[Résolu] Infections PC

[mo;mo]

Bonjour,

 

Une amie m'a demandé de regarder son pc qui ne se connectait plus a internet (connection filaire ethernet) et qui ne détectait et n'ouvrait plus les supports amovibles (cles usb, dd externes...)

 

Je me suis orienté vers deux pistes: la mise à jour des composants matériels et un nettoyage de windows.

 

Mon amie ayant installé la suite de McAfee et adaware,j'ai lancé des analyses qui ont supprimé spyware, malwares et trojans mais malgré cela toujours pas internet ni ouverture dd externes.

J'ai installé en parallèle malwaresbytes et avg 2015 (je sais que la cohabitation de deux antivirus n'est pas conseillé mais je ne voulais pas désinstaller McAfee pour ne pas désorienter mon amie qui souhaite le garder)

Malwares et avg ont trouvé plein de spywares, malwares, pup et trojans, les ont nettoyés mais aprés reboot du pc, toujours pas internet ni ouverture dd externe.

 

J'ai donc mis à jour le bios, les drivers communs (audio, carte ethenet..) et le chipset mais toujours les mêmes pbs.

 

J'ai installé une carte additive ethernet pensant peut etre que mon controleur ethernet intégré à la CM était hs mais même pb: pas de conenction internet mais le plus étonnant c'est que mon réseau local fonctionne. Ce pc ping mon autre pc !!!!!

 

Je pense que le pc est bien plus infecté que je ne le pensais et j'ai grandement besoin de votre aide.

 

Voici donc le rapport zhpdiag: http://www.cjoint.com/14nv/DKkkNEnqYOn.htm

 

Merci d'avance de vos retours rapides.

 

 

 

Modifié le 11 novembre 2014 par mo;mo

[Apollo]

Bonjour,

 

1) ZHPFix :

• Ferme toutes les applications ouvertes
• Double-clique sur ZHPFix, raccourci installé par ZHPDiag sur le Bureau

  Important:

  Sous Vista et Windows 7/8 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur.

• Copie les lignes ci-dessous dans la fenêtre

sauf le mot citation.

 

Script ZhpFix

R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURLs,Tabs = http://start.mysearchs.com

O43 - CFD: 20/10/2014 - 10:08:07 - [] ----D C:\Program Files\PCTRunner

O49 - CSB:Control Safe Boot HKLM\...\CCS\Minimal\pcwatch.sys . (...) -- C:\WINDOWS\system32\Drivers\pcwatch.sys (.not file.)

O49 - CSB:Control Safe Boot HKLM\...\CCS\Network\pcwatch.sys . (...) -- C:\WINDOWS\system32\Drivers\pcwatch.sys (.not file.)

O51 - MPSK:{8212fae4-0385-11e3-9d45-0019db2f91a3}\AutoRun\command. (...) -- E:\loader.exe (.not file.)

[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110611181106}]

[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110611181110}]

[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110611421101}]

C:\Program Files\PCTRunner

 

 

EmptyClsid

Ifeofix

Proxyfix

FirewallRaz

ShortcutFix

EmptyPrefetch

emptytemp

emptyflash

Cliquer sur IMPORTER., cela devrait coller le contenu du presse papier dans la fenêtre ZHPFix.

• Le script doit automatiquement apparaitre dans ZHPFix.

   

  Clique sur le bouton GO pour lancer le nettoyage

• Valide par Oui la désinstallation des programmes si demandé.
• Laisse l'outil travailler. Si un redémarrage est demandé, accepte et redémarre le PC
• Le rapport ZHPFixReport.txt s'affiche. Copie-colle le contenu de ce rapport dans ta réponse.

  Le rapport ZHPFixReport.txt est enregistré sous C:\ZHP\ZHPFix.txt

Si le Bureau ne réapparaît pas presse Ctrl + Alt + Suppr , Onglet Fichier , Nouvelle tâche , tape explorer.exe et valide.

 

----------------------------

2) Télécharge Junkware Removal Tool sur le bureau: http://www.bleepingcomputer.com/download/junkware-removal-tool/

 

 

Site éditeur: http://thisisudax.org/

 

Sous XP, double-clique sur l'icône et presse une touche lorsque cela sera demandé.

 

Sous Vista/7/8, clic droit/exécuter en temps qu'administrateur.

 

L'outil peut demander si on souhaite vérifier la présence d'une nouvelle version Y/N >> taper Y.

