[Résolu] PC portable HP infecté

[Micky_mike]

Bonjour,

Je viens de récuperer le PC portable d'une amie. Celui est infecté. J'ai quand même réussi à faire un scan MBAM (voici le rapport:http://cjoint.com/?DKjseXoc1rE

 

Je parviens quasiment à ne rien faire dessus. Même ce message est envoyé depuis le mien.

 

Merci pour votre aide,

 

Micky_Mike

Modifié le 10 novembre 2014 par Micky_mike

[Apollo]

Bonsoir,

 

Ton lien ne mène à aucun rapport.

 

Mets le rapport MBAM en le copiant/collant dans ta réponse.

 

Comment obtenir les rapports d'examen:

(Exporter le rapport et l'enregistrer en format txt)

•Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.

 

•Cliquez sur l'onglet Historique > Journaux de l'application.

 

•Faites un double clic sur le Journal d'examen dont les date et heure correspondent à l'analyse qui vient d'être effectuée.

 

•Cliquez sur Exporter.

 

•Cliquez sur Fichier texte (*.txt)

 

•Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.

 

•Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.

 

•Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".

 

•Cliquez sur OK

 

•Attachez ce fichier dans votre prochaine réponse.

 

@++

[Micky_mike]

Ah ben oui, le lien ne marche pas mais l'adresse est bonne. Voici le rapport:

Malwarebytes Anti-Malwarewww.malwarebytes.orgScan Date: 09/11/2014Scan Time: 17:09:41Logfile: MBAM 1er.txtAdministrator: YesVersion: 2.00.3.1025Malware Database: v2014.11.09.05Rootkit Database: v2014.11.08.01License: FreeMalware Protection: DisabledMalicious Website Protection: DisabledSelf-protection: DisabledOS: Windows 7 Service Pack 1CPU: x64File System: NTFSUser: hewlettScan Type: Threat ScanResult: CompletedObjects Scanned: 380004Time Elapsed: 30 min, 5 secMemory: EnabledStartup: EnabledFilesystem: EnabledArchives: EnabledRootkits: DisabledHeuristics: EnabledPUP: EnabledPUM: EnabledProcesses: 0(No malicious items detected)Modules: 0(No malicious items detected)Registry Keys: 0(No malicious items detected)Registry Values: 0(No malicious items detected)Registry Data: 0(No malicious items detected)Folders: 0(No malicious items detected)Files: 0(No malicious items detected)Physical Sectors: 0(No malicious items detected)(end)

Merci,

 

Micky_mike

[Apollo]

Rootkits: Disabled

Il faut cocher cette case pour faire les analyses.

 

ZHPDiag :

• Télécharge ZHPDiag de Nicolas Coolman. et enregistre-le sur le BUREAU.

   

  http://www.nicolascoolman.fr/download/zhpdiag/

• Double-clique sur ZHPDiag.exe pour lancer l'installation
  • Important:

    Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

  N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.
• L'outil a créé 2 icônes ZHPDiag et ZHPFix sur le Bureau.
• Double-clique sur ZHPDiag pour lancer l'exécution
  • Important:

    Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur

  Clique sur Complet (Full options)
• 
• Tu patientes jusqu'à ce que le scan affiche 100%

  Tu refermes ZHPDiag

• Le rapport ZHPDiag.txt se trouve sur le Bureau. (et sous c:\ZHP\ZHPDiag.txt)

  Ce rapport étant trop long pour le forum, héberge le :

  • soit directement sur le forum en pièce jointe dans ta réponse : Ajouter un fichier en pièce jointe sur le forum

<<< Seulement pour le forum Vista-XP.fr!

• soit sur Cjoint et copie-colle le lien fourni dans ta réponse.
• ou http://dl.free.fr/

   

  http://www.rue-du-montceau.fr/tuto_cjoint.html >> tuto de Nardino pour héberger.

   

  

   

   

  @++

[Micky_mike]

Voici le rapport:http://cjoint.com/?DKjtvXVwrnb

 

A noter que le PC n'accède plus à internet via Chrome et/ou IE (DNS_PROBE_FINISHED_NO_INTERNET)

 

Micky_mike

[Apollo]

Ce n'est pas très étonnant vu le nombre d'infections présentes sur ce pc.

 

1) Télécharge Junkware Removal Tool sur le bureau: http://www.bleepingcomputer.com/download/junkware-removal-tool/

 

 

Site éditeur: http://thisisudax.org/

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

L'outil peut demander si on souhaite vérifier la présence d'une nouvelle version Y/N >> taper Y.

S'il découvre une version obsolète, il le dira et devrez presser une touche. L'outil se fermera.

 

JRT_New sera créé sur le bureau;

 

Jette l'ancien JRT et renomme JRT_New en JRT .

 

Si c'est déjà la bonne version , il commencera sa recherche de malwares normalement. Patience svp.

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

>>>Si le rapport est long, l'héberger ici: http://cjoint.com ou http://dl.free.fr/

 

 

 

 

------------------------------

*** Si tu as une ancienne version d'AdwCleaner, lance-le et clique sur désinstaller.***

 

2) Télécharge AdwCleaner par Xplode.

