports dans l'ordre
Comment poster les rapports
Aller sur le site :Ci-Joint
ou PIjoint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.


1)Si vous avez Adwcleaner depuis quelque temps, désinstallez le et installez la dernière version

Télécharger AdwCleaner
Sous Vista et Windows 7_ 8-> Exécuter en tant qu'administrateur
Afin de ne pas fausser les rapports,Scanner et Nettoyer ne doivent être lancés qu'une seule fois
Cliquez sur Scanner et postez le rapport généré C:\AdwCleaner[R1].txt


Nettoyage A faire sans délai
Relancez AdwCleaner avec droits administrateur
Cliquez sur Nettoyer Une seule fois pour ne pas perturber la procédure
et postez le rapport C:\AdwCleaner[s?].txt

2)Télécharger Junkware Removal Tool de thisisu
OS:Windows XP/Vista/7/8
Utilisable sur systèmes 32-bits et 64-bits

Clquez sur Jrt.exe avec droits administrateur
Si votre antvirus râle,Vous le signalez comme acceptable dans les exceptions de votre antivirus
Une fenêtre noire s'ouvre qui vous dit de cliquer une touche pour lancer le scan.

L'outil va prendre quelques minutes pour fouiller votre machine.
Patientez jusqu'à l'apparition de Jrt.txt dont vous posterez le contenu.

3)

Téléchargez MBAM
Avant de lancer Mbam
Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire
Cliquer ici
Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Exécuter avec droits d'administrateur
Sous Vista/7/8 , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update/Mises à jour et Launch/Exécuter soient cochées

MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:

Si le pare-feu demande l'autorisation de connecter MBAM, acceptez

Une fois la mise à jour terminée, allez dans l'onglet Recherche.

Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
.L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra


Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.


4)Il faut parfois (Infection qv06, qone)nettoyer les raccourcis (icones) de lancement des navigateurs.
clic droit->propriétés sur les icones de raccourcis de lancement des navigateurs
Dans le champ cible, après le chemin du navigateur WEB s'il se trouve une adresse HTTP ajoutée pour ouvrir un autre site au démarrage du navigateur,
supprimer cette adresse http.

Shortcut Cleaner
C'est un utilitaire qui va scanner votre ordinateur pour les raccourcis Windows qui ont été détournés par des logiciels indésirables ou malveillants.
S'il trouve des raccourcis défectueux, il va automatiquement les nettoyer pour qu'ils n'ouvrent pas les programmes indésirables.

5)Il faut Réinitialiser votre Navigateur
Cliquer Ici

et ,si ce n'est pas suffisant , désinstallez / réinstallez le


6) rapport Zhpdiag
Téchargement de Zhpdiag

Double-cliquer sur ZHPDiag.exe pour installer l'outil
Il devrait y avoir 2 icônes sur le bureau ou dans le fichier d'installation de Zhpdiag.

Sous XP, double clic sur l'icône ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur


Cliquer Configurer

Cliquez sur le bouton

et choisissez Tous
Pour éviter un blocage , Décochez 045 et 061
Cliquer Rechercher
Le rapport ZhpDiag.txt apparait sur le bureau

[Dylav]

Bonjour à vous deux,

 

Pilus, si tu ne réussis pas à mettre en œuvre l'icône (1) d'insertion d'un lien, clique d'abord sur l'icône (2), dite « interrupteur », ce qui débloquera toutes les icônes de mise en page...

 

 

J'ai transféré ton lien ZHPDiag du titre dans le corps de ton message...

[pilus]

Merci pour la rapidite de votre reponse et merci a Dylav pour l'info.

 

Voici donc les différents rapports:

 

AdwCleaner:

 

http://cjoint.com/?DADtB5FFN85

 

http://cjoint.com/?DADtC5ti4h2

 

Junkware Removal : celui-ci ne m'a pas affiche de rapport même en faisant deux analyses.

