nettoyage d'ordi après infection par virus "Bubble dock" / Nosibay

nettoyage d'ordi après infection par virus "Bubble dock" / Nosibay Sujet résolu

Ajouter un message à la discussion

Pages : [1] 2 ... Fin

jeang

Posté le 27/04/2015 @ 13:49

Bonjour

j'ai téléchargé par inadvertance un "pack" nosibay avec plusieurs programmes type "Bubble dock", "istartsurf",etc

impossible de s'en débarrasser ensuite

j'ai fait plusieurs nettoyages avec Kaspersky et mbam

il semble que ce soit à peu près propre maintenant

seul problème : je n'ai plus accès à Mozilla-Firefox qui est mon navigateur habituel

et impossible maintenant de désinstaller firefox en utilisant CCleaner ou les utilitaires Windows 7.

Donc mon problème n'est pas vraiment réglé.

J'ai l'impression qu'il faut utiliser zhpdiag pour aller plus loin mais je ne saurais pas très bien l'utiliser seul.

Quelqu'un peut-il m'aider ?

liza33

Posté le 27/04/2015 à 14:09

Groupe Sécurité

jeang,

Je m'appelle Joseph, je vais t'assister mais on va fixer quelques règles avant de mener cette désinfection.

Si tu as ouvert un sujet sur un autre forum, tu le fermes et tu continues ici ou l'inverse.
Si tu as des cracks ou des keygens, tu les supprimes.
Si tu as un windows illégal, je ne désinfecte pas.
Tu poursuis la désinfection jusqu'au bout, même si tu constates une amélioration rapide, et de préférence sur un temps restreint (pas une réponse tous les 3 jours), sinon, cela ne sert à rien.

La désinfection comprend :

Un pré-nettoyage, un rapport pour établir un diagnostic
Le recours à d'autres outils si nécessaire
Un nettoyage par script au besoin
La suppression des outils utilisés et des conseils pour éviter des ré-infections futures, mettre le système à jour, créer des sauvegardes etc...
Si tu as des questions, n'hésite pas à les poser.
Ne cherche pas à aller trop vite et lis bien toutes les indications et commentaires de cette procédure.

Tu vas faire une analyse de ton pc avec ZHPDiag

Télécharge ZHPDiag de Nicolas Coolman
Laisse-toi guider lors de l'installation, c'est très rapide et très simple.
À la fin de l'installation, deux icônes vont apparaître sur ton bureau : ZHPDiag et ZHPFix.
Ouvre ZHPDiag (icône parchemin) :
Clique sur COMPLET
=> Si le programme ne répond plus, c'est normal, il tourne en tâche de fond : patiente et laisse-le tourner.
Tu trouveras le rapport sur le bureau, héberge le sur Cjoint et, poste le lien qui à été crée ici.

jeang

Posté le 27/04/2015 à 15:20

Bonjour Joseph,

merci pour cette réponse : ok pour tout

je m'y mets maintenant et je vais jusqu'au bout du nettoyage avec une interruption ce soir à partir de 19h

je reprendrai assez tôt demain matin

Et tout de suite une question : en termes de performances, est-il nécessaire d'acheter la version premium de mbam ou peut-on se contenter du freeware ?

Merci à toi

Jean

liza33

Posté le 27/04/2015 à 15:26

Groupe Sécurité

La version free suffit pour faire des analyses.

jeang

Posté le 27/04/2015 à 15:34

jeang

Posté le 27/04/2015 à 15:43

Voici le lien vers le rapport du diagnostic : http://cjoint.com/?3DBp35l0RB1

liza33

Posté le 27/04/2015 à 16:26

Groupe Sécurité

Avant toute chose, je vois que tu as Kaspersky PURE et Kaspersky Internet Security, les deux sont ils actifs ?

Il faut aussi que tu désinstalle Spybot Search & Destroy qui est obsolète.

Tu utilises Spybot Search & Destroy qui est obsolète , et ne peut que t'apporter des problèmes., désinstalle le (si le teaTimer est actif, desactive le avant ta désinstallation)

Désactiver le Tea-Timer de Spybot S&D

Le Tea Timer est un module de protection de Spybot qui surveille les processus qui sont lancés et les modifications de certains points importants du Registre. Il apparaît dans la liste des processus sous le nom teatimer.exe. Lors d'une désinfection il faut désactiver cette protection, sinon le TeaTimer risque de gêner le travail des outils de désinfection.

