> Tous les forums > Forum Sécurité
 nettoyage d'ordi après infection par virus "Bubble dock" / NosibaySujet résolu
Ajouter un message à la discussion
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]
jeang
  Posté le 27/04/2015 @ 13:49 
Aller en bas de la page 
Petit astucien

Bonjour

j'ai téléchargé par inadvertance un "pack" nosibay avec plusieurs programmes type "Bubble dock", "istartsurf",etc

impossible de s'en débarrasser ensuite

j'ai fait plusieurs nettoyages avec Kaspersky et mbam

il semble que ce soit à peu près propre maintenant

seul problème : je n'ai plus accès à Mozilla-Firefox qui est mon navigateur habituel

et impossible maintenant de désinstaller firefox en utilisant CCleaner ou les utilitaires Windows 7.

Donc mon problème n'est pas vraiment réglé.

J'ai l'impression qu'il faut utiliser zhpdiag pour aller plus loin mais je ne saurais pas très bien l'utiliser seul.

Quelqu'un peut-il m'aider ?

Publicité
liza33
 Posté le 27/04/2015 à 14:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

jeang,

image Je m'appelle Joseph, je vais t'assister mais on va fixer quelques règles avant de mener cette désinfection.

  • Si tu as ouvert un sujet sur un autre forum, tu le fermes et tu continues ici ou l'inverse.
  • Si tu as des cracks ou des keygens, tu les supprimes.
  • Si tu as un windows illégal, je ne désinfecte pas.
  • Tu poursuis la désinfection jusqu'au bout, même si tu constates une amélioration rapide, et de préférence sur un temps restreint (pas une réponse tous les 3 jours), sinon, cela ne sert à rien.


La désinfection comprend :

  • Un pré-nettoyage, un rapport pour établir un diagnostic
  • Le recours à d'autres outils si nécessaire
  • Un nettoyage par script au besoin
  • La suppression des outils utilisés et des conseils pour éviter des ré-infections futures, mettre le système à jour, créer des sauvegardes etc...
  • Si tu as des questions, n'hésite pas à les poser.
  • Ne cherche pas à aller trop vite et lis bien toutes les indications et commentaires de cette procédure.

image Tu vas faire une analyse de ton pc avec ZHPDiag

  1. Télécharge ZHPDiag de Nicolas Coolman
  2. Laisse-toi guider lors de l'installation, c'est très rapide et très simple.
  3. À la fin de l'installation, deux icônes vont apparaître sur ton bureau : ZHPDiag et ZHPFix.
  4. Ouvre ZHPDiag (icône parchemin) : image
  5. Clique sur COMPLET

    image
  6. => Si le programme ne répond plus, c'est normal, il tourne en tâche de fond : patiente et laisse-le tourner.
  7. Tu trouveras le rapport sur le bureau, héberge le sur Cjoint et, poste le lien qui à été crée ici.


jeang
 Posté le 27/04/2015 à 15:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour Joseph,

merci pour cette réponse : ok pour tout

je m'y mets maintenant et je vais jusqu'au bout du nettoyage avec une interruption ce soir à partir de 19h

je reprendrai assez tôt demain matin

Et tout de suite une question : en termes de performances, est-il nécessaire d'acheter la version premium de mbam ou peut-on se contenter du freeware ?

Merci à toi

Jean

liza33
 Posté le 27/04/2015 à 15:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

La version free suffit pour faire des analyses.

jeang
 Posté le 27/04/2015 à 15:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

merci

jeang
 Posté le 27/04/2015 à 15:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le lien vers le rapport du diagnostic : http://cjoint.com/?3DBp35l0RB1

liza33
 Posté le 27/04/2015 à 16:26 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Avant toute chose, je vois que tu as Kaspersky PURE et Kaspersky Internet Security, les deux sont ils actifs ?

Il faut aussi que tu désinstalle Spybot Search & Destroy qui est obsolète.

Tu utilises Spybot Search & Destroy qui est obsolète , et ne peut que t'apporter des problèmes., désinstalle le (si le teaTimer est actif, desactive le avant ta désinstallation)


Désactiver le Tea-Timer de Spybot S&D

Le Tea Timer est un module de protection de Spybot qui surveille les processus qui sont lancés et les modifications de certains points importants du Registre. Il apparaît dans la liste des processus sous le nom teatimer.exe. Lors d'une désinfection il faut désactiver cette protection, sinon le TeaTimer risque de gêner le travail des outils de désinfection.

  • Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
  • A gauche, cliquez sur Outils, puis sur Résident.
  • Décochez la case devant Résident "TeaTimer" puis quittez Spybot



image




Désinstaller Spybot S&D

  • Telecharge Spykiller de 91300
  • Lance SpyKiller.exe
  • Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
  • Accepter le message qui suit.



image

  • Cliques sur Spybot - S&D
  • Cliques sur Suppression.
  • Poste le rapport ici
  • Puis cliques sur Quitter

Je reviens pour la suite après analyse en profondeur de ton rapport.

A te lire.

jeang
 Posté le 27/04/2015 à 16:49 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Non, je n'utilise que Kaspersky Pure

Internet security est je pense une ancienne version que je n'ai pas dû désinstaller.

Concernant Spybot S&D, je ne l'ai plus utilisé depuis très longtemps et ne pensais pas qu'il était encore sur mon PC.

En fait le programme n'apparait ni en icône sur le bureau, ni sur la liste des programmes de Windows, ni dans l'utilitaire de désinstallation de w7, ni dans CCleaner.

Il y a un dossier Spybot S&D dans les dossiers "programm files" et "programm data" mais je ne sais pas comment démarrer Spybot S&D.

L'icône "tea timer" apparaît dans le dossier "programm files" mais je ne sais pas si le programme est actif.

Je ne lance pas Spykiller de 91300 avant d'avoir ta réponse.

Merci pour cette aide, c'est vraiment précieux !

liza33
 Posté le 27/04/2015 à 17:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Laisse tomber pour Spybot on va faire autrement.

Est ce que tu peut désinstaller Kaspersky Internet Security ? Si oui, fait le.

J'arrive avec la suite.

1 - ZHPCleaner

  • Désactive ton antivirus le temps du téléchargement et de l'utilisation.
  • Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau.
  • Ferme ton navigateur
  • Fais un double clique sur l'icône pour le lancer
    Note : Clique droit sur l'icône puis Exécuter en tant qu'administrateur sous Windows Vista, Seven et Windows 8
  • Accepte les conditions d'utilisation
  • Clique sur Scanner

    Note : Durant le scan, si l'outil te demande Avez-vous installé ce proxy ? et que tu n'en as pas installé, clique sur Non ou Voulez-vous remplacer la page d'accueil ?, clique sur Oui

    image
  • Copie/colle le rapport présent sur ton bureau dans ta prochaine réponse.

  • Ensuite si ZHPCleaner à trouvé quelque chose
  • Clique sur Nettoyer

    image
  • Un clic sur le bouton Nettoyer permet d’accéder à l'interface de réparation si l'utilisateur le souhaite (message d'acceptation).

    image
  • Là trois boutons sont disponibles,

    - Le bouton Décocher permet de décocher toutes les lignes d'une fenêtre,
    - Le bouton Valider permet de valider la fenêtre qui a subi des décoches de lignes. Le compteur de détection de l'onglet est décrémenté du nombre de lignes décochées.
    - Le bouton Nettoyer permet de lancer le nettoyage.

    Note: Durant le nettoyage, si l'outil te demande Avez-vous installé ce proxy ? et que tu n'en as pas installé, clique sur Non ou Voulez-vous remplacer la page d'accueil ?, clique sur Oui
  • Copie/colle le rapport présent sur ton bureau dans ta prochaine réponse.



N'oublie pas de réactiver ton antivirus.

2 - Malwarebytes

  • Télécharge Malwarebytes
  • Procède à l'installation de celui çi
  • A la fin de l'installation, décoche l'option "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium".
  • La case Exécuter Malwarebytes Anti-Malware reste cochée.

    image
  • Clique sur Mettre à jour (à droite, au centre)

    image
  • Clique sur Paramétres et configure le comme sur l'image

    image
  • Clique sur Examen (en haut)

    image
  • Sélectionne Examen "Menaces"
  • Clique sur Lancer l'examen
  • Une fois le scan terminé, si des menaces ont été trouvé, clique sur Supprimer la sélection, tout sera mis en Quarantaine.

    image
  • Si un message demande de redémarrer le PC pour terminer la suppression, accepte
  • Le rapport est disponible dans Historique > Journaux de l'application

    image
  • Il faut l'exporter comme ci dessous, l'enregistrer sur le bureau, heberge le sur Cjoint et, poste le lien qui à été crée ici.



image


3 - Refait un ZHPDiag Complet et poste le rapport ici

Publicité
jeang
 Posté le 27/04/2015 à 19:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
jeang
 Posté le 27/04/2015 à 19:18 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPCleaner_scanner.txt

jeang
 Posté le 27/04/2015 à 19:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

jeang
 Posté le 27/04/2015 à 19:22 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voilà j'ai fait toutes les opérations demandées.

Je t'ai envoyé les rapport du scan et du nettoyage par ZHPCleaner mais je ne suis pas sûr qu'il soit arrivés.

mbam n'a rien détecté.

Le rapport du dernier ZHPdiag est là :

http://fichiers.pcastuces.com/rapports/238118-20150427191901_ZHPDiag.txt.zip

apparemment il reste encore deux infections.

J'arrête pour ce soir. Prêt à reprendre dès demain matin.

Bonne soirée

Jean

liza33
 Posté le 27/04/2015 à 20:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Pour demain matin.

imageAttention script personnalisé à ne pas reproduire sur un autre ordinateur risque de plantage !

  • Lance ZHPFix depuis l'icône sur le bureau image exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  • Selectionne les lignes en gras ci-dessous et copie les

    Code
    Script ZHPFix
    FirewallRaz
    EmptyPrefetch
    EmptyTemp
    EmptyFlash
    [MD5.00000000000000000000000000000000] [APT] [BPYUW] (...) -- C:\ProgramData\80f28cfe676741a5955dac0d157a3ecd\80f28cfe676741a5955dac0d157a3ecd.exe (.not file.) [0]
    [MD5.00000000000000000000000000000000] [APT] [NetEngine] (...) -- C:\ProgramData\NetEngine\bin\D7\netengine.exe (.not file.) [0]
    [MD5.00000000000000000000000000000000] [APT] [{B690B2FA-5F14-4DCA-B543-B9AA084773BE}] (...) -- C:\Users\JeanG\AppData\Roaming\webssearches\UninstallManager.exe (.not file.) [0]
    C:\Users\JeanG\AppData\Local\Apps
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\netengine_RASAPI32
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\netengine_RASMANCS
    O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline => Orphean Key not necessary
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe => Safer Networking Ltd - Spybot S&D
    O4 - HKUS\S-1-5-21-1317402406-3310851607-1948584344-1000\..\Run: [AdobeBridge] Clé orpheline => Orphean Key not necessary
    O4 - HKUS\S-1-5-21-1317402406-3310851607-1948584344-1000\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe => Safer Networking Ltd - Spybot S&D
    [MD5.00000000000000000000000000000000] [APT] [{3F8A3399-1E28-4CCB-A1B5-B122689982DC}] (...) -- J:\logiciels\Nero 7 Premium 7.2.0.3\Nero-7.2.0.3_eng_no_ytb.exe (.not file.) [0] => Fichier absent
    [HKCU\Software\Safer Networking Limited] => Safer Networking Limited
    [HKLM\Software\Wow6432Node\Safer Networking Limited] => Safer Networking Limited
    O43 - CFD: 17/03/2013 - 12:36:40 - [] ----D C:\Program Files (x86)\Spybot - Search & Destroy => Safer Networking Ltd - Spybot S&D
    O43 - CFD: 17/03/2013 - 12:39:56 - [] ----D C:\ProgramData\Spybot - Search & Destroy => Safer Networking Ltd - Spybot S&D
    O43 - CFD: 26/04/2015 - 07:39:36 - [0] ----D C:\Users\JeanG\AppData\Local\WebShield => Empty Folder not necessary
    O43 - CFD: 25/08/2014 - 22:54:06 - [0] ----D C:\Users\JeanG\AppData\Local\WnSoft-WaveCache => Empty Folder not necessary
    O44 - LFC:[MD5.6052590613B7A739C1DF64C3F495EF79] - 26/04/2015 - 18:48:56 ---A- . (...) -- C:\FilterLog.log [80] => Fichier de rapport (Log)
    O51 - MPSK:{4a0fad65-d028-11e1-84fd-4c8093a063c8}\AutoRun\command. (...) -- H:\SISetup.exe (.not file.) => Fichier absent
    O61 - LFC: 27/04/2015 - 18:53:25 ---A- . (...) -- C:\Users\JeanG\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpcsmfxk.dll [43008] => Temporary file not necessary
    O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (...) -- firefox.exe (.not file.) => Fichier absent
    P2 - FPN:Firefox Plugin Navigator . (...) -- C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\eBay-france.xml
    O3 - Toolbar\WebBrowser: (no name) - [HKCU]{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} Clé orpheline
    HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32
    [HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]

  • Clique sur Importer

    image

    image
  • Si ca ne marche pas, fait un copié/collé.
  • Si le script n'est pas conforme un message d'exemple s'affiche.

