Désinfection PC

[HotFuzz31]

Bonjour/Bonsoir a tous,

 

On m'a donné un PC a désinfecter, nettoyer, rebooster un peu. C'était une vrai usine a ennuie, j'ai pu me debrouiller avec la plupart mais cependant et malheureusement il reste des traces sur certains scan. Pourriez vous m'aider? Merci

 

(et en attendant je vais faire mes recherches pour ce qui reste =) )

 

 

Rapport ZHPDiag:

http://cjoint.com/14ma/DCtt1f2W4Jj.htm

 

Rapport ADWCleaner:

http://cjoint.com/14ma/DCtt3EzAa1F.htm

 

Rapport MBAM:

http://cjoint.com/?DCtt4BSeOTf

 

J'ai fait un scan complet avec MBAM, tout ce qui étais en quarantaine ->éffacé

Avec AVAST scan rapide puis complet avant le démarrage -> idem quarantaine ->éffacé

 

EDIT:

j'ai utilisé l'outil JRT, voici le rapport:

 

http://cjoint.com/14ma/DCtuvsw3vrF.htm

 

EDIT2:

 

Voici donc le nouveau rapport ZHPDIAG:

 

http://cjoint.com/14ma/DCtuFlK1jBh.htm

Modifié le 19 mars 2014 par HotFuzz31

[tomtom95]

Bonsoir HotFuzz31,

Pendant cette prise en charge
je vais vous demander de ne pas utiliser d'autres outils pour la compréhension et d'éviter des problèmes.

Commencer par désinstaller le programmes p2p eMule source d'infection multiple
Les risques du peer-to-peer

Plus les ancienne version de JAVA
Java 6 Update 15
Java 6 Update 22
ETC...

Télécharge RogueKiller (par tigzy). sur le bureau

votre système est un 64 Bits cliquer sur X64

• IMPORTANT:Quitte tous tes programmes en cours
  Désactive tes protections (Antivirus et par-feu)
• Lance RogueKiller.exe.
• Clique droit -> exécuter en tant qu'administrateur
  
  Note : Attends que le PreScan ait fini.
• Accepte la licence.
• Clique sur Scan.
• Clique sur Suppression.
• Clique sur Proxy RAZ.
• Clique sur Host RAZ.
• Clique sur DNS RAZ.

[Hébergez les 5 rapports présent sur ton bureau sur le site http://www.cjoint.com
Puis copie/colle les liens fourni dans ta prochaine réponse.

 

 

[HotFuzz31]

J'avais déjà fais un scan, juste après le post du sujet et aussi une supression mais pas celle des host etc, j'ai relancé le log, dslé j'ai merdouillé la y'aura donc 7 log

 

1er scan:

Rapport1: http://cjoint.com/?DCtwgEqA5if

Rapport2: http://cjoint.com/?DCtwhlPNwrL

 

2nd scan:

 

Rapport1 Scan: http://cjoint.com/?DCtwhOwqfFb

Rapport2 Destroy (?) : http://cjoint.com/?DCtwibIT7yP

Rapport3 proxy: http://cjoint.com/?DCtwi5lUIPt

Rapport4 host: http://cjoint.com/?DCtwjCGTRNW

Rapport5: http://cjoint.com/?DCtwj1bspGq

 

 

Pour eMule -> Je le supprimerai pas par moi meme, c'est pas que je veux pas (surtout qu'on fait bien mieux depuis) mais cet ordi ne m'appartiens pas, je prefere leur expliquer que leur mettre devant le fais accompli ( j'en suis le premier désolé et encore merci de ton aide) !