 

MBAM: la mise a jour ne s'est pas faite. l'ordi ne se connecte pas a internet, pourtant il est branché en ethernet.

voici quand meme le rapport:

 

http://cjoint.com/?DADtH5shjpK

 

Shortcut Cleaner m'a affiche un rapport:

 

http://cjoint.com/?DADtJ1zupFU

 

ZhpDiag:

 

http://cjoint.com/?DADtK7J023B

 

avast me renvoit toujours le message: rookit win32:aluroot-E[rk].

 

 

 

internet est inaccessible même en ayant reinstalle le pilote de la carte ethernet.

 

En vous remerciant.

[pear]

Télécharger RogueKiller (by tigzy) sur le bureau
En fonction de votre système ,choisissez la version 32 ou 64 bits
Quitter tous les programmes
Lancer RogueKiller.exe. Acceptez le disclaimer
En cas de blocage Renommer RogueKiller.exe -> winlogon.exe
Patienter le temps du Prescan ...
Cliquer sur Scan.
Cliquer sur Rapport et copier/coller le contenu

Nettoyage

Dans l'onglet "Registre", décocher les lignes que vous avez volontairement modifiées
(Si vous n'avez rien modifié ,vous n'avez donc pas de raison valable d'en décocher. )
Cliquer sur Suppression.
Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait
Suppression ne suffit pas .Faites la suite
Cliquer sur Host RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu
Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu
Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu
Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad
Sauf avis contraire, ne touchez pas aux index SSDT
Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT
(Liste des index)

Il y aura 6 rapports à fournir après le nettoyage.

 

 

 

Si vous n'avez pas de connexion internet,
démarrez en mode sans échec avec opton réseau
ou installez les logiciels sur clé usb à l'aide d'un pc valide.

et sinon:

Il vous faut une autre machine en état de marche disposant d'un graveur où vous insérez un disque vierge(cd ou dvd)
Sur la machine malade,vérifier l'ordre du boot dans le BIOS et mettre le lecteur cd(dvd) en premier(First boot)

Télécharger OTLPEStd.exe

Ou à partir de ce lien
sur le Bureau
Le fichier fait plus de 97MB, soyez donc patient pour le téléchargement.
Lancez le fichier OTLPEStd.exe ;
Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.
Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.
Vous devez voir bureau REATOGO-X-PE


Utilisez Internet Explorer ou Firefox pour
Télécharger RogueKiller (by tigzy)
Installez le sur clé usb.
Si vous n'avez pas d'accès Internet,utilisez la machine propre pour le télécharger vers une clé Usb
En fonction de votre système ,choisissez la version 32 ou 64 bits
Lancer RogueKiller.exe.Acceptez le disclaimer
Patienter le temps du Prescan ...
Cliquer sur Scan.
Cliquer sur Rapport et copier/coller le contenu

Nettoyage

Dans l'onglet "Registre", décocher les lignes que vous avez volontairement modifiées
(Si vous n'avez rien modifié ,vous n'avez donc pas de raison valable d'en décocher. )
Cliquer sur Suppression. Cliquer sur Rapport et copier/coller le contenu
Cliquer sur Host RAZ. Cliquer sur Rapport et copier/coller le contenu
Cliquer sur Proxy RAZ. Cliquer sur Rapport [/b]et copier/coller le contenu
Cliquer sur DNS RAZ. Cliquer sur Rapport[/b]etcopier/coller le contenu
Cliquer sur Racc. RAZ. Cliquer sur Rapport[/b] et copier coller le contenu du notepad
Sauf avis contraire, ne touchez pas aux index SSDT
Dans l'onglet Driver,pour réparer les index SSDT suivants en faisant un clic droit sur leur ligne => Restaurer SSDT
(Liste des index)

Note. Le bouton Suppression ne sera pas accessible tant que le scan n'aura pas été fait

Modifié le 30 janvier 2014 par pear

[pilus]