Démarrez Spybot, cliquez sur Mode, cochez Mode avancé.
A gauche, cliquez sur Outils, puis sur Résident.
Décochez la case devant Résident "TeaTimer" puis quittez Spybot

Désinstaller Spybot S&D

Telecharge Spykiller de 91300
Lance SpyKiller.exe
Sous Vista et Windows 7 : il faut lancer le fichier par clic-droit -> Exécuter en tant qu'administrateur
Accepter le message qui suit.

Cliques sur Spybot - S&D
Cliques sur Suppression.
Poste le rapport ici
Puis cliques sur Quitter

Je reviens pour la suite après analyse en profondeur de ton rapport.

A te lire.

jeang

Posté le 27/04/2015 à 16:49

Non, je n'utilise que Kaspersky Pure

Internet security est je pense une ancienne version que je n'ai pas dû désinstaller.

Concernant Spybot S&D, je ne l'ai plus utilisé depuis très longtemps et ne pensais pas qu'il était encore sur mon PC.

En fait le programme n'apparait ni en icône sur le bureau, ni sur la liste des programmes de Windows, ni dans l'utilitaire de désinstallation de w7, ni dans CCleaner.

Il y a un dossier Spybot S&D dans les dossiers "programm files" et "programm data" mais je ne sais pas comment démarrer Spybot S&D.

L'icône "tea timer" apparaît dans le dossier "programm files" mais je ne sais pas si le programme est actif.

Je ne lance pas Spykiller de 91300 avant d'avoir ta réponse.

Merci pour cette aide, c'est vraiment précieux !

liza33

Posté le 27/04/2015 à 17:18

Groupe Sécurité

Laisse tomber pour Spybot on va faire autrement.

Est ce que tu peut désinstaller Kaspersky Internet Security ? Si oui, fait le.

J'arrive avec la suite.

1 - ZHPCleaner

Désactive ton antivirus le temps du téléchargement et de l'utilisation.
Télécharge ZHPCleaner de Nicolas Coolman sur ton bureau.
Ferme ton navigateur
Fais un double clique sur l'icône pour le lancer
Note : Clique droit sur l'icône puis Exécuter en tant qu'administrateur sous Windows Vista, Seven et Windows 8
Accepte les conditions d'utilisation
Clique sur Scanner

Note : Durant le scan, si l'outil te demande Avez-vous installé ce proxy ? et que tu n'en as pas installé, clique sur Non ou Voulez-vous remplacer la page d'accueil ?, clique sur Oui
Copie/colle le rapport présent sur ton bureau dans ta prochaine réponse.
Ensuite si ZHPCleaner à trouvé quelque chose
Clique sur Nettoyer
Un clic sur le bouton Nettoyer permet d’accéder à l'interface de réparation si l'utilisateur le souhaite (message d'acceptation).
Là trois boutons sont disponibles,

- Le bouton Décocher permet de décocher toutes les lignes d'une fenêtre,
- Le bouton Valider permet de valider la fenêtre qui a subi des décoches de lignes. Le compteur de détection de l'onglet est décrémenté du nombre de lignes décochées.
- Le bouton Nettoyer permet de lancer le nettoyage.

Note: Durant le nettoyage, si l'outil te demande Avez-vous installé ce proxy ? et que tu n'en as pas installé, clique sur Non ou Voulez-vous remplacer la page d'accueil ?, clique sur Oui
Copie/colle le rapport présent sur ton bureau dans ta prochaine réponse.

N'oublie pas de réactiver ton antivirus.

2 - Malwarebytes

Télécharge Malwarebytes
Procède à l'installation de celui çi
A la fin de l'installation, décoche l'option "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium".
La case Exécuter Malwarebytes Anti-Malware reste cochée.
Clique sur Mettre à jour (à droite, au centre)
Clique sur Paramétres et configure le comme sur l'image
Clique sur Examen (en haut)
Sélectionne Examen "Menaces"
Clique sur Lancer l'examen
Une fois le scan terminé, si des menaces ont été trouvé, clique sur Supprimer la sélection, tout sera mis en Quarantaine.
Si un message demande de redémarrer le PC pour terminer la suppression, accepte
Le rapport est disponible dans Historique > Journaux de l'application
Il faut l'exporter comme ci dessous, l'enregistrer sur le bureau, heberge le sur Cjoint et, poste le lien qui à été crée ici.