Modifié le 19 mars 2014 par HotFuzz31

[tomtom95]

Ok c'est bon pour le détournement du proxy

 

Depuis le 15 mars 2013, Microsoft a arrêté le service MSN au profit de Skype.
Vous avez Skype sur le pc vous pouvez peut être désinstaller Windows Live Messenger
Comme Microsoft Office - 60 Day Trial (valable que 60 jours)

• Ferme toutes les applications en cours (notamment ton navigateur)
  Désactive tes protections (Antivirus et par-feu)
• Cliquez sur l'icône ZHPFix,présent sur votre Bureau
  pour vista/W7/W8 clique-droit > exécuter en tant qu'administrateur
• Surlignez le texte ci-dessous puis cliquez droit Copier
  
  

  Script ZHPFix
  C:\Windows\Installer\ea469.msi
  R5 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:56847
  O3 - Toolbar\WebBrowser: (no name) - [HKCU]{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} Clé orpheline
  O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline
  O3 - Toolbar\WebBrowser: (no name) - [HKCU]{21FA44EF-376D-4D53-9B0F-8A89D3229068} Clé orpheline
  O4 - GS\Accessories [sandra]: Run.lnk - Clé orpheline
  O4 - GS\Accessories [aurélia_2]: Run.lnk - Clé orpheline
  O4 - GS\Desktop [aurélia_2]: DCIM - Raccourci.lnk - Clé orpheline
  O4 - GS\Accessories [aurélia]: Run.lnk - Clé orpheline
  O4 - GS\Desktop [aurélia]: Aller sur MSN.fr.lnk - Clé orpheline
  O4 - GS\Startup [aurélia]: Notification de cadeaux MSN.lnk . (...) -- C:\Users\sandra\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe (.not file.)
  O43 - CFD: 14/11/2010 - 12:06:30 - [0] ----D C:\Program Files (x86)\Common Files\Symantec Shared
  O43 - CFD: 14/11/2010 - 12:08:53 - [0,015] ----D C:\ProgramData\Norton
  O43 - CFD: 05/11/2009 - 01:47:52 - [5,325] ----D C:\ProgramData\NortonInstaller
  [MD5.EAE0AC399A7607456F4947AE0EED8D8C] [sPRF][30/08/2012] (.Pas de propriétaire - ZalmanInstaller.) -- C:\Users\sandra\Desktop\Otshot_installerSoftoic11_fr.exe [596080]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{AA58ED58-01DD-4D91-8333-CF10577473F7}]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D2CE3E00-F94A-4740-988E-03DC2F38C34F}]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{08234a0d-cf39-4dca-99f0-0c5cb496da81}]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{65C0025A-2CDE-43C5-82D0-C7A56EF0DB39}]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{18455581-E099-4BA8-BC6B-F34B2F06600C}]
  [HKCU\Software\KasperskyLab]
  [HKLM\Software\Wow6432Node\Symantec]
  
  ShortcutFix
  EmptyPrefetch

  PROXYFix
  EmptyCLSID
  FirewallRaz
  EmptyTemp
  EmptyFlash
  Sysrestore

• Dans l'interface de ZHPFix Cliquez sur Importer et sur OK
  
  
  
  Attention :vérifiez que que toutes les lignes se sont collées
• Puis Cliquez sur "GO"
• Confirmez les nettoyages des données en cliquant sur "Oui"
  
  Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
• Une fois le scan terminé le fichier ZHPFixReport à été crée sur le bureau.
• Hébergez le rapport ZHPFixReport sur le site http://www.cjoint.com
  puis copier/coller le lien fourni dans votre prochaine réponse.

• Télécharger sur le bureau pas ailleur SFTGC.exe de pierre 13
• Si l'antivirus fait des siennes: désactive-le provisoirement.
  Si tu ne sais pas comment faire, reporte-toi à cet article.
• Sous XP, double cliquer sur le fichier.
• Sous Vista, Win 7 et Win 8, Faire un clic droit sur le fichier et choisir exécuter en tant qu'administrateur
  
• Pour lancer le nettoyage, il suffit de cliquer sur Go.
• A la fin du nettoyage, un rapport va s'ouvrir.
• Ce rapport est enregistré sur le bureau (SFTGC.txt)
  Ce rapport étant trop long pour le forum, héberge le :
• Sur Cjoint.com[/url] et copie-colle le lien fourni dans ta réponse

• Télécharger CTR.exede pierre 13 sur le bureau
• Double cliquer sur le fichier pour le lancer.
• sous Windows : 7/8 et Vista exécuter en tant qu'administrateur
• L'analyse ne dure que quelques instants.
• Le rapport est sur le bureau (CTR.txt)
• Hébergez le rapport sur le site http://www.cjoint.com
  Puis copier/coller le lien fourni dans votre prochaine réponse.