Merci pour votre aide voici les rapports de RogueKiller

 

Rapport du scan:

http://cjoint.com/?DAEreIH9Jq6

 

rapport apres suppression:

http://cjoint.com/?DAErgUYH4dC

 

rapport Host RAZ:

http://cjoint.com/?DAEri3TBkvp

 

rapport Proxy RAZ:

http://cjoint.com/?DAErjWfykEy

 

rapport DNS RAZ:

http://cjoint.com/?DAErk3P79Vp

 

rapport Racc. RAZ:

http://cjoint.com/?DAErl216yIU

 

J'ai booté avec REATOGO-X-PE il a aparement correctement fonctionne, l'ordi a redemaré, avast trouve toujours le virus ( rookit win32:aluroot-E[rk]), la connection internet n'est toujours pas retablie. c'est un virus coriace.

 

Faut-il refaire une analyse avec RogueKiller

 

 

merci pilus.

[pear]

Rogue killer n'a rien vu!

 

Postez le rapport de l'antivirus.

 

Vous devez trouver les 2 icônes Zhpdiag, Zhpfix. sur le bureau

ou sinon dans le dossier où vous avez installé Zhpdiag (Program files ->Zhpdiag ->Zhpfix)
Cliquer sur l'icône Zhpfix
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
Copiez/Collez les lignes vertes dans le cadre ci dessous:
pour cela;
Clic gauche maintenu enfoncé, Balayer l'ensemble du texte à copier avec la souris pour le mettre en surbrillance ,de gauche à droite et de haut en bas
Ctrl+c mettre le tout en mémoire
Cliquer Importer
pour inscrire le texte dans la fenêrtre vide qui s'ouvre

[

Script Zhpfix

G2 - GCE: Preference [user Data\Default] [jpmbfleldcgkldadpdinhjjopdfpjfjp] Wajam v.1.32 (Désactivé)
[HKCU\Software\TBSB07183]
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe
[HKLM\Software\Google\Chrome\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp]
[HKCU\Software\TBSB07183]
C:\Documents and Settings\Val\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\jpmbfleldcgkldadpdinhjjopdfpjfjp
McAfee Security Scan Plus v2.0.181.2
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{4562096D-4B1E-46B4-AAF2-E3492D44118E} Clé orpheline
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{3EEC3C07-13C6-4B41-87C6-40B425A0B0A2} Clé orpheline
O4 - GS\Program [AllUsers]: McAfee Security Scan Plus.lnk . (.McAfee, Inc. - McAfee Security Scanner Scheduler.) -- C:\Program Files\McAfee Security Scan\2.0.181\SSScheduler.exe
O4 - HKLM\..\Run: [Cmaudio] Clé orpheline
O4 - HKLM\..\Run: [NPSStartup] Clé orpheline
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\ReclaimerUpdateFiles_Anais-Marie.job [430]
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\ReclaimerUpdateXML_Anais-Marie.job [426]
O39 - APT:Automatic Planified Task - C:\WINDOWS\Tasks\RNUpgradeHelperLogonPrompt_Anais-Marie.job [436]
[HKCU\Software\PCTools]
O44 - LFC:[MD5.3177EDEA51EDFB23A112E43975EE80E6] - 28/01/2014 - 18:19:35 ---A- . (...) -- C:\WINDOWS\ydi.log [17508]
O51 - MPSK:{818d380a-f489-11de-8671-0011d88a80c0}\AutoRun\command. (...) -- L:\System\Security\DriveGuard.exe (.not file.)
O51 - MPSK:{89680fd0-579b-11df-8746-0011d88a80c0}\AutoRun\command. (...) -- L:\System\Security\DriveGuard.exe (.not file.)
SS - | Demand 15/01/2010 227232 | (McComponentHostService) . (.McAfee, Inc..) - C:\Program Files\McAfee Security Scan\2.0.181\McCHSvc.exe
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{9E96C0CD-A901-4032-9236-0E4A264AEEE4} Clé orpheline
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{CFCB809C-3A22-4616-A916-6C007BD9D920} Clé orpheline
O4 - HKCU\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (.not file.)
O4 - HKUS\S-1-5-21-789336058-746137067-725345543-1004\..\Run: [swg] C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe (.not file.)
[HKCU\Software\FileConverter_1.5]
O43 - CFD: 07/10/2013 - 18:15:53 - [23,805] ----D C:\Documents and Settings\Val\Local Settings\Application Data\FileConverter_1.5
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{9e96c0cd-a901-4032-9236-0e4a264aeee4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{9e96c0cd-a901-4032-9236-0e4a264aeee4}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{CFCB809C-3A22-4616-A916-6C007BD9D920}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{CFCB809C-3A22-4616-A916-6C007BD9D920}]
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\FileConverter_1.5 Toolbar]
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\WiseConvert_1.5 Toolbar]
[HKCU\Software\FileConverter_1.5]
[HKCU\Software\NCH_FR]
[HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:swg
C:\Documents and Settings\Val\Local Settings\Application Data\NCH_FR
O4 - GS\Program [AllUsers]: Microsoft Office.lnk . (.Microsoft Corporation - Microsoft Office 2000 component.) -- C:\Program Files\Microsoft Office\Office\OSA9.exe
EmptyClsid
Proxyfix
FirewallRaz
ShortcutFix
SysRestore



