[Résolu] PC de nouveau infecté par key USB

[tophe90]

Bonjour,

Je viens à peine d’être dépanné par la "team Security" de zebulon que je reviens de polluer mon PC en réinstallant sans vérifier correctement l’intégrité de mes sources et programmes !!!

La seul chose que je vois qui expliquerai mon infection serait du à la réinstallation de logiciels ce trouvant sur 1 Clef USB (que je me suis empressé de formater et repartitionée) ou en ouvrant un message dans 1 bte à lettre d'un compte sur un site Internet ce qui me parais improbable. Donc je refais appel à vous (encore 1 fois je sais !!! ) pour me venir en aide, par avance et connaissant la procédure je vous joint le rapport ZHPDiag pour vous donner une idée.

 

Rapport ZHPDiag --> : http://cjoint.com/?DEsrpMgAmd3

 

Encore désolé pour le temps que je vous prend

Modifié le 20 mai 2014 par tophe90

[tomtom95]

Bonsoir tophe90,

• Télécharge Junkware Removal Tool par Thisisu sur le bureau
• Pour Vista/7/8, clique droit sur l'icône JRT exécuter en tant qu'administrateur.
  Une fenêtre va s'ouvrir, appuie sur une touche pour continuer...
  
  
• Clique sur Oui pour créer une sauvegarde du registre avec Erunt.
  Note : Le bureau disparaitra un instant, c'est normal.
  Le scanne va ce lancer.
  
  Au message The scan completed successfully
  Attendre l'affichage du rapport il sera enregistré sur le bureau
• Héberge le rapport sur le site http://www.cjoint.com
  puis copie/colle le lien fourni dans ta prochaine réponse.
  importante
  Ne pas relancer l'outil une seconde fois sinon le rapport sera écrasé par un nouveau

• Télécharges Adwcleaner (de Xplode) sur ton Bureau
  Désactivez vos protections: antivirus, ... Ferme toutes les applications en cours (notamment votre navigateur)
  Fais clique droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Cliquez sur oui pour Accepter la licence
  
• Choisir l'option Scanner
• Choisir l'option Nettoyer
• Acceptez l'avertissement en cliquant sur OK
• Hébergez le contenu du rapport qui apparaît au redémarrage du PC
  sur le site http://www.cjoint.com
  Puis copie/colle le lien fourni dans votre prochaine réponse.

 

• Faite la mise à jour MalwareByte's Anti-Malware présent sur votre ordinateur
  Version 1.75.0.1300 vers la version 2.0.1.1004
• Ouvre MBAM Sur le Tableau de bord, cliquez sur le lien Mettre à jour >>
• Après la fin de la mise à jour, cliquez sur le bouton Examiner maintenant >>.
• Un Examen "Menaces" va démarrer.
• Quand l'examen est terminé, si des éléments ont été détectés, cliquez sur Appliquer les actions pour laisser MBAM nettoyer ce qui a été détecté.
• Si un redémarrage est demandé, clique sur Yes.
• Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui.
• Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.
• Cliquez sur l'onglet Historique > Journaux de l'application.
• Faites un double clic sur le Journal d'examen dont les date et heure correspondent à l'analyse qui vient d'être effectuée.
• Cliquez sur Exporter.
• Cliquez sur Fichier texte (*.txt)
• Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.
• Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.
• Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".
• Cliquez sur OK
• Hébergez le contenu du rapport sur le site http://www.cjoint.com
  Puis copie/colle le lien fourni dans votre prochaine réponse.

 

[tophe90]

Bonsoir tomtom95,

 

Voici les rapports demandés :

 

Rapport JRT.txt --> http://cjoint.com/?DEsv3MDjJOl

 

Rapport AdwCleaner.txt --> http://cjoint.com/?DEsv6emrryH

 

Rapport rapport Malwarebytes.txt --> http://cjoint.com/?DEsv7Pin6Tj

 

Cordialement, tophe

[tomtom95]

Re,

 

• Vous allez refaire un diagnostic de votre ordinateur avec cette procédure
• Ouvrez ZHPDiag Sur Windows Vista / 7 / 8 (clique-droit > exécuter en tant qu'administrateur
  Dans l'interface de l'outil
• Cliquez sur FULL OPTIONS.
  
