[Résolu] Infection possible

[petitpoison]

Bonsoir,

 

Ma cousine m'a confié son ordi portable car il présentait un sérieux ralentissement, n'arrivait pas à se connecter en wifi et se trouvait dans l'impossibilité de lire les vidéos sur youtube notamment.

 

J'y ai donc regardé de plus près et ai constaté qu'il ne restait que 2 gigas de libres sur la partition C:\ qui en faisait 30.

 

Il n'y avait qu'1 go de ram.

 

J'ai commencé par passer les outils sftgc, ccleaner (uniquement le nettoyeur), adwcleaner et JRT.

 

Ensuite, j'ai utilisé Easeus Partition Manager pour aggrandir la partition C:\. j'ai supprimé la partition D:\ data qui était vide ce qui m'a permis de pouvoir passer MBAM en version "menaces" puis en examen personnalisé. Seul le premier scan a fait des détections.

 

L'ordi n'avait pas été mis à jour depuis longtemps, elle a installé juste avant de me passer l'ordi avast internet security (payant).

 

Après l'augmentation de la partition, l'ordi s'est mis à faire des tas de mises à jour.

 

Aujourd'hui, j'ai installé une barette de 2go de Ram, ainsi il tourne avec 2,5 GO de ram. J'avais également vu qu'il y avait des restes de norton, j'ai utilisé le désinstallateur idoine. Avast a un pare-feu, celui de windows était également activé, ainsi que Windows Defender.

 

J'ai désactivé ces deux derniers.

 

J'ai essayé de vous faire un scan ZHP, mais je ne peux pas. A env 4% du scan, j'ai comme message d'erreur : VIOLATION D'ACCES 773A9826 dans le module "ntdll.dll". Ecriture de l'adresse 00407700.

 

Voici les rappors des scans effectués cette semaine :

 

SFTGC : http://cjoint.com/?0ImwWQBkUOY

 

ADWCLEANER :

 

 

# AdwCleaner v3.309 - Rapport créé le 09/09/2014 à 22:25:28

# Mis à jour le 02/09/2014 par Xplode

# Système d'exploitation : Windows Vista Home Basic Service Pack 2 (32 bits)

# Nom d'utilisateur : Clara - PC-DE-CLARA

# Exécuté depuis : C:\Users\Clara\Bureau\adwcleaner_3.309.exe

# Option : Nettoyer

 

***** [ Services ] *****

 

 

***** [ Fichiers / Dossiers ] *****

 

 

***** [ Tâches planifiées ] *****

 

 

***** [ Raccourcis ] *****

 

 

***** [ Registre ] *****

 

Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{6A1806CD-94D4-4689-BA73-E35EA1EA9990}

Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{CCC7A320-B3CA-4199-B1A6-9F516DD69829}]

Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{CCC7A320-B3CA-4199-B1A6-9F516DD69829}]

 

***** [ Navigateurs ] *****

 

-\\ Internet Explorer v9.0.8112.16563

 

 

-\\ Mozilla Firefox v2.0.0.7 (fr)

 

[ Fichier : C:\Users\Clara\AppData\Roaming\Mozilla\Firefox\Profiles\y1920yn4.default\prefs.js ]

 

 

-\\ Google Chrome v

 

[ Fichier : C:\Users\Clara\AppData\Local\Google\Chrome\User Data\Default\preferences ]

 

 

*************************

 

AdwCleaner[R0].txt - [1430 octets] - [09/09/2014 22:23:34]

AdwCleaner[s0].txt - [1355 octets] - [09/09/2014 22:25:28]

 

########## EOF - C:\AdwCleaner\AdwCleaner[s0].txt - [1415 octets] ##########

 

 

JRT :

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Junkware Removal Tool (JRT) by Thisisu

Version: 6.1.4 (04.06.2014:1)

OS: Windows Vista Home Basic x86

Ran by Clara on 09/09/2014 at 19:48:38,04

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

 

 

~~~ Services

 

 

 

~~~ Registry Values

 

Successfully deleted: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks\\{00000000-6E41-4FD3-8538-502F5495E5FC}

Successfully deleted: [Registry Value] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{D4027C7F-154A-4066-A1AD-4243D8127440}

 

 

 

~~~ Registry Keys

 

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\protector_dll.protectorbho

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\protector_dll.protectorbho.1

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{02478D38-C3F9-4EFB-9B51-7695ECA05670}

Successfully deleted: [Registry Key] HKEY_CLASSES_ROOT\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\yahoopartnertoolbar

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{02478D38-C3F9-4EFB-9B51-7695ECA05670}

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{02478D38-C3F9-4EFB-9B51-7695ECA05670}

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}

Successfully deleted: [Registry Key] HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}

Successfully deleted: [Registry Key] HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\SearchScopes\{CCC7A320-B3CA-4199-B1A6-9F516DD69829}

 

 

 