S'il découvre une version obsolète, il le dira et devrez presser une touche. L'outil se fermera.

 

JRT_New sera créé sur le bureau;

 

Jette l'ancien JRT et renomme JRT_New en JRT .

 

Si c'est déjà la bonne version , il commencera sa recherche de malwares normalement. Patience svp.

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si l'antivirus fait des siennes: désactive-le provisoirement. Si tu ne sais pas comment faire, reporte-toi à cet article.

 

Poste le rapport généré à la fin de l'analyse.

 

NB: Le bureau disparaitra un instant, c'est normal.

 

>>>Si le rapport est long, l'héberger ici: http://cjoint.com ou http://dl.free.fr/

 

 

 

 

---------------------------

3) Télécharge AdwCleaner par Xplode.

 

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

 

Enregistre-le sur le bureau (et pas ailleurs).

 

Afin de ne pas fausser le rapport, ne passer l'outil qu'une seule fois svp!

 

 

Si tu es sous XP double clique sur AdwCleaner pour lancer l'outil.

Si tu es sous Vista/Seven, clique droit sur AdwCleaner et choisis exécuter en temps qu'administrateur.

 

Clique sur Scanner et laisse travailler l'outil.

 

Cliquer sur Nettoyer, le bouton sera accessible.

 

Le rapport va s'ouvrir en fichier texte; copie la totalité de son contenu et colle-le dans ta réponse.

 

Le rapport est en outre sauvegardé sous C:\AdwCleaner[s0]

 

NB: Si l'outil "cale" en mode normal, le lancer en mode sans échec: http://www.vista-xp.fr/forum/topic93.html

 

A lire absolument: http://www.vista-xp.fr/forum/topic5482.html

http://www.vista-xp.fr/forum/topic10389.html

 

-------------------------

 

@++

Modifié le 10 novembre 2014 par Apollo

[mo;mo]

Bonjour Apollo,

 

Merci de ta réponse, voici:

 

le log de zhp: http://www.cjoint.com/14nv/DKkoPK8V9hL.htm

le log de jrt: http://www.cjoint.com/14nv/DKkoTSvG9kT.htm

1er log adwcleaner: http://www.cjoint.com/14nv/DKkoU5CFG0B.htm

2eme log adwcleaner: http://www.cjoint.com/14nv/DKkoVNknIiI.htm

 

Pour info, le surf fonctionne. Je n'ai testé que deux pages mais ces dernières se sont bien affichées.

Par contre, toujours pas de support amovible détecté dans poste de travail. Petite précision à ce sujet, lorsque branchement du dd externe en usb, bip de windows qui reconnait le périphérique mais pas d'autorun. Dans poste de travail, l'unité n'est pas visible alors que le dd externe est bien visible dans la gestion des disques avec une lettre affectée...!?

Même remarque quand je lance une alayse complète de l'ordinateur, le progranne analyse bien la partition du dd externe.

 

Donc apparement, le dd externe est bien reconnu/installé mais pas visible pour y accéder.

[Apollo]

Reuhhh,

 

Poste le rapport d'analyse que tu as fait avec MBAM.

 

Comment obtenir les rapports d'examen:

(Exporter le rapport et l'enregistrer en format txt)

•Après le redémarrage, quand vous êtes de retour sur le Bureau, ouvrez de nouveau MBAM.

 

•Cliquez sur l'onglet Historique > Journaux de l'application.

 

•Faites un double clic sur le Journal d'examen dont les date et heure correspondent à l'analyse qui vient d'être effectuée.

 

•Cliquez sur Exporter.

 

•Cliquez sur Fichier texte (*.txt)

 

•Dans la boîte de dialogue 'Enregistrer le fichier' qui s'est ouverte, cliquez sur le Bureau.

 

•Dans la zone Nom du fichier: saisissez un nom pour votre journal d'examen.

 

•Une boîte de message intitulée Fichier enregistré doit apparaître et vous annoncer que "Votre fichier a été exporté avec succès".

 

•Cliquez sur OK

 

•Attachez ce fichier dans votre prochaine réponse.

 

@++

Modifié le 10 novembre 2014 par Apollo

[mo;mo]

AIE, depuis le dernier scan de malwaresbytes cette am, n'ayant rien trouvé, le pc affiche le message: "authority NT/system, votre systeme va redémarrer dans 50 secondes....." comme blaster et ses variantes de l'époque...