3 - Refait un ZHPDiag Complet et poste le rapport ici

jeang

Posté le 27/04/2015 à 19:17

jeang

Posté le 27/04/2015 à 19:18

Fichier joint : ZHPCleaner_scanner.txt

jeang

Posté le 27/04/2015 à 19:19

Fichier joint : ZHPDiag.txt

jeang

Posté le 27/04/2015 à 19:22

Voilà j'ai fait toutes les opérations demandées.

Je t'ai envoyé les rapport du scan et du nettoyage par ZHPCleaner mais je ne suis pas sûr qu'il soit arrivés.

mbam n'a rien détecté.

Le rapport du dernier ZHPdiag est là :

http://fichiers.pcastuces.com/rapports/238118-20150427191901_ZHPDiag.txt.zip

apparemment il reste encore deux infections.

J'arrête pour ce soir. Prêt à reprendre dès demain matin.

Bonne soirée

Jean

liza33

Posté le 27/04/2015 à 20:27

Groupe Sécurité

Pour demain matin.

Attention script personnalisé à ne pas reproduire sur un autre ordinateur risque de plantage !

Lance ZHPFix depuis l'icône sur le bureau exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
Selectionne les lignes en gras ci-dessous et copie les

Code

Script ZHPFix
FirewallRaz
EmptyPrefetch
EmptyTemp
EmptyFlash
[MD5.00000000000000000000000000000000] [APT] [BPYUW] (...) -- C:\ProgramData\80f28cfe676741a5955dac0d157a3ecd\80f28cfe676741a5955dac0d157a3ecd.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [NetEngine] (...) -- C:\ProgramData\NetEngine\bin\D7\netengine.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{B690B2FA-5F14-4DCA-B543-B9AA084773BE}] (...) -- C:\Users\JeanG\AppData\Roaming\webssearches\UninstallManager.exe (.not file.) [0]
C:\Users\JeanG\AppData\Local\Apps
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\netengine_RASAPI32
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\netengine_RASMANCS
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline => Orphean Key not necessary
O4 - HKCU\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe => Safer Networking Ltd - Spybot S&D
O4 - HKUS\S-1-5-21-1317402406-3310851607-1948584344-1000\..\Run: [AdobeBridge] Clé orpheline => Orphean Key not necessary
O4 - HKUS\S-1-5-21-1317402406-3310851607-1948584344-1000\..\Run: [SpybotSD TeaTimer] . (.Safer Networking Limited - System settings protector.) -- C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe => Safer Networking Ltd - Spybot S&D
[MD5.00000000000000000000000000000000] [APT] [{3F8A3399-1E28-4CCB-A1B5-B122689982DC}] (...) -- J:\logiciels\Nero 7 Premium 7.2.0.3\Nero-7.2.0.3_eng_no_ytb.exe (.not file.) [0] => Fichier absent
[HKCU\Software\Safer Networking Limited] => Safer Networking Limited
[HKLM\Software\Wow6432Node\Safer Networking Limited] => Safer Networking Limited
O43 - CFD: 17/03/2013 - 12:36:40 - [] ----D C:\Program Files (x86)\Spybot - Search & Destroy => Safer Networking Ltd - Spybot S&D
O43 - CFD: 17/03/2013 - 12:39:56 - [] ----D C:\ProgramData\Spybot - Search & Destroy => Safer Networking Ltd - Spybot S&D
O43 - CFD: 26/04/2015 - 07:39:36 - [0] ----D C:\Users\JeanG\AppData\Local\WebShield => Empty Folder not necessary
O43 - CFD: 25/08/2014 - 22:54:06 - [0] ----D C:\Users\JeanG\AppData\Local\WnSoft-WaveCache => Empty Folder not necessary
O44 - LFC:[MD5.6052590613B7A739C1DF64C3F495EF79] - 26/04/2015 - 18:48:56 ---A- . (...) -- C:\FilterLog.log [80] => Fichier de rapport (Log)
O51 - MPSK:{4a0fad65-d028-11e1-84fd-4c8093a063c8}\AutoRun\command. (...) -- H:\SISetup.exe (.not file.) => Fichier absent
O61 - LFC: 27/04/2015 - 18:53:25 ---A- . (...) -- C:\Users\JeanG\AppData\Local\Temp\dropbox_sqlite_ext.{5f3e3153-5bce-5766-8f84-3e3e7ecf0d81}.tmpcsmfxk.dll [43008] => Temporary file not necessary
O68 - StartMenuInternet: [HKLM\..\Shell\open\Command] (...) -- firefox.exe (.not file.) => Fichier absent
P2 - FPN:Firefox Plugin Navigator . (...) -- C:\Program Files (x86)\Mozilla Firefox\browser\searchplugins\eBay-france.xml
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} Clé orpheline
HKLM\SOFTWARE\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]
Clique sur Importer
Si ca ne marche pas, fait un copié/collé.
Si le script n'est pas conforme un message d'exemple s'affiche.