~~~ Files

 

 

 

~~~ Folders

 

Successfully deleted: [Folder] "C:\Users\Clara\AppData\Roaming\pdfforge"

Successfully deleted: [Folder] "C:\ProgramData\ask"

 

 

 

~~~ Event Viewer Logs were cleared

 

 

 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Scan was completed on 09/09/2014 at 20:04:26,46

End of JRT log

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Et enfin MBAM :

 

 

Malwarebytes Anti-Malware

www.malwarebytes.org

 

Date de l'examen: 10/09/2014

Heure de l'examen: 22:18:49

Fichier journal: MBAM.txt

Administrateur: Oui

 

Version: 2.00.2.1012

Base de données Malveillants: v2014.09.10.09

Base de données Rootkits: v2014.09.10.02

Licence: Gratuite

Protection contre les malveillants: Désactivé(e)

Protection contre les sites Web malveillants: Désactivé(e)

Self-protection: Désactivé(e)

 

Système d'exploitation: Windows Vista Service Pack 2

Processeur: x86

Système de fichiers: NTFS

Utilisateur: Clara

 

Type d'examen: Examen "Menaces"

Résultat: Terminé

Objets analysés: 285490

Temps écoulé: 19 min, 59 sec

 

Mémoire: Activé(e)

Démarrage: Activé(e)

Système de fichiers: Activé(e)

Archives: Activé(e)

Rootkits: Activé(e)

Heuristics: Activé(e)

PUP: Activé(e)

PUM: Activé(e)

 

Processus: 0

(No malicious items detected)

 

Modules: 0

(No malicious items detected)

 

Clés du Registre: 1

Rogue.AntiVirus2008, HKU\S-1-5-21-2644273525-2820206044-708343363-1000-{ED1FC765-E35E-4C3D-BF15-2C2B11260CE4}-0\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXT\STATS\{3AA42713-5C1E-48E2-B432-D8BF420DD31D}, Mis en quarantaine, [847ce7054734d066385babf9c33f44bc],

 

Valeurs du Registre: 0

(No malicious items detected)

 

Données du Registre: 0

(No malicious items detected)

 

Dossiers: 0

(No malicious items detected)

 

Fichiers: 1

PUP.Optional.OpenCandy, C:\Users\Clara\AppData\Local\Temp\is-BQB4T.tmp\OCSetupHlp.dll, Mis en quarantaine, [2cd4c12b304b5adc4474e73612f3c23e],

 

Secteurs physiques: 0

(No malicious items detected)

 

 

(end)

 

Je demande un coup de main car je trouve que le ventilateur tourne trop.

 

Je n'ai pas réussi à intégrer les rapports via IE, j'ai du passer par Chrome.

 

Par avance merci !

 

Modifié le 14 septembre 2014 par petitpoison

[bernard53]

bonjour

Après tout ce que tu as passé, réinitialise tes navigateurs.

http://depan-distance.perso.sfr.fr/navigateurs.html

 

Ensuite ceci.

tapes cmd dans la recherche "Vista" -- "Seven"—

<ensuite clique droit sur la petite fenêtre noire nommée cmd.exe et choisis "Exécuter en tant qu'administrateur".

 

Pour Windows 8 et 8.1 : touche Windows + x puis invité de commande (admin)

 

Dans le fenêtre DOS qui va s'afficher tapes ceci.

 

ipconfig /flushdns

netsh winsock reset

netsh winhttp reset proxy

netsh winhttp reset tracing

netsh winsock reset catalog

netsh int ipv4 reset catalog

netsh int ipv6 reset catalog

 

Valide par la touche Entrée chaque commande.

 

Tu redémarres le PC.

[petitpoison]

Bonjour Bernard,

 

Merci de ton aide

 

Voilà, j'ai réinitialisé les navigateurs IE et Chrome, exécuté les commandes et redémarrer le tout.

 

 

Que faire ensuite ?

 

Il y a un léger mieux mais le ventilateur tourne encore fort.

 

Dans mon message initial, j'avais oublié de préciser que j'avais fait un check disk, un sfc/scannow et un dépoussiérage physique du portable.

 

Les deux analyses avaient réparé des choses.

 

Modifié le 13 septembre 2014 par petitpoison

[bernard53]

on peux voir si le DD est en bon état.

Teste ton DD via ceci.

http://crystalmark.info/software/CrystalDiskInfo/index-e.html

[petitpoison]

Bonsoir Bernard,

 

voici le lien : http://cjoint.com/?0InvfKMlvcD

 

Veux-tu la fin de la liste de Crystal disk ? je n'ai pour le moment fait qu'une copie d'écran.