 

J'ai eu le temps de récupérer quelques logs mais la aussi bizarrz, les journaux d'examens effectués avec mbam ne contiennent pas toutes les lignes qui sont apparues (il n'y a même qu'une ou deux lignes mentionant des détections pup)...?

 

Alors que la liste de quarantaine de mbam contient une 60aine d'élémnts (malheureusement, je ne peux générer un fichier txt de cette liste de quarantaine. J'ai effectué plusieurs impressions ecrans, collés dans un fichier rtf (50mo) ma

 

Je te joins la liste (plus ehaustive) des objets en quarantaine de mbam, il s'agit de plusieurs impressions ecrans les unes apres les autres (en espérant que cela te convienne):

 

J'ai fait un scan avec mbam à jour et il ne trouve plus rien: http://www.cjoint.com/14nv/DKkrKuSO4oO.htm

 

Je joins aussi les menaces détectées par avg si cela peut t'être utiles: http://www.cjoint.com/14nv/DKkrLsux65M.htm

[mo;mo]

Aie, depuis la dernière analyse de mbam faite cette am, qui n'a rien trouvé d'ailleurs, le pc affiche le message ;"Authority NT/SYSTEM, votre pc va redémarrer dans 50 secondes....." ca ressemble à blaster ou une de ses variantes de l'époque...et donc toutes les minutes, le pc redémarre...

 

Autre chose de bizarre, j'ai juste eu le temps d'ouvrir mbam pour recupérer le log que tu me deamndes mais je m'apeprcois que les journaux n'affichent pas tous les éléments détectés lors de mes premières analyses (j'ai l'impression maintenant que les menaces trouvées s'affichaient dans une fenetre avg pendant l'analyse de mbam...)

 

Par contre, la liste des objets en quarantaine de mbam contient une 60aine d'éléments mais je ne peux générer un fcihier txt pour te l'envoyer. J'ai crée un fichier rtf (50mo) contenant plusieurs impressions ecrans de la liste mais le fichier est trop lourd pour ci-joint et dl.free et partage fichiers ne fonctionnent pas....

 

Voici quand même le dernier scan de mbam, celui qui n'a rien trouvé aujourd'hui, avant le message AUTHORITY.;.: http://www.cjoint.com/14nv/DKksoI3zilD.htm

 

Voici un log avg (de vendredi) que j'ai eu le temps de récupérer: http://www.cjoint.com/14nv/DKkspSfUlua.htm

 

Qu'en penses tu ?

Mince je pensais que mon avant dernier message n'était pas passé alors j'ai envoyé le dernier.

désolé pour le multi post.

[Apollo]

Etonnant!

 

Avec le SP3, normalement Blaster ne pourrait plus infecter un XP.

 

Si le décompte apparait encore, va dans démarrer/exécuter et tape ou colle shutdown -a il y a un espace entre le n et le signe -

 

Toujours dans exécuter, tape MRT et lance l'analyse.

Mais je serais fort étonné qu'il trouve ce genre de virus datant de Mathusalem. Les AV et antimalware sont suffisamment renseignés sur ce machin.

 

@++

[mo;mo]

Effectivement, le décompte ne se lance plus depuis le 3eme reboot et mrt n'a rien trouvé (analyse rapide).

 

Un fichier systeme modifié doit en être l'origine ou peut etre le fait d'avoir des maj windows en attente d'installation ? bizarre en tous cas, oui.

 

Sinon, j'ai toujours les mêms pbs concernant la détection de supports amovibles, pas d'autorun d'éxécution, pas d'affichage dans poste de travail.

Et quand je vais dans la gestion des disques, je vois bien le support mais quand je 'essaye de l'ouvrir, message: "cette opération a été annulée en raison des restrictions en vigueur sur cet ordinateur. Contacter cotre administrateur système"

 

Mon compte a bien les droits adminisrateur, en tous cas apparement.

 

Pb dans le registre?

 

 

[Apollo]

• Télécharger CTR.exe
• Double cliquer sur le fichier pour le lancer.
• L'analyse ne dure que quelques instants.
• Poster le contenu du rapport.
• Le rapport est sur le bureau (CTR.txt)

NB: Certains antivirus réagissent à ce programme, il faut le désactiver provisoirement pour laisser travailler l'outil..

 

Si tu ne sais pas comment faire, reporte-toi à cet article.

 

++

[mo;mo]

voici: http://www.cjoint.com/14nv/DKkuFzA0pEB.htm