• Faite la mise à jour MalwareByte's Anti-Malware présent sur votre ordinateur
• Exécute ensuite MalwareByte's .
• sélectionne "Exécuter un examen complet".
• Afin de lancer la recherche
• clique sur"Rechercher".
• Coche toutes les cases de vos lecteurs ....
• clique sur"Rechercher"pour lancer le scanne.
• Une fois le scan terminé une fenêtre s'ouvre clique sur OK.
• Si des infections sont présentes
• clique sur "Supprimer la sélection". Enregistre le rapport sur ton Bureau.
  IMPORTANT : Si MalwareByte's Anti-Malware a besoin de redémarrer pour terminer la suppression accepte en cliquant sur Ok
• Héberge le rapport sur le site http://www.cjoint.com
  puis copie/colle le lien fourni dans ta prochaine réponse.

A+

[tomtom95]

Après pour mettre à jour JAVA et Flash player

Télécharge SX Check&Update de igor51 et enregistre-le sur ton Bureau
Ferme toutes les applications, y compris ton navigateur
Double-clique sur SXCU.exe pour lancer l'application
Sous Vista, Windows 7 et 8, clique-droit > exécuter en tant qu'administrateur

Vous pouvez visualiser instantanément les mises à jour à faire
( OUT = mettre à jour) ( OK = logiciel à jour)
Au menu principal, clique sur le bouton Rapport
Poste le rapport_SX.txt dans ta prochaine réponse.
Si ton antivirus émet une alerte ou bloque l'outil, il faut le désactiver temporairement (le fichier SXCU.exe est sûr)
Explication Mettre à jour les logiciels à risque

[HotFuzz31]

Re

 

Je post donc les rapports,

ZPHFIx:

http://cjoint.com/?DCuaTpMCkKE

 

SFTGC:

http://cjoint.com/?DCuaUNDIvhA

 

CTR:

http://cjoint.com/?DCuaVonGYTQ

 

MBAM:

http://cjoint.com/?DCuaV4njzYz

 

Et pour finir un petit ZHPDiag:

http://cjoint.com/?DCucjwRI4kz

 

Je ferai les maj java et flash des que possible

 

Merci a vous!

 

Edit:

 

Bonjour,

 

J'ai fait un petit nettoyage suite au résultat de ZHPDiag, voici donc le nouveau:

 

http://cjoint.com/14ma/DCuogoe4pgx.htm

 

 

PS: Il n'y a plus java ni IE, normal, j'ai réussi a nettoyer* 2 des 3infections hier soir mais sweetpage ne partait pas, dans la rapport ce n'était que le lien du genre sweetpage.c*m après l'exe de IE. Après avoir fouiller mis a jour re scannez supprimer toussa impossible de virer cette ligne elle n'apparaissait nulle part, j'ai donc supprimer IE, je vais le reinstallez pour voir si cette ligne subsiste.

 

Merci

 

*Nettoyer= trouver les liens sur IE et compagnie rétablir les pages par défaut et ce genre de betise, et nouvelle utilisation des outils de Pierre plus pour finir un CCleaner.

 

Après réinstall de IE11

 

http://cjoint.com/14ma/DCurjtGQ9ae.htm

 

Sweetpage est de retouuuuuuur ='(

Modifié le 20 mars 2014 par HotFuzz31

[HotFuzz31]

Après réinstall de IE11

 

http://cjoint.com/14ma/DCurjtGQ9ae.htm

 

Sweetpage est de retouuuuuuur ='(

 

Edit: dslé du double Post le hotspot bugue a mort... encore désolé =S

Modifié le 20 mars 2014 par HotFuzz31

[tomtom95]

Bonjour,

Je pense que l'on ne c'est pas bien compris.

je vais vous demander de ne pas utiliser d'autres outils pour la compréhension et d'éviter des problèmes

Je sais que vous voulez que ce soit rapide, mais de faire d'autres manips risque plutôt de compliquer le problème.

Bien on va essayer de continuer.

• Ferme toutes les applications en cours (notamment ton navigateur)
  Désactive tes protections (Antivirus et par-feu)
• Cliquez sur l'icône ZHPFix,présent sur votre Bureau
  pour vista/W7/W8 clique-droit > exécuter en tant qu'administrateur
• Surlignez le texte ci-dessous puis cliquez droit Copier
  
  

  Script ZHPFix
  C:\Program Files (x86)\Bing Bar Installer
  O2 - BHO: Bing Bar BHO [64Bits] - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} . (.Microsoft Corporation - Bing Bar.) -- C:\Program Files (x86)\MSN Toolbar\Platform\6.3.2322.0\npwinext.dll
  O2 - BHO: (no name) [64Bits] - {DBC80044-A445-435b-BC74-9C25C1C588A9} Clé orpheline
  O2 - BHO: (no name) [64Bits] - {318A227B-5E9F-45bd-8999-7F8F10CA4CF5} Clé orpheline
  O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline
  O4 - GS\QuickLaunch [aurélia]: DriverScanner.lnk . (...) -- C:\Program Files (x86)\Uniblue\DriverScanner\Launcher.exe (.not file.)
  O4 - GS\QuickLaunch [aurélia]: Launch Internet Explorer Browser.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.sweet-page.com
  O4 - GS\QuickLaunch [aurélia]: MP Manager.lnk . (...) -- C:\Users\sandra\AppData\Roaming\MPMAN\MP Manager\MP Manager.exe (.not file.)
  O4 - GS\TaskBar [aurélia]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.sweet-page.com
  O4 - GS\Program [aurélia]: Internet Explorer (64-bit).lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files\Internet Explorer\iexplore.exe http://www.sweet-page.com
  O4 - GS\Program [aurélia]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.sweet-page.com
  O4 - GS\SystemTools [aurélia]: Internet Explorer (No Add-ons).lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.sweet-page.com
  O4 - GS\Desktop [aurélia]: Internet Explorer.lnk . (.Microsoft Corporation - Internet Explorer.) -- C:\Program Files (x86)\Internet Explorer\iexplore.exe http://www.sweet-page.com
  O4 - GS\Startup [aurélia]: Notification de cadeaux MSN.lnk . (...) -- C:\Users\sandra\AppData\Roaming\Microsoft\Notification de cadeaux MSN\lsnfier.exe (.not file.)
  O39 - APT:Automatic Planified Task - C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1446667194-3764204481-3538937081-1004Core.job [910]
  O39 - APT:Automatic Planified Task - C:\Windows\Tasks\FacebookUpdateTaskUserS-1-5-21-1446667194-3764204481-3538937081-1004UA.job [932]
  O39 - APT:Automatic Planified Task - C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job [1066]
  O39 - APT:Automatic Planified Task - C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job [1070]
  O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM][64Bits] -- {18455581-E099-4BA8-BC6B-F34B2F06600C} =>Toolbar.Google
  O42 - Logiciel: Google Update Helper - (.Google Inc..) [HKLM][64Bits] -- {A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}
  O51 - MPSK:{cdf2e95e-4a5f-11e0-8aab-c80aa91cf84b}\AutoRun\command. (...) -- G:\WD SmartWare.exe (.not file.)