 

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Scanner et laisse travailler l'outil.

 

Cliquer sur Nettoyer, le bouton sera accessible.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s0]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

 

A lire absolument: http://www.vista-xp.fr/forum/topic5482.html

http://www.vista-xp.fr/forum/topic10389.html

 

-------------------------

 

@++

[Micky_mike]

Voici le rapport JRT:http://cjoint.com/?DKjtYPNhpBJ

 

Et celui ADWcleaner: http://cjoint.com/?DKjtY7QEeGk

 

Internet est revenu mais ce n'est toujours pas ça (fenetre d'erreurs, etc....)

 

Merci de ton aide

 

Micky_Mike

[Apollo]

Il ne faut plus se servir de nettoyeurs de registre sur les systèmes Vista, Windows 7 à 8.1 et 10 quand il sera mis en vente.

 

Fais un nouveau scan ZHPDiag stp.

 

@++

[Micky_mike]

Voici le rapport: http://cjoint.com/?DKjuqaFNQJj

 

A+

 

Micky_mike

Modifié le 9 novembre 2014 par Micky_mike

[Apollo]

ZHPFix :

• Ferme toutes les applications ouvertes
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau

  Important:

  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

• Copie les lignes ci-dessous dans la fenêtre

sauf le mot citation.

 

Script ZhpFix

G2 - GCE: Preference [user Data\Default] [hoidflomjnnnbiemmkjdjkkialmhbago] Browsers+_App+_Pro+ v.1.26.11, (Activé)

M2 - MFEP: RegExtension {56791912-F4C2-417E-D654-2D99CBE99C83} . (...) -- C:\Program Files (x86)\ver6BlockAndSurf\179.xpi (.not file.)

O42 - Logiciel: BitZipper 2010 - (.Bitberry Software.) [HKLM][64Bits] -- BitZipper_is1

O42 - Logiciel: Iminent - (.Iminent.) [HKLM][64Bits] -- {DD7575CC-5005-4B22-8E72-0637F6C01C58}

O42 - Logiciel: OnlineLowDeals - (.OnlineLowDeals.) [HKLM][64Bits] -- {37476589-E48E-439E-A706-56189E2ED4C4}_is1

[HKCU\Software\KeepVid]

[HKLM\Software\AD106F7F-AF77-4203-BCBE-0BE123ECBE63]

[HKLM\Software\SupraSavings ]

[HKLM\Software\Wow6432Node\SPPDCOM]

C:\Program Files (x86)\AD106F7F-AF77-4203-BCBE-0BE123ECBE63

C:\ProgramData\OnlineLowDeals

O45 - LFCP:[MD5.D628AED9003591A55685F1AB5371BB02] - 26/10/2014 - 16:06:06 ---A- - C:\Windows\Prefetch\IMINENT.EXE-239E2AD1.pf

O45 - LFCP:[MD5.89CEE3BAC2F7A1605540DB7357511B5A] - 30/09/2014 - 20:48:52 ---A- - C:\Windows\Prefetch\VOPACKAGE.EXE-28DDE7E0.pf

O90 - PUC: "8B501B6E56F182443979D1DFA8309BD4" . (.SupraSavings.) -- c:\Windows\Installer\{E6B105B8-1F65-4428-9397-1DFD8A03B94D}\icon64.ico

O90 - PUC: "CC5757DD500522B4E82760736F0CC185" . (.Iminent.) -- C:\Windows\Installer\{DD7575CC-5005-4B22-8E72-0637F6C01C58}\imbooster.ico

[HKLM\Software\Google\Chrome\Extensions\hoidflomjnnnbiemmkjdjkkialmhbago]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{DD7575CC-5005-4B22-8E72-0637F6C01C58}]

[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{37476589-E48E-439E-A706-56189E2ED4C4}_is1]

C:\Users\hewlett\AppData\Local\Google\Chrome\User Data\Default\Extensions\hoidflomjnnnbiemmkjdjkkialmhbago

C:\Users\hewlett\AppData\Roaming\Mozilla\Firefox\Profiles\EP: RegExtension {56791912-F4C2-417E-D654-2D99CBE99C83} . (...) -- C:\extensions\Program Files (x86)\ver6BlockAndSurf\179.xpi (.not file.)

C:\Users\hewlett\AppData\Local\Temp\uninst1.exe

C:\Users\hewlett\AppData\Local\Temp\SweetIESetup.exe

C:\Users\hewlett\AppData\Local\Temp\SweetIESetup.exe.7z

C:\Users\hewlett\AppData\Local\Temp\SweetIMSetup.exe.7z

C:\Users\hewlett\AppData\Local\Temp\datamngrUI.exe.765918

 

 

EmptyClsid

Ifeofix

Proxyfix

FirewallRaz

ShortcutFix

EmptyPrefetch

emptytemp

emptyflash

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

• Le script doit automatiquement apparaitre dans ZHPFix.

   

  Clique sur le bouton GO pour lancer le nettoyage

• Valide par Oui la désinstallation des programmes si demandé.
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

@++