  
  
  patientez le temps du scan.
• Hébergez le rapport ZHPDiag.txt présent sur votre bureau sur le site http://www.cjoint.com
  Appuyez sur Parcourir et chercher les rapports sur le bureau
• Cliquez sur Ouvrir
• Cliquez sur Créer le lien CJoint,
  Puis copier/coller le lien fourni dans votre prochaine réponse.

 

[tophe90]

Bonjour,

 

Voici ci-joint le rapport ZHPDiag complet demandé :

Rapport ZHPDiag.txt --> : http://cjoint.com/?DEte4H35rdn

 

Cordialement, tophe

[tomtom95]

Bonjour,

Voici la suite
Désinstaller le programme P2P (BitTorrent µTorrent) source d'infection multiple.
Les risques du peer-to-peer

Vider la quarantaine de Malwarbyte.

• Fermez toutes les applications en cours (notamment votre navigateur)
  Désactivez vos protections (Antivirus et par-feu)
• Cliquez sur l'icône ZHPFix,présent sur votre Bureau
  pour vista/W7/W8 clique-droit > exécuter en tant qu'administrateur
• Surlignez tout le texte ci-dessous puis cliquez droit Copier
  
  

  Script ZHPFix
  C:\Users\tof70110\AppData\Local\avgchrome
  C:\Program Files (x86)\MSI Afterburner\MSIAfterburner.exe (.not file.) [0]
  C:\Users\tof70110\AppData\Roaming\uTorrent
  D:\Program Files (x86)\uTorrent\uTorrent.exe
  G1 - GCS: Preference [user Data\Default] http://istart.webssearches.com
  O4 - GS\QuickLaunch [tof70110]: µTorrent.lnk . (.BitTorrent Inc. - µTorrent.) -- D:\Program Files (x86)\uTorrent\uTorrent.exe
  O4 - GS\TaskBar [tof70110]: µTorrent.lnk . (.BitTorrent Inc. - µTorrent.) -- D:\Program Files (x86)\uTorrent\uTorrent.exe
  O4 - GS\Desktop [tof70110]: Continue App of the Day.lnk . (...) -- C:\Users\tof70110\AppData\Local\Temp\DownloadManager.exe (.not file.)
  O4 - HKCU\..\Run: [uTorrent] . (.BitTorrent Inc. - µTorrent.) -- D:\Program Files (x86)\uTorrent\uTorrent.exe
  O4 - HKUS\S-1-5-21-2011688591-1983925616-212037087-1001\..\Run: [uTorrent] . (.BitTorrent Inc. - µTorrent.) -- D:\Program Files (x86)\uTorrent\uTorrent.exe
  O42 - Logiciel: µTorrent - (.BitTorrent Inc..) [HKLM][64Bits] -- uTorrent
  O43 - CFD: 11/12/2013 - 16:22:43 - [] RSHAD C:\ProgramData\Key-Base
  O43 - CFD: 24/10/2013 - 18:00:24 - [] ----D C:\ProgramData\McAfee
  O51 - MPSK:{bb1bbfb6-7c81-11e2-be6b-c860008a79c9}\AutoRun\command. (...) -- M:\setup.exe (.not file.)
  [HKCU\Software\4shared]
  [HKCU\Software\Cougar Messenger]
  [HKCU\Software\MCAFEE]
  [HKLM\SOFTWARE\Microsoft\Tracing\DomaIQ10_RASAPI32]
  [HKLM\SOFTWARE\Microsoft\Tracing\DomaIQ10_RASMANCS]
  [HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SmartbarExeInstaller_RASAPI32]
  [HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\SmartbarExeInstaller_RASMANCS]
  [HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateGreyGray_RASAPI32]
  [HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateGreyGray_RASMANCS]
  [HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateStorimbo_RASAPI32]
  [HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\updateStorimbo_RASMANCS]
  [HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilStorimbo_RASAPI32]
  [HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\utilStorimbo_RASMANCS]
  [HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\VAFPlayer_RASAPI32]
  [HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\VAFPlayer_RASMANCS]
  [HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\vbmz10_RASAPI32]
  [HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\vbmz10_RASMANCS]
  [HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\VisualBeeSilent_RASAPI32]
  [HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\VisualBeeSilent_RASMANCS]
  [HKCR\CLSID\{4D0770EB-DD5C-E709-2DE9-D9A5C3091DCD}] (greatsaver)
  [HKCR\CLSID\{502B2A79-AB5A-6EF4-D019-BC59DEC5CDB8}] (YoutubeAdblocker)
  [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\uTorrent]
  [HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]:uTorrent
  [HKCU\Software\BitTorrent]
  