  O61 - LFC: 18/03/2014 - 17:03:00 ---A- . (...) -- C:\Users\sandra\AppData\Local\Google\Chrome\User Data\Default\Extension Cookies [6144]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D2CE3E00-F94A-4740-988E-03DC2F38C34F}]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{08234a0d-cf39-4dca-99f0-0c5cb496da81}]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{65C0025A-2CDE-43C5-82D0-C7A56EF0DB39}]
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{18455581-E099-4BA8-BC6B-F34B2F06600C}]
  [HKLM\Software\Microsoft\Shared Tools\MSConfig\startupreg\swg]
  [MD5.2FE3D53DE7CCE5D237ED18C03A68DD2D] [sPRF][18/03/2014] (...) -- C:\Users\sandra\Desktop\cc_20140318_204006.reg [4320]
  [MD5.F1ADF05F4B702A61C7CBC557D1B6C9BA] [sPRF][18/03/2014] (...) -- C:\Users\sandra\Desktop\cc_20140318_213053.reg [439836]
  [MD5.5CE75CC0F7EA8F8AB9B7A33420F4B214] [sPRF][18/03/2014] (...) -- C:\Users\sandra\Desktop\cc_20140318_213159.reg [20250]
  [MD5.CC6D9BAA6A1180FED4288760447B5D46] [sPRF][19/03/2014] (...) -- C:\Users\sandra\Desktop\cc_20140319_001554.reg [25488]
  [MD5.6FEAF1F7B861805BA07D6ADAA17FD0AF] [sPRF][19/03/2014] (...) -- C:\Users\sandra\Desktop\cc_20140319_155826.reg [190]
  [MD5.6FEAF1F7B861805BA07D6ADAA17FD0AF] [sPRF][19/03/2014] (...) -- C:\Users\sandra\Desktop\cc_20140319_201508.reg [190]
  [MD5.18E420196D214433A39D144B23080DE6] [sPRF][20/03/2014] (...) -- C:\Users\sandra\Desktop\cc_20140320_023856.reg [165530]
  [MD5.090DA28D347D78A80DC7E2549989E3DD] [sPRF][20/03/2014] (...) -- C:\Users\sandra\Desktop\cc_20140320_025041.reg [4350]
  [MD5.7D8F7BC039B533DECD56A577E24C8917] [sPRF][20/03/2014] (...) -- C:\Users\sandra\Desktop\cc_20140320_135235.reg [6532]
  [MD5.2646487503616CE8E7AC74F708D47857] [sPRF][20/03/2014] (...) -- C:\Users\sandra\Desktop\cc_20140320_165731.reg [188]
  [MD5.0995163DBC3475BA2AE6567500E95D80] [WIS][12/12/2012] (.Ask.com - Blank Project Template.) -- C:\Windows\Installer\5f3bcf.msi [3816960]
  [MD5.8F0DE4FEF8201E306F9938B0905AC96A] [APT] [GoogleUpdateTaskMachineCore] (.Google Inc..) -- C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [135664]
  [MD5.8F0DE4FEF8201E306F9938B0905AC96A] [APT] [GoogleUpdateTaskMachineUA] (.Google Inc..) -- C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [135664]
  
  EmptyPrefetch
  ShortcutFix
  EmptyCLSID
  FirewallRaz
  EmptyTemp
  EmptyFlash
  Sysrestore

• Dans l'interface de ZHPFix Cliquez sur Importer et sur OK
  
  
  
  Attention :vérifiez que que toutes les lignes se sont collées
• Puis Cliquez sur "GO"
• Confirmez les nettoyages des données en cliquant sur "Oui"
  
  Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
• Une fois le scan terminé le fichier ZHPFixReport à été crée sur le bureau.
• Hébergez le rapport ZHPFixReport sur le site http://www.cjoint.com
  puis copier/coller le lien fourni dans votre prochaine réponse.

 

 

[HotFuzz31]

Ok ok, j'y touche plus sans vos conseils promis,

 

Voici le rapport

 

http://cjoint.com/14ma/DCutExdOpnp.htm

 

 

Edit:

 

Désolé j'ai oublié de vous dire

 

Merci merci merci ;D

Modifié le 20 mars 2014 par HotFuzz31

[tomtom95]

OK sweet-page est supprimer

Plus de page a l'ouverture des navigateur ??

 

Comment ce comporte votre système ?

 

Avez vous faire les mises à jour ?