    /!\ IMPORTANT /!\ Vérifie que les lignes du script importé dans ZHPFix correspondent bien à celles du script que je t'ai donné.
  • Puis Clic sur "GO"
  • Confirme les nettoyages des données en cliquant sur "Oui"
  • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
  • Copie le rapport, et colle-le dans la prochaine réponse sur le forum.



image Ensuite tu refait un ZHPDiag Complet et tu poste le rapport ici. Merci.

jeang
 Posté le 28/04/2015 à 06:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPFixReport.txt

jeang
 Posté le 28/04/2015 à 06:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
jeang
 Posté le 28/04/2015 à 06:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

Publicité
jeang
 Posté le 28/04/2015 à 06:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : ZHPDiag.txt

jeang
 Posté le 28/04/2015 à 07:04 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Bonjour

j'ai posté les rapports ZHPfix et ZHPdiag en double.

J'ai l'impression que c'est bon.

Deux questions :

1. j'ai deux autres pc infectés (j'ai fait le test ZHPdiag) : je pensais tenter de réparer ça moi-même en utilisant ZHPcleaner et mbam.

S'il y a besoin de ZHPfix (que je ne saurai pas utiliser moi-même) je reviendrai sur ce forum : Est-ce la bonne démarche ?

2. dois-je faire le même type de nettoyage pour mes clés usb et disques durs externes ? Comment ?

Merci

liza33
 Posté le 28/04/2015 à 09:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

jean,

Tout d'abord ton rapport est propre .

On fera la finalisation de la désinfection après l'utilisation de UsbFix pour tes supports amovibles.

1 - Pour chaque pc il vaut mieux que tu ouvre un autre sujet dans le forum Sécurité.

2 - On va s'occuper de tes supports amovibles.

image Tu vas examiner et désinfecter tes supports amovibles

image Recherche des infections

  • Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau :http://www.telecharger.sosvirus.net/download/usbfix/
  • Double-clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement.
  • Clique sur le bouton Recherche pour effectuer une recherche d'infections sur ton PC.

    image
  • Une fenêtre apparaîtra te demandant de brancher tous tes disques durs externes et clés usb sur ton PC...Fait le
  • Met tes disques durs externes sous tension (allumés), sans les ouvrir, puis appuie sur OK

    image
  • Une autre fenêtre apparait, clique sur NON

    image
  • La recherche est maintenant lancée... Patienter quelques minutes...
  • Une fois l'analyse terminée, un rapport apparaîtra à l'écran vous indiquant les éléments infectieux trouvés par UsbFix
  • Poster le rapport sur le forum (copié/collé).


jeang
 Posté le 28/04/2015 à 10:13 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : UsbFix_Report.txt

jeang
 Posté le 28/04/2015 à 10:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Voici le lien vers le rapport USBfix : http://fichiers.pcastuces.com/rapports/238118-20150428101315_UsbFix_Report.txt.zip

Autre question : comment vais-je relancer Mozilla-Firefox ? (mais j'anticipe peut-être sur la désinfection finale)

Au risque de me répéter : merci encore Joseph, tout ça a l'air bien efficace !

liza33
 Posté le 28/04/2015 à 10:20 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

Tu ouvre USBFix, tu clique sur Nettoyage et, tu poste le rapport.

jeang
 Posté le 28/04/2015 à 10:36 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien

Fichier joint : UsbFix_Report.txt

jeang
 Posté le 28/04/2015 à 10:37 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Petit astucien
liza33
 Posté le 28/04/2015 à 10:48 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Groupe Sécurité

C'est bon, tous tes supports ont étés vaccinés. Tu peut supprimer USBFix.

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
H:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
I:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
J:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
K:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

Essaye de désinstaller Firefox avec Revo Uninstaller

Téléchargement : http://www.revouninstaller.com/start_freeware_download.html

Tuto détaillé : http://assiste.com/Revo_Uninstaller.html#Revo_Uninstaller_desinstallation_detaillee

Si ça à fonctionné, tu peut le réinstaller.



Modifié par liza33 le 28/04/2015 10:49
Publicité
Pages : [1] 2 ... Fin
Page 1 sur 2 [Fin]

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !


Sujets relatifs
AV-Comparatives: Test nettoyage après infection.
Rapport ZHPDIAG après infection Rogue et virus
Virus ou pas après un pré-nettoyage
nettoyage du systeme apres infection
Demande aide après nettoyage virus
Infection ou nettoyage à faire
Infection correctement suprimé après Format Factory?
Nettoyage ordi 24.05.15
Ordi qui rame sans virus apparent
Nettoyage ordi 18.03.15
Plus de sujets relatifs à nettoyage d''ordi après infection par virus "Bubble dock" / Nosibay
 > Tous les forums > Forum Sécurité