  ShortcutFix
  EmptyPrefetch
  EmptyCLSID
  FirewallRaz
  EmptyTemp
  EmptyFlash
  Sysrestore

• Dans l'interface de ZHPFix Cliquez sur Importer et sur OK
  
  
  
  Attention :vérifiez que que toutes les lignes se sont collées
• Puis Cliquez sur "GO"
• Confirmez les nettoyages des données en cliquant sur "Oui"
  
  Le nettoyage s'effectue, ne touchez à rien pendant cette étape, si le programme demande un redémarrage du pc > faites le !
• Une fois le scan terminé le fichier ZHPFixReport à été crée sur le bureau.
• Hébergez le rapport ZHPFixReport sur le site http://www.cjoint.com
  puis copier/coller le lien fourni dans votre prochaine réponse.

Téléchargez UsbFix (DE El Desaparecido) sur votre Bureau.

• Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.
• Branchez toutes vos SUPPORTS externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.
  Fermez toutes les applications en cours (notamment ton navigateur)
  Double cliquez sur UsbFix.exe.Sur Windows Vista / 7 / 8 clique-droit > exécuter en tant qu'administrateur
• Cliquez sur Recherche.
  
  Laissez travailler l'outil sans l'interrompre
  À la fin du scan, un rapport va s'afficher,
  Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).
• Héberge le rapport UsbFix.txt sur le site http://www.cjoint.com
  Appuyez sur Parcourir et chercher les rapports sur le bureau
• Cliquez sur Ouvrir
• Cliquez sur Créer le lien CJoint,
  Puis copie/colle le lien fourni dans ta prochaine réponse.

A+

 

[tophe90]

Re tomtom95,

 

Voici donc les rapports demandés (je me suis permis de ne pas désinstaller µBitTorrent car les torrents que je télécharges sont passés à l'AV avant d'être proposés et ensuite je fais de même avec le mien) en plus cela fait des années maintenant que je l'utilise et je n'ai jamais eu réellement de problème à l'inverse de programme comme Emule et autre du même style ou là oui il était plus rare d'avoir un fichier NON VÉROLÉ que l'inverse !!!

 

Rapport de ZHPFix.txt --> : http://cjoint.com/?DEtva3hoEy7

Rapport de USBFIX.txt --> : http://cjoint.com/?DEtwcIFsHXR

 

Bonne nuit et encore merci

 

Cordialement, tophe

[tomtom95]

Re,

Comme vous le voulez pour le P2P
Il faut quand même savoir que même scanner avec un antivirus qui cherche des virus et non des Malwares (trojan etc...)

Vous risquer l'infection de votre ordinateur

Nous allons pouvoir terminer la procédure

• Vous allez supprimer les outils et Important purger la restauration.
  Téléchargez DelFix (de Xplode) sur ton Bureau
  
• Cochez les cases :
  supprimer les outils de désinfection
  Purger la restauration système
• Validez sur Exécuter
• Laissez travailler l'outil
  Un rapport s'ouvre Copie/colle le rapport obtenu
  Delfix ce supprime automatiquement
  Le rapport ce trouve aussi sur a la base du lecteur C\Defix.txt
• Hébergez le rapport Defix.txt sur le site http://www.cjoint.com
  Puis copier/coller le lien fourni dans votre prochaine réponse.

POST LE RAPPORT DELFIX

• Pour des raisons de sécurité faite les mises à jour
  Avec chaque Navigateur
• Adobe Flash Player
  http://get.adobe.com/fr/flashplayer/]Adobe Flash Player ( décoche avant le téléchargement la case de Offre facultatif ( barre Barre Google,ou McAfee)
• Sun java Version 7 Update 55
  http://www.java.com/fr/download/windows_ie.jsp?locale=fr&host=www.java.com:80
  
  Pour finir quelques conseilles:

   

  Voici un récapitulatif des détections trouvées sur votre système
  http://nicolascoolman.byethost7.com/hijacker-webssearches =>Hijacker.WebsSearches
  http://nicolascoolman.byethost7.com/adware-domaiq =>Adware.DomaIQ
  http://nicolascoolman.byethost7.com/hijacker-smartbar =>Hijacker.SmartBar
  http://nicolascoolman.webs.com/apps/blog/show/41045716-pup-greygray =>PUP.GreyGray
  http://nicolascoolman.webs.com/apps/blog/show/38130097-pup-storimbo =>PUP.Storimbo
  http://nicolascoolman.byethost7.com/pup-vafplayer =>PUP.VAFPlayer
  http://nicolascoolman.byethost7.com/pup-duuqu =>PUP.Duuqu
  http://nicolascoolman.byethost7.com/adware-visualbeetoolbar =>Adware.VisualBeeToolbar

   

• Alors Toujours privilégier le téléchargement d'une application sur le site de l'éditeur
  Bien lire les accords de licence avant toute installlation
  prend quelques instants pour lire,
  Lisez d'abord cliquez après !!!
  Les installateurs et l'opt out
  Stop la pub !
  D'une manière générale, il faut être prudent sur le net et ne pas cliquer sur tout ce qui paraît attrayant
  Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
  L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring),
  Votre PC se retrouve avec des programmes ou barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
  Lire Les PUPs/LPIs
  De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
  
  Tenir son système à jour, au niveau des mises à jour Windows Update, sans oublier les logiciels installés.
  Vérifier aussi d'avoir toujours la dernière version de Java et Flash Player.
  
  Au niveau de Firefox et Chrome vous pouvez sécuriser votre navigation
  Firefox
  Chrome
  
  Vous pouvez marquer votre sujet comme résolu
  Voici comment faire
  
  
  Dans le premier message de ton sujet,En bas clique sur Modifier
  Dans l'éditeur qui s'ouvre,En bas clique sur Utiliser l'éditeur complet
  Dans la fenêtre du titre du sujet , ajoute [Résolu].
  Clique sur le bouton Enregistrer le message modifié pour valider.

 

 

 

[tophe90]

Bonsoir tomtom95,

 

Rapport DelFix.txt --> : http://cjoint.com/?DEubXB47iV6 ,

Voila et encore merci pour toute l'aide que tu m'as apporté, je vais maintenant en profiter pour lire toutes les articles (via les lien fournis par tes soins ainsi que ceux d'Apollo) , car il faut vraiment que je sois plus vigilant, car me faire vérolée deux fois par les mêmes procédés de pubs intempestives en moins de 48 heures ça devient inquiétant , donc je fais m'efforcer de tout lire et d'appliquer un système de contrôle plus strict des maj à appliquer à mon système, ainsi que de respecter des règles en ne peut plus simple mais efficaces, comme de télécharger :

1) les logiciels désirés directement sur le site de leur créateur

2) Vu que je partage via µbittorent ( chez T411 qui sont assez sérieux de ce coté la, mais rien n'est infaillible, la preuve !!!) et de veillez à contrôler ceux ci avec 1 AV ainsi qu'un anti-Malware, mais avant tout de ne pas aller n'importe ou, chercher n'importe quoi

 

Je te souhaite une bonne nuit ainsi qu'une bonne continuation au sein de la team de sécurité de Zébulon !!!

En te remerciant encore de toute ta compréhension.

 

Cordialement, Christophe.Christophe. D

[tomtom95]

Bonjour,

 

Voici de bonnes résolutions

 

 

Vu que je partage via µbittorent ( chez T411 qui sont assez sérieux de ce coté la, mais rien n'est infaillible, la preuve !!!)

 

Il y a aucun site P2P sérieux pour dire que l'on ne sera pas infecté

A lire Torrent411 est un tracker BitTorrent

l'équipe du site étant souvent débordée
le contenu publié n'est pas vérifié dans l'heure qui suit, et que le contenu est peu vérifié.

 

Alors prudence sur la toile.

Bonne continuation