Cliquer sur "Go" en bas, à gauche
Redémarrer pour achever le nettoyage.

Le contenu du rapport ZHPFixReport.txt qui s'affiche est enregistré sous C:\ZHP\ZHPFixReport.txt



Télécharger SFTGC.exe
sur le Bureau, impérativement sous peine de risquer un plantage

Il peut être nécessaire de fermer ou désactiver tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Certains outils sont parfois detectés par votre Anti-virus ou votre Anti-Malware comme étant un "RiskTool", un virus ou un "Trojan", or ce n'est pas le cas.
Comment désactiver les protections résidentes
Bien évidemment, vous les rétablirez ensuite.

Sous XP, double cliquer sur le fichier.
Sous Vista/7/8, clic droit sur le fichier pour Exécuter en tant qu'administrateur.

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

Un rapport (SFT.txt) va s'ouvrir à la fin enregistré sur le bureau .

 

Lancez le fichier OTLPEStd.exe ;
Un fichier .iso inclus dans le téléchargement sera gravé sur le disque vierge qui permettra d'avoir accès aux fichiers de la machine malade.
Insèrez le disque gravé sur la machine infectée et démarrez à partir de ce disque.
Vous devez voir bureau REATOGO-X-PE


Utilisez Internet Explorer pour télécharger:

Choisissez la version 32 ou 64 bits en fonction de votre système

FRST 64 de Farbar
Frst 32 de Farbar
Fermez toutes les applications, y compris le navigateur
Double-clic sur FRST64.exe et sur Oui pour accepter le Disclaimer
Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur


Sur le menu principal,

clic sur Scan
A la fin du scan, un rapport FRST.txt s'ouvre.
Au premier lancement, un fichier nommé Addition.txt sera créé
Postez les rapports


Comment poster les rapports
Aller sur le site :Ci-Joint
ou PIjoint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Modifié le 31 janvier 2014 par pear

[pilus]

Bonjour, cette fois-ci tout c'est deroule correctement et completement vopici donc les rapports.

 

ZHPFixReport

http://cjoint.com/?DAFqBfNKlFW

 

SFTGC:

http://cjoint.com/?DAFqDm0cjNV

 

Frst 32 de Farbar:

http://cjoint.com/?DAFqEFUq0Sd

 

Toujours pas de connectiopon internet, avast detecte toujours le virus.

[pear]

Ce deuxième outil non plus ne détecte pas votre intrus.