 

Est-il possible qu'il y ait des résidus d'anciens antivirus ou autres scories ? Je ne peux pas lancer ZHP pour faire un diagnostic, j'ai le message d'erreur cité dans mon premier message.

 

J'écris depuis chrome, depuis IE le texte s'inscrit tout à la suite sans tenir compte de mes retours à la ligne. Si je clique sur la fleche à côté de mon pseudo, le menu ne se déroule pas (pour accéder aux paramètres). Je ne peux pas non plus installer un nouveau moteur de recherche, les actions avec la souris sont inopérantes.

 

[bernard53]

Fait ceci à la place de ZHPdiag.

* Télécharge >> OTL <<sur ton bureau.

http://oldtimer.geekstogo.com/OTL.exe

 

* Fait un double-clic sur l'icône d'OTL pour le lancer

/!\ pour Vista/Seven / W8 fais un clic-droit sur l'icône d'OTL et choisis "Exécuter en tant qu'administrateur"

 

* Assure-toi d'avoir fermé toutes les applications en court de fonctionnement.

 

* Quand la fenêtre d'OTL apparaît, assure toi que dans la section "Rapport" (en haut à droite) la case "Rapport minimal " soit cochée.

 

* Copies et colles le contenue de cette citation dans la partie inférieure d'OTL " Personnalisation"

 

netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
activex
/md5start
afd.sys
atapi.sys
cdfs.sys
cdrom.sys
dfsc.sys
hdaudbus.sys
i8042prt.sys
ipnat.sys
ipsec.sys
mrxsmb.sys
netbt.sys
ntfs.sys
parport.sys
rasl2tp.sys
rdpdr.sys
smb.sys
tcpip.sys
tdx.sys
volsnap.sys
explorer.exe
services.exe
svchost.exe
userinit.exe
wininit.exe
winlogon.exe
kernel32.dll
rpcss.dll
user32.dll
/md5stop
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.*
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%SystemDrive%\$RECYCLE.BIN\* /s
%SystemDrive%\RECYCLER\* /s
%SystemRoot%\assembly\GAC\*.*
%SystemRoot%\assembly\GAC_32\*.*
%SystemRoot%\assembly\GAC_64\*.*
%SystemRoot%\Installer\* /s
%LOCALAPPDATA%\*.
%LOCALAPPDATA%\*.*
%LOCALAPPDATA%\Google\Desktop\* /s
%ProgramFiles%\Google\Desktop\* /s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software
hkcu\software
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT

* Cliques sur l'icône "Analyse" (en haut à gauche) .

* Laisse le scan aller à son terme sans te servir du PC

* A la fin du scan un ou deux rapports vont s'ouvrir "OTL.Txt" et ( ou ) "Extras.Txt"( dans certains cas).

* Copie et colle le ou les rapports dans ta réponse stp...

* Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés

Mets le rapport ici car il prend bien de la place.

http://cjoint.com/

ou.

http://www.1fichier.com/

Modifié le 14 septembre 2014 par bernard53

[petitpoison]

Bonjour Bernard,

 

voici les deux fichiers :

 

extras : http://cjoint.com/?0IolxBznJ8w

otl : http://cjoint.com/?0IolyrOAavA

 

Merci

 

Edit : j'ai désactivé avast pour le scan, il est trop chiant...

Modifié le 14 septembre 2014 par petitpoison

[bernard53]

Bonjour

Pas de soucis avec les rapports.

Pour le ventilo possible tout simplement que le pc commence a avoir de l'age et les composants chauffe un peu.

Mais on constate que l’aération fonctionne très bien.

Pour IE que ne fonctionne pas.

 

Pour IE::

Cliquer dans Démarrer, Exécuter, puis taper la commande :

iexplore.exe -extoff

puis valider.

 

 

si tout va alors un module complémentaire ou extension est en cause.

Infos complémentaire : http://www.commentcamarche.net/faq/34183-desinstaller-un-module-complementaire

[petitpoison]

re,

ok pour le ventilo.

 

J'ai exécuté la commande que tu préconises. IE s'ouvre bien sans module complémentaire.

 

J'ai désactivé le dernier module qui était encore activé, shockwave player.

 

j'écris depuis ie. je n'ai pas comme sur les autres pc, la possibilité de mettre en forme le texte, je ne peux derouler le menu en cliquant sur la flêche à côté du pseudo.

 

Pour les modules complémentaires, je ne sais pas comment faire... Je vais essayer de trouver une solution.

 

Merci pour ton aide !!

 

bon dimanche

 

Edit : le ventilo est plus calme depuis que j'ai désactivé l'autodéfense d'avast et le software updater notamment. je ne vois pas pourquoi avast se mêle de faire le boulot de secunia psi notamment

Modifié le 14 septembre 2014 par petitpoison

[bernard53]

Pour les modules complémentaire tu as vu que je t'ai mis un lien.