[Résolu] Demande de désinfection

[highxsky]

Bonjour à vous,

 

Je vous présente aujourd'hui mes problèmes :

 

Je tourne sur un Asus N56VB, W7 x64, il est pas mal ralenti... Pas de m*rde du style toolbar inutile ou page d'accueil trafiquée par contre. Rien d'apparent donc.

 

Sur Avast, je scan : RIEN.

Ensuite, je passe à Nod32, il me trouve : Somoto-C (nom de fichier : bitool[1].dll)

Bon, j'ai nettoyé, mais je suis pas convaincu.

 

Je regarde sur quelques forums, il existerait une version de ce virus qui est pas évidente à éradiquer, bref, je veux approfondir et je sens que certains experts vont pouvoir me guider avec les trucs style ZHPDiag...

 

Si quelqu'un voulait bien me prendre en charge pour ceci. Sachant qu'au passage, j'ai mon disque dur externe et deux clés usb à vérifier !

 

Tout ceci m'amène aussi à une autre question, peut être pas pour ce topic : j'ai eu mon Asus avec W8, que je n'aimais pas.

Sur le site du constructeur, il ne propose AUCUN drivers pour W7, il semblerait qu'il n'est pas destiné à cette version de Windows, j'ai effectivement eu quelques soucis avec les drivers.

Cela serait-il une possible cause de ralentissement ? Devrais-je songer à revenir à W8 ?

Merci d'avance,

Bonne journée à tous !

highXsky

Modifié le 14 septembre 2014 par highxsky

[Apollo]

Bonjour,

 

Tu sens que... alors pourquoi ne pas le proposer? On y reviendra en temps utile.

 

Pour tes drivers, ce n'est pas le bon endroit, il faudra aller sur le forum Hardware.

 

Si quelqu'un voulait bien me prendre en charge pour ceci. Sachant qu'au passage, j'ai mon disque dur externe et deux clés usb à vérifier !

On va donc commencer par s'occuper de cette vérification.

 

1)

• Téléchargez UsbFix (créé par El Desaparecido) sur votre Bureau.

   

  http://www.usbfix.net/telecharger/usbfix/

• Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.

   

  Si vous ne savez pas comment faire, reportez-vous à cet article.

• Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

• Double cliquez sur UsbFix.exe.
• Cliquez sur recherche.

• Laissez travailler l'outil.
• À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
• Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).

---------

2)

 

Nettoyage et vaccinations:

• Si votre antivirus affiche une alerte, ignorez-la et désactivez l'antivirus temporairement.

   

  Si vous ne savez pas comment faire, reportez-vous à cet article.

• Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc...) sans les ouvrir.

• Double cliquez sur UsbFix.exe.
• Cliquez sur Nettoyage.

• Laissez travailler l'outil.
• À la fin du scan, un rapport va s'afficher, postez-le dans votre prochaine réponse sur le forum.
• Le rapport est aussi sauvegardé à la racine du disque système ( C:\UsbFix.txt ).

Si l'outil se bloque, recommencer la suppression en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

 

@++

[highxsky]

Merci de m'aider Apollo.
Effectivement, j'ai fait une formulation maladroite : je demande de l'aide, proposé par des utilisateurs qui acceptent de donner de leur temps pour ces choses là, gratuitement et gentiment en plus, ce n'était donc pas une raison de m'exprimer ainsi.
Je suis désolé.

Voici le rapport USBFIX :

############################## | UsbFix V 7.181 | [Recherche]

Utilisateur: Pierre (Administrateur) # PIERRE-PC
Mis à jour le 31/08/2014 par El Desaparecido - SosVirus
Lancé à 18:54:49 | 12/09/2014

Site Web : http://www.usbfix.net/
Changelog : http://www.usbfix.net/maj/
Assistance : http://www.sosvirus.net/forum-virus-securite.html
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

################## | System information |

MB: ASUSTeK COMPUTER INC. (N56VB)
CPU: Intel® Core i5-3230M CPU @ 2.60GHz
RAM -> [Total : 3982 Mo | Free : 1752 Mo]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft™ Windows 7 Ultimate (6.1.7601 64-Bit) Service Pack 1
WB: Internet Explorer : 11.00.9600.16428
WB: Mozilla Firefox : 32.0

################## | Security Information |

AV: ESET Smart Security 7.0 [(!) Désactivé |A jour]
AS: Windows Defender [Actif |A jour]
AS: ESET Smart Security 7.0 [(!) Désactivé |A jour]
FW: Pare-feu personnel d'ESET [Actif]
FW: Windows Firewall [Actif]
SC: Security Center [Actif]
WU: Windows Update [Actif]

################## | Disk Information |

C:\ (%SystemDrive%) -> Disque fixe # 699 Go (624 Go libre(s) - 89%) [] # NTFS
E:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [uSB DISK] # FAT32
G:\ -> Disque amovible # 4 Go (1 Go libre(s) - 39%) [] # FAT32
H:\ -> Disque fixe # 415 Go (17 Go libre(s) - 4%) [] # NTFS

################## | Regedit Run |

F2 - HKLM\..\Winlogon : [shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [shell] explorer.exe
F2 - HKLM\..\Winlogon : [userinit] userinit.exe
F2 - [x64] HKLM\..\Winlogon : [userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
04 - HKLM\..\Run : [uSB3MON] "C:\Program Files (x86)\Intel\Intel® USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe"
04 - HKLM\..\Run : [LogMeIn Hamachi Ui] "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - [x64] HKLM\..\Run : [iAStorIcon] "C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIconLaunch.exe" "C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe" 60
04 - [x64] HKLM\..\Run : [NvBackend] "C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe"
04 - [x64] HKLM\..\Run : [shadowPlay] C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart
04 - [x64] HKLM\..\Run : [bCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
04 - [x64] HKLM\..\Run : [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
04 - HKU\S-1-5-19\..\Run : [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\..\Run : [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-1878563983-396567942-3748599403-1000\..\Run : [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe

################## | Recherche générique |


################## | Registre |


################## | UsbFix - Information |

Info :

Info : L'infection des raccourcis USB, c'est quoi ?

################## | Hijack |

Hijacked! [AH] G:\._Shutter Island[2010]DvDrip[Eng]-FXG.avi
Hijacked! [AH] G:\.HPIMAGE.VFS

################## | E.O.F | http://www.sosvirus.net/ | http://www.usbfix.net/ |

Merci de m'aider quand même,

highXsky Modifié le 12 septembre 2014 par highxsky

[Apollo]

Ok, en attente de la suite avec USBFIX.

 

Merci de m'aider quand même,

Je suis là pour ça, et l'explication donnée à un membre peut servir à d'autres.

 

@++

[highxsky]

J'ai lancé le nettoyage :

 

############################## | UsbFix V 7.181 | [Nettoyage]

Utilisateur: Pierre (Administrateur) # PIERRE-PC
Mis à jour le 31/08/2014 par El Desaparecido - SosVirus
Lancé à 19:29:50 | 12/09/2014

Site Web : http://www.usbfix.net/
Changelog : http://www.usbfix.net/maj/
Assistance : http://www.sosvirus.net/forum-virus-securite.html
Upload Malware : http://www.sosvirus.net/upload_malware.php
Contact : http://www.usbfix.net/contact/

################## | System information |

MB: ASUSTeK COMPUTER INC. (N56VB)
CPU: Intel® Core i5-3230M CPU @ 2.60GHz
RAM -> [Total : 3982 Mo | Free : 1553 Mo]
Bios: American Megatrends Inc.
Boot: Normal boot

OS: Microsoft™ Windows 7 Ultimate (6.1.7601 64-Bit) Service Pack 1
WB: Internet Explorer : 11.00.9600.16428
WB: Mozilla Firefox : 32.0

################## | Security Information |

AV: ESET Smart Security 7.0 [(!) Désactivé |A jour]
AS: Windows Defender [Actif |A jour]
AS: ESET Smart Security 7.0 [(!) Désactivé |A jour]
FW: Pare-feu personnel d'ESET [Actif]
FW: Windows Firewall [Actif]
SC: Security Center [Actif]
WU: Windows Update [Actif]

################## | Disk Information |

C:\ (%SystemDrive%) -> Disque fixe # 699 Go (624 Go libre(s) - 89%) [] # NTFS
E:\ -> Disque amovible # 4 Go (4 Go libre(s) - 100%) [uSB DISK] # FAT32
H:\ -> Disque fixe # 415 Go (17 Go libre(s) - 4%) [] # NTFS

################## | Recherche générique |


(!) Fichiers temporaires supprimés. (81.6749057769775 MB)

################## | Registre |


################## | Regedit Run |

F2 - HKLM\..\Winlogon : [shell] explorer.exe
F2 - [x64] HKLM\..\Winlogon : [shell] explorer.exe
F2 - HKLM\..\Winlogon : [userinit] userinit.exe
F2 - [x64] HKLM\..\Winlogon : [userinit] C:\Windows\system32\userinit.exe,
04 - HKCU\..\Run : [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
04 - HKLM\..\Run : [uSB3MON] "C:\Program Files (x86)\Intel\Intel® USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe"
04 - HKLM\..\Run : [LogMeIn Hamachi Ui] "C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2-ui.exe" --auto-start
04 - HKLM\..\Run : [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
04 - [x64] HKLM\..\Run : [iAStorIcon] "C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIconLaunch.exe" "C:\Program Files\Intel\Intel® Rapid Storage Technology\IAStorIcon.exe" 60
04 - [x64] HKLM\..\Run : [NvBackend] "C:\Program Files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe"
04 - [x64] HKLM\..\Run : [shadowPlay] C:\Windows\system32\rundll32.exe C:\Windows\system32\nvspcap64.dll,ShadowPlayOnSystemStart
04 - [x64] HKLM\..\Run : [bCSSync] "C:\Program Files\Microsoft Office\Office14\BCSSync.exe" /DelayServices
04 - [x64] HKLM\..\Run : [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice
04 - HKU\S-1-5-19\..\Run : [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-20\..\Run : [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun
04 - HKU\S-1-5-21-1878563983-396567942-3748599403-1000\..\Run : [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun
04 - HKU\S-1-5-19\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe
04 - HKU\S-1-5-20\..\RunOnce : [mctadmin] C:\Windows\System32\mctadmin.exe

################## | UsbFix - Information |

Info :

Info : L'infection des raccourcis USB, c'est quoi ?

################## | Hijack |


################## | C:\ %SystemDrive% - Disque Fixe (NTFS) |

[12/09/2014 - 15:14:04 | ASH | 3057972 Ko] - C:\hiberfil.sys
[12/09/2014 - 15:14:08 | ASH | 4077300 Ko] - C:\pagefile.sys
[05/09/2014 - 17:03:40 | SHD] - C:\$Recycle.Bin
[14/07/2009 - 05:20:08 | D] - C:\PerfLogs
[14/07/2009 - 07:08:56 | SHD] - C:\Documents and Settings
[05/09/2014 - 17:02:54 | SHD] - C:\Recovery
[05/09/2014 - 17:03:01 | RD] - C:\Users
[07/09/2014 - 01:32:49 | D] - C:\Intel
[10/09/2014 - 11:36:30 | RHD] - C:\MSOCache
[11/09/2014 - 11:49:37 | HD] - C:\ProgramData
[12/09/2014 - 09:14:49 | D] - C:\Windows
[12/09/2014 - 09:24:11 | SHD] - C:\System Volume Information
[12/09/2014 - 12:24:18 | RD] - C:\Program Files (x86)
[12/09/2014 - 14:21:46 | RD] - C:\Program Files
[12/09/2014 - 17:14:29 | D] - C:\UsbFix

################## | E:\ - Disque USB (FAT32) |

[08/09/2014 - 15:17:34 | SHD] - E:\System Volume Information

################## | H:\ - Disque Fixe (NTFS) |

[07/09/2014 - 15:10:54 | SHD] - H:\$RECYCLE.BIN
[10/05/2013 - 14:35:08 | SHD] - H:\RECYCLER
[12/10/2013 - 11:09:57 | D] - H:\30b6a6d5b77a3a6fa7
[13/05/2014 - 22:38:41 | SHD] - H:\System Volume Information
[29/05/2014 - 15:26:30 | D] - H:\Photos
[29/05/2014 - 15:26:52 | D] - H:\Musique
[29/05/2014 - 15:29:32 | D] - H:\Ebooks
[07/09/2014 - 19:08:29 | D] - H:\Séries
[11/09/2014 - 21:14:31 | D] - H:\Films

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
H:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

################## | E.O.F | http://www.sosvirus.net/ | http://www.usbfix.net/ |

 

Voilà, c'est visiblement vacciné.

[Apollo]

Ok,

 

ZHPDiag :

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.

   

  http://www.nicolascoolman.fr/download/zhpdiag/

• Double-clique sur ZHPDiag.exe pour lancer l'installation
  • Important:

    Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

  N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
• L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.
• Double-clique sur ZHPDiag pour lancer l'exécution
  • Important:

    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

  Clique sur Complet (Full options)
• 
• Tu patientes jusqu'à ce que le scan affiche 100%

  Tu refermes ZHPDiag

• Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

  Ce rapport étant trop long pour le forum, héberge le :

  • soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum

<<< Seulement pour le forum Vista-XP.fr!

• soit sur Cjoint et copie-colle le lien fourni dans ta réponse.
• ou http://dl.free.fr/

   

  http://www.rue-du-montceau.fr/tuto_cjoint.html >> tuto de Nardino pour héberger.

   

  

   

   

  @++

[highxsky]

Voici le ZHP : http://cjoint.com/?3ImuuAZXIq2

 

highXsky

[Apollo]

Re,

 

1) ZHPFix :

• Ferme toutes les applications ouvertes
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau

  Important:

  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

• Copie les lignes ci-dessous dans la fenêtre

sauf le mot citation.

 

Script ZhpFix

[MD5.07605ABEB10FC533881C91F19DECF69A] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS\AutoKMS.exe [1923584]

O39 - APT: AutoKMS - (...) -- C:\Windows\Tasks\AutoKMS.job [268]

O39 - APT: AutoKMS - (...) -- C:\Windows\System32\Tasks\AutoKMS [268]

[HKCU\Software\UpToDown]

C:\Windows\AutoKMS\AutoKMS.exe

C:\Windows\Tasks\AutoKMS.job

C:\Windows\System32\Tasks\AutoKMS

EmptyClsid

Ifeofix

Proxyfix

FirewallRaz

ShortcutFix

EmptyPrefetch

emptytemp

emptyflash

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

• Le script doit automatiquement apparaitre dans ZHPFix.

   

  Clique sur le bouton GO pour lancer le nettoyage

• Valide par Oui la désinstallation des programmes si demandé.
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

----------------------------

2) Télécharger SFTGC.exe sur le Bureau >>>> il ne peut pas être ailleurs! L'y déplacer si nécessaire.

http://theknitter-apollo.xooit.com/p22075.htm

 

Ferme tes applications, navigateurs.

 

Sous XP, double cliquer sur le fichier.

Sous les autres versions de Windows, clic droit sur le fichier et choisir Exécuter en tant qu'administrateur.

 

Après l'initialisation, cliquer sur Go pour lancer le nettoyage.

 

Un rapport va s'ouvrir à la fin.

Ce rapport est sur le bureau (SFTGC.txt)

 

Héberger sur http://cjoint.com pour ne pas planter le sujet. ou http://dl.free.fr/

 

----------------------------

3) Téléchargez Malwarebytes Anti-Malware et enregistrez-le sur le Bureau.

 

http://fr.malwarebytes.org/mwb-download/

 

Faites un double clic sur mbam-setup-2.0.2..exe et suivez les invites pour installer le programme.

 

A la fin, vérifiez que ces cases sont cochées:

 

Lancer Malwarebytes Anti-Malware

 

Un essai gratuit de 14 jours des fonctions de la version Premium est pré-sélectionné. Si vous le désirez, vous pouvez dé-cocher cette case, et cela ne diminuera pas les capacités d'analyse et de suppression du programme.

 

Après la mise à jour, choisissez l'examen personnalisé (complet); branchez vos supports amovibles USB (clés, disque externe, etc.)

 

Cochez la lettre du système (en général C) ainsi que les cases représentant les lettres de vos supports amovibles USB.

 

 

 

Quand l'examen est terminé, click Appliquer les actions.

 

Attendez l'affichage du message vous invitant à faire redémarrer le PC, puis cliquez sur Oui.

 

Le rapport de trouve dans l'Historique de MBAM, le prendre après le redémarrage.

 

Langage:

 

 

Cocher recherche rootkits:

 

 

 

@++

[highxsky]

Re,

J'ai un petit soucis, le ZHPFix semble planter : il arrive à un tiers de la recherche très rapidement, puis n'avance plus du tout, donc j'ai du le couper en plein milieu avec un ctrl alt suppr puis ZHPFix.

Dois-je essayer de le lancer en mode sans échec ?

Merci encore,

highXsky

[Apollo]

Oui, si tu veux mais laisse-le finir même s'il semble long.

 

Sinon passe à la suite.

On y reviendra.