Postez le rapport Avast qui le détecte.

 

Nettoyage

utiliser le Bloc-notes (notepad) sinon la correction ne fonctionnera pas si Word ou un autre programme est utilisé.
Dans le Bloc-notes (Démarrer -> Tous les programmes -> Accessoires -> Bloc-notes)
Copier/coller le texte ci-dessous :

start
C:\Users\public\MyWebTattoo.exe
C:\Users\public\RemoveSGP.exe
C:\Users\public\RemoveSGP0.exe
end


Enregistrer le fichier sur le Bureau (au même endroit que FRST) sous fixlist.txt
Fermer toutes les applications, y compris le navigateur
Double-clic sur FRST64.exe
/!\ Sous Vista, Windows 7 et 8, il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Sur le menu principal, cliquer une seule fois sur Fix et patienter le temps de la correction

L'outil va créer un rapport de correction Fixlog.txt. Poster ce rapport dans la réponse.

 

Ensuite:

 

Étape 1: TDSSKiller (de Kaspersky), installation
Téléchargez tdsskiller sur le Bureau.

Étape 2: TDSSKiller (de Kaspersky), exécution
Faites un double clic sur TDSSKiller.exe pour le lancer.

L'écran de TDSSKiller s'affiche:


Cliquez sur Change parameters

L'écran Settings de TDSSKiller s'affiche:


Cochez la case située devant Loaded modules

Il y a immédiatement ouverture d'une petite fenêtre "Reboot is required".


Cliquez sur le bouton Reboot now, ce qui va provoquer un redémarrage du PC.

Le PC redémarre.

TDSSKiller va se lancer automatiquement après ce redémarrage, et votre PC peut alors sembler être très lent et inutilisable.

Soyez patient, et attendez que vos programmes se chargent.

L'écran de TDSSKiller s'affiche:


Cliquez sur Change parameters

Cochez toutes les cases, comme ceci:


puis cliquez sur le bouton OK.

Cliquez maintenant sur Start scan pour lancer l'analyse.

Déroulement de l'analyse:


Lorsque l'outil a terminé son travail d'inspection (ce qui prend quelques minutes),

Si des objets nuisibles ("Malware objects") ont été détectés, le programme sélectionne automatiquement l'action à effectuer:

*- soit Cure - option par défaut, ne la modifiez pas
*- soit Skip - dans ce cas, cliquez sur la petite flèche vers le bas située à coté de Skip afin d'ouvrir la liste des options disponibles. Si Cure est présent, il faut le sélectionner, sinon ne modifiez rien.
*- soit Delete - dans ce cas, cliquez sur la petite flèche vers le bas située juste à côté de Delete afin d'ouvrir la liste des options disponibles. Puis dans le menu déroulant choisissez Skip. Ne laissez pas l'option Delete sans que cela vous soit expressément demandé.

Si des objects suspects ("Suspicious objects") ont été détectés, sur l'écran de demande de confirmation, laissez l'action à entreprendre sur Skip:


Ensuite cliquez sur le bouton Continue

Un redémarrage est nécessaire:


Cliquez sur Reboot computer


Étape 3: Résultats
Envoyez en réponse:
*- le rapport de TDSSKiller (contenu du fichier %SystemDrive%\TDSSKiller.Version_Date_Heure_log.txt)
[%SystemDrive% représente la partition sur laquelle est installé le système, généralement C:]

Comment poster les rapports
Aller sur le site :Ci-Joint
Appuyez sur Parcourir et chercher les rapports sur le disque,
Cliquer sur Ouvrir
Cliquer sur Créer le lien CJoint,
>> dans la page suivante --> ,,
une adresse http//.. sera créée
Copier /coller cette adresse dans votre prochain message.

Modifié le 31 janvier 2014 par pear

[pilus]

ou puis-je trouver le rapport avast y a t-il in fichier .txt