/!\ IMPORTANT /!\ Vérifie que les lignes du script importé dans ZHPFix correspondent bien à celles du script que je t'ai donné.
Puis Clic sur "GO"
Confirme les nettoyages des données en cliquant sur "Oui"
Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
Copie le rapport, et colle-le dans la prochaine réponse sur le forum.

Ensuite tu refait un ZHPDiag Complet et tu poste le rapport ici. Merci.

jeang

Posté le 28/04/2015 à 06:33

Fichier joint : ZHPFixReport.txt

jeang

Posté le 28/04/2015 à 06:33

jeang

Posté le 28/04/2015 à 06:54

Fichier joint : ZHPDiag.txt

jeang

Posté le 28/04/2015 à 06:55

Fichier joint : ZHPDiag.txt

jeang

Posté le 28/04/2015 à 07:04

Bonjour

j'ai posté les rapports ZHPfix et ZHPdiag en double.

J'ai l'impression que c'est bon.

Deux questions :

1. j'ai deux autres pc infectés (j'ai fait le test ZHPdiag) : je pensais tenter de réparer ça moi-même en utilisant ZHPcleaner et mbam.

S'il y a besoin de ZHPfix (que je ne saurai pas utiliser moi-même) je reviendrai sur ce forum : Est-ce la bonne démarche ?

2. dois-je faire le même type de nettoyage pour mes clés usb et disques durs externes ? Comment ?

Merci

liza33

Posté le 28/04/2015 à 09:36

Groupe Sécurité

jean,

Tout d'abord ton rapport est propre .

On fera la finalisation de la désinfection après l'utilisation de UsbFix pour tes supports amovibles.

1 - Pour chaque pc il vaut mieux que tu ouvre un autre sujet dans le forum Sécurité.

2 - On va s'occuper de tes supports amovibles.

Tu vas examiner et désinfecter tes supports amovibles

Recherche des infections

Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau :http://www.telecharger.sosvirus.net/download/usbfix/
Double-clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement.
Clique sur le bouton Recherche pour effectuer une recherche d'infections sur ton PC.
Une fenêtre apparaîtra te demandant de brancher tous tes disques durs externes et clés usb sur ton PC...Fait le
Met tes disques durs externes sous tension (allumés), sans les ouvrir, puis appuie sur OK
Une autre fenêtre apparait, clique sur NON
La recherche est maintenant lancée... Patienter quelques minutes...
Une fois l'analyse terminée, un rapport apparaîtra à l'écran vous indiquant les éléments infectieux trouvés par UsbFix
Poster le rapport sur le forum (copié/collé).

jeang

Posté le 28/04/2015 à 10:13

Fichier joint : UsbFix_Report.txt

jeang

Posté le 28/04/2015 à 10:19

Voici le lien vers le rapport USBfix : http://fichiers.pcastuces.com/rapports/238118-20150428101315_UsbFix_Report.txt.zip

Autre question : comment vais-je relancer Mozilla-Firefox ? (mais j'anticipe peut-être sur la désinfection finale)

Au risque de me répéter : merci encore Joseph, tout ça a l'air bien efficace !

liza33

Posté le 28/04/2015 à 10:20

Groupe Sécurité

Tu ouvre USBFix, tu clique sur Nettoyage et, tu poste le rapport.

jeang

Posté le 28/04/2015 à 10:36

Fichier joint : UsbFix_Report.txt

jeang

Posté le 28/04/2015 à 10:37

liza33

Posté le 28/04/2015 à 10:48

Groupe Sécurité

C'est bon, tous tes supports ont étés vaccinés. Tu peut supprimer USBFix.

################## | Vaccin |

C:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
D:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
E:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
F:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
H:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
I:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
J:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)
K:\Autorun.inf -> Vaccin créé par UsbFix (El Desaparecido)

Essaye de désinstaller Firefox avec Revo Uninstaller

Téléchargement : http://www.revouninstaller.com/start_freeware_download.html

Tuto détaillé : http://assiste.com/Revo_Uninstaller.html#Revo_Uninstaller_desinstallation_detaillee

Si ça à fonctionné, tu peut le réinstaller.

Modifié par liza33 le 28/04/2015 10:49

Pages : [1] 2 ... Fin

Vous devez être connecté pour poster des messages. Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !