> Tous les forums > Forum Sécurité
 détournement de connexion et pc zombie ?
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
bden2
  Posté le 21/03/2011 @ 18:33 
Aller en bas de la page 

Bonjour,

je me suis adressé à un site de désinfection et cela c'est terminé par "il n'a rien".
Ce dont je doute (avec tout le respect pour l'aide apportée) car j'ai des symptômes assez significatifs qui me laissent à penser que je suis infecter par un virus ou rootkit :

mon antivirus gdata qui se ferme d'un coup me disant qu'il ne peut plus assurer ma sécurité,mon pc qui se fige, impossible d'avoir la page google alors que je suis connecté,frezze de l'image de mon bureau et ceci en plus :

http://www.imagup.com/data/1115269870.html

A chaque fois que j'installe mon anti virus que j'ai acheté / très bizarre voir flippant quand même.

A chaque scan malwarebytes me trouve ceci que je supprime mais qui est toujours détecté :

Elément(s) de données du Registre infecté(s):
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: (????????) Good: (regedit.exe "%1" ) -> Quarantined and deleted successfully.


* je tourne en ce moment avec sandboxie.
* j'ai mis en place des dns clearcloud : 74.118.212.1 et 74.118.212.2 afin d'empêcher au virus de dl ses copains.

MERCI de votre aide.

Publicité
pear
 Posté le 21/03/2011 à 18:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Pour tenter d'y voir plus clair:

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman
Décompresser le fichier ZHPDiag.fix sur le bureau
puis double-cliquer sur le fichier ZHPDiag.exe pour installer l'outil
Sur le bureau ,il y aura 3 icônesimage
Sous XP, double clic sur ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur
image
Clic sur la Loupe pour lancer le scan
En cas de blocage sur O80, cliquez sur le tournevis pour le décocher
Postez le rapport ZhpDiag.txt qui apparait sur le bureau

Pour cela,Cliquer sur image Insérer un rapport,en bas de page,à gauche et cliquer sur Parcourir pour trouver le rapport sur votre bureau

bden2
 Posté le 21/03/2011 à 21:32 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Fichier joint : ZHPDiag2.Txt

Merci de votre aide.



Modifié par bden2 le 21/03/2011 21:34
bden2
 Posté le 24/03/2011 à 05:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

un ptit up

clbugnot
 Posté le 24/03/2011 à 09:03 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Grand Maître astucien

Bonjour bden2

Je te suggère de contacter pear par Message Privé. Sans doute ton sujet est-il sorti de ses suivis.

Cordialement.

pear
 Posté le 24/03/2011 à 09:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Désolé du retard


Téléchargez AD-Remover sur le bureau
image

Déconnectez-vous et fermez toutes les applications en cours
Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .
Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel
Cliquez sur "OUI"
Double cliquer sur l'icône Ad-remover sur le bureau
image
Au menu principal choisir l'optionScanner et Validez

Patientez pendant le travail de l'outil.
Poster le rapport qui apparait à la fin .
Il est sauvegardé aussi sous C:\Ad-report.log

Ensuite

Relancer Ad- remover , choisir l'option Nettoyer

Il y aura 2 rapports à poster après :Scanner et Nettoyer

Pour désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.




Relabcez Mbam et dites si le problème persiste.

bden2
 Posté le 25/03/2011 à 07:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Fichier joint : Ad-Report-SCAN[1].txt

bden2
 Posté le 25/03/2011 à 07:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Fichier joint : Ad-Report-CLEAN[1].txt

bden2
 Posté le 25/03/2011 à 07:35 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

MERCI a vous de m'aider.

pear
 Posté le 25/03/2011 à 09:58 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Il n'y a plus rien de "visible" sur votre machine.

Télécharger GMER
clic sur "Download EXE" et télécharger le fichier sur le bureau.

Désactiver les protection (antivirus, antispyware etc) et fermer tous les programmes ouverts.
Double-clic sur le fichier GMER téléchargé.
- Dans la section de droite de la fenêtre de l'outil, Vérifiez que soient décochées :
Show All
Une fois lancé, clic droit sur le fond blanc et clic sur "Only Non MS files"
Clic en bas à droite sur le bouton "Scan" pour lancer le scan.

image

Lorsque le scan est terminé, clic sur "Copy"

Il peut arriver que GMER plante sans raison apparente.
Vous pouvez essayer ceci : décocher "Devices" dans un premier temps et repasser l'outil ;
si ça coince toujours, décocher en plus "Files" et ré-essayez un scan.

Lorsque les informations sur le scan s'affichent , les éléments détectés comme rootkit apparaissent en rouge dans chaque section.
Comme on ne verra pas la couleur, indiquez les dans votre message


Ouvrez le bloc-note et clic sur le Menu Edition / Coller
Le rapport doit alors apparaître.
Enregistrer le fichier sur le bureau et copier/coller le contenu.

bden2
 Posté le 25/03/2011 à 20:11 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Fichier joint : gm.txt

bden2
 Posté le 25/03/2011 à 20:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

merci.

il n'avait rien en rouge.

Dois je conclure que mon pc est clean ?

merci de votre aide.

pear
 Posté le 25/03/2011 à 21:55 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Ce n'est pas si sûr.

Pour le moment , on cherche:

Télécharger load_tdsskiller de Loup Blanc sur le Bureau
Cet outil est conçu pour automatiser différentes tâches proposées par TDSSKiller, un fix de Kaspersky.

  • Lancer load_tdsskiller en double-cliquant dessus :
    l'outil va se connecter au Net pour télécharger une copie à jour de TDSSKiller et lancer le scan
  • Un message dans la fenêtre noire d'invite de commande vous demandera d'appuyer sur une touche pour continuer
  • Le rapport s'affichera automatiquement : copier-coller son contenu dans la prochaine réponse
    (le fichier est également présent ici : C:\tdsskiller\report.txt)
  • Redémarrer le PC

bden2
 Posté le 26/03/2011 à 16:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

bden2
 Posté le 26/03/2011 à 16:27 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

merci de votre aide {#} mais puis savoir s'il faut brancher mon disque dur externe lors des traitements ?

pear
 Posté le 28/03/2011 à 09:45 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

mais puis savoir s'il faut brancher mon disque dur externe lors des traitements

Maintenant, oui.

Combofix est un logiciel très puissant qui ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version téléchargée sera obsolète dans quelques jours.

Télécharger combofix.exe de sUBs
et sauvegardez le sur le bureau


La console de Récupération
Tout d'abord, Combofix vérifie si la Console de récupération est installée et vous propose de le faire dans le cas contraire.
Certaines infections comme braviax empêcheront son installation.
La Console de récupération Windows vous permettra de démarrer dans un mode spécial de récupération (réparation).
Elle peut être nécessaire si votre ordinateur rencontre un problème après une tentative de nettoyage
C'est une procédure simple, qui ne vous prendra que peu de temps et pourra peut-être un jour vous sauver la mise.

Certaines infections (Rootkit en Mbr)ne peuvent être traitées qu'en utilisant la Console de Récupération,
D'importantes procédures que Combofix est susceptible de lancer ne fonctionneront qu'à la condition que la console de récupération(Sous Xp) soit installée
C'est pourquoi il vous est vivement conseillé d' installer d'abord la Console de Récupération sur le pc .

Les utilisateurs de Windows Vista,Seven peuvent utiliser leur CD Windows pour démarrer en mode Vista Recovery Environment (Environnement de réparation Vista)
Cela permettra de réparer le système au cas ou le pc ne redémarrerait plus suite à la désinfection.
Après avoir cliqué sur le lien correspondant à votre version de Windows, vous serez dirigé sur une page:
cliquez sur le bouton Télécharger afin de récupérer le package d'installation sur leBureau:
Ne modifiez pas le nom du fichier
Windows XP Service Pack 2 (SP2) > Microsoft Windows XP Professionnel SP2
Faites un glisser/déposer de ce fichier sur le fichier ComboFix.exe
image

Suivre les indications à l'écran pour lancer ComboFix et lorsqu'on le demande, accepter le Contrat de Licence d'Utilisateur Final pour installer la Console de Récupération Microsoft.
Après installation,vous devriez voir ce message:
The Recovery Console was successfully installed. puis un rapport nommé CF_RC.txt va s'afficher:


Fermez ou désactivez tous les programmes Antivirus, Antispyware, Pare-feu actifs car ils pourraient perturber le fonctionnement de cet outil
Pour cela:
Démarrer->Exécuter->Msconfig->Démarrage : décochez les protections Antivirus, Antispyware,Teatimer

Cela est absolument nécessaire au succès de la procédure.
Bien évidemment, vous les rétablirez ensuite.


Vous avez téléchargé Combofix.
Double cliquer sur combofix.exe pour le lancer.
Ne pas fermer la fenêtre qui vient de s'ouvrir , le bureau serait vide et cela pourrait entraîner un plantage du programme!
Pour lancer le scan
Connecter tous les disques amovibles (disque dur externe, clé USB…).
Taper sur la touche 1 pour démarrer le scan.
Si pour une raison quelconque, combofix ne se lançait pas,
Sous Vista, désactivez l'UAC
Démarrez en mode sans échec, choisissez le compte Administrateur, lancez Combofix

Si vous avez un message de Combofix disant que votre antivirus est actif alors que vous l'avez désactivé, recommencez la procédure en mode sans échec
Lorsque ComboFix tourne, ne touchez plus du tout à votre ordinateur, vous risqueriez de planter le programme.

Le scan pourrait prendre un certain temps, il y a 50 procédures successives:
Patientez au moins 30 minutes pendant l'analyse.
Si le programme gèle (+ de 30 minutes), fermez le en cliquant le "X" au haut à droite de la fenêtre.
A la fin,,un rapport sera généré : postez en le contenu dans un prochain message.
Si le rapport est trop long, postez le en deux fois.
Il se trouve à c:\combofix.txt





bden2
 Posté le 28/03/2011 à 14:16 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Fichier joint : combo forum.txt

bden2
 Posté le 28/03/2011 à 14:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

merci de ne pas m'avoir oublié {#}

par contre ouie ouie impossible d'ouvrir mes applications.

j'ai un message : Tentative d'opération non autorisée sur une clé du Registre marquée pour supression

* alors que j'arrive a tout faire fonctionner en passant par sandboxie.

en plus je viens de voir que mon dd externe figure toujours dans l'explorateur alors qu'il est débranché

ps : ok apres 4 redémarages tout est rentré en ordre .



Modifié par bden2 le 28/03/2011 15:02
pear
 Posté le 28/03/2011 à 15:19 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

apres 4 redémarages tout est rentré en ordre .

Vous voulez dire qu'il n'y a plus de problème ?

On n'a rien fait de significatif ?????

Combofix est très puissant et ne doit pas être utilisé sans une aide compétente sous peine de risquer des dommages irréversibles.
Veuillez noter que ce logiciel est régulièrement mis à jour et que la version que vous avez chargée sera obsolète dans quelques jours.
Pour supprimer Combofix:
Démarrer > Exécuter ->
Copier/coller:
"%userprofile%\Bureau\ComboFix.exe" /uninstall

Supprimez C:\qoobox si vous le trouvez



Modifié par pear le 28/03/2011 15:20
bden2
 Posté le 29/03/2011 à 07:33 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Bonjour et merci.

Ce que j'ai voulu dire c'est qu'apres combo j'ai eu un ecran noir au demarrage de windows et ensuite il ne trouvait l'emplacement d'aucune application.

j'ai du redé plusieurs foius afin que ce probleme soit réglé.

Concernant le virus c'est a vous de me dire avec tous les rapports que vouq avez eu si vous dénotez toujours une trace ou une présence.

De mon coté utilisateur je constate des changements de résolution sans explication .

**Pour la desinstallation de combo j'ai ce message : fait référence a un emplacement non disponible (pourtant je ne l'ai pas desinstaller)



Modifié par bden2 le 29/03/2011 07:42
pear
 Posté le 29/03/2011 à 10:54 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

**Pour la desinstallation de combo j'ai ce message : fait référence a un emplacement non disponible (pourtant je ne l'ai pas desinstaller)

Il n'est pas sur le bureau ?

Où est-il ?

Sous Vista, désactivez l'UAC
Télécharger Kaspersky Virus Removal Tool(VRT)
Le fichier fait + de 70M°, soyez patient.

Très simple à utiliser,Kaspersky Virus Removal Tool n'est pas un antivirus ou un outil de surveillance,
Il n'y a pas non plus de mise-à-jour automatique, il vous faudra donc télécharger la nouvelle version, qui est quotidiennement mise à jour, et l'installer à chaque fois que vous désirez l'utiliser.
Cliquer sur le fichier téléchargé pour installer VRT.
Poste de Travail->Propriétés->Restauration Système.
Cocher la case "Désactiver la Restauration sur tous les lecteurs".
Vous la décocherez par la suite et Redémarrerez après la procédure VRT.
Un nouveau point de restauration sera créé au redémarrage.

A On threat détection (si un malware est détecté)
Choisissez, en bas Disinfect,delete if cannot disinfected
Sélectionner les fichiers ou répertoires à analyser (disque dur, périphériques ou documents spécifiques) puis de lancer le processus Start Scan.

A la fin du scan:
Cliquer sur"Report" pour voir et enregistrer le rapport à poster.

Ensuite taper sur Exit pour désinstaller l'outil



Modifié par pear le 29/03/2011 10:57
bden2
 Posté le 02/04/2011 à 09:43 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

bonjour et toujours un Merci pour votre aide.

Concernant combofix il est bien sur le bureau mais rien n'y fait j'ai le meme message.

Comment virer (si on n'a plus besoin) :ZHPdiag / AD-R / COMBO

ps : le rapport VRT est en bas.



Modifié par bden2 le 02/04/2011 09:45
bden2
 Posté le 02/04/2011 à 09:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page

Fichier joint : rapport kas.txt

pear
 Posté le 03/04/2011 à 14:09 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Comment virer (si on n'a plus besoin) :ZHPdiag / AD-R / COMBO

Suppression ZHPDiag
cliquer sur le fichier unins000.exe
- XP C:\Program Files\ZHPDiag\unins000.exe
- Vista/7 32 bit C\Programmes\ZHPDiag\unins000.exe
- Vista/7 64 bis C:\Program Files (x86)\ZHPDiag\unins000.exe

Pour désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.

Pour supprimer Combofix:
Démarrer > Exécuter ->
Copier/coller:[color=#008000]
"%userprofile%\Bureau\ComboFix.exe" /uninstall

Sinon, remplacer bureau par desktop

Rien de spécial dans votre dernier rapport.

Si voussouhaitez poursuivre:

Télécharger OTL sur le bureau
Double cliquer sur l'icône
image

image

Vérifiez que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
Cochez]----------------->Tous les utilisateurs (scan all users)
Sous Rapport (output)
Cliquez ----------------------------->Rapport Standard (Standard Output)
Sous Régistre Standard(Standard Registry) cocher Tous(All)
Cochez------------------------------> Lop check et Purity check

Dans Pesonnalisation (Custom Scans Fixes) copier_coller le contenu ci dessous:

netsvcs
drivers32
SAVEMBR:0
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%appdata% *.exe /s
/md5start
userinit.exe
wininit.exe
explorer.exe
csrss.exe
alg.exe
fxssvc.exe
lsass.exe
locator.exe
msdtc.exe
spoolsv.exe
snmptrap.exe
sppsvc.exe
UI0Detect.exe
vds.exe
vssvc.exe
WatAdminSvc.exe
wbengine.exe
WmiApSrv.exe
wmpnetwk.exe
ndis.sys
tcpip.sys
winlogon.exe
iesetup.dll
inseng.dll
mshtml.dll
pngfilt.dll
webcheck.dll
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
cdrom.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\*. /mp /s
CREATERESTOREPOINT


Clic sur Analyse
une fois le scan terminé , les fichiers OTL.txt et Extras.txt vont s'ouvrir

Comment poster les rapports

Pour cela,Cliquer sur image Insérer un rapport,en bas de page,à gauche et cliquer sur Parcourir pour trouver les rapports sur votre bureau



Modifié par pear le 03/04/2011 14:16
Publicité
Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
199,00 €Ecran PC 24.5 pouces BenQ EX2510S (FHD, IPS, FreeSync,165Hz, 2xHP, réglable en hauteur) à 199 €
Valable jusqu'au 24 Mai

Amazon fait une belle promotion sur l'écran PC BenQ MOBIUZ EX2510S qui passe 199,99 € livré gratuitement alors qu'on le trouve ailleurs à partir de 249 €. Il possède une dalle de 24.5 pouces Full HD IPS et offre une fréquence de rafraichissement de 165 Hz et un temps de réponse de 1 ms. Il intègre 2 HP (2.5W) et une connectivité HDMI et DP. Il est réglable en hauteur.


> Voir l'offre
137,18 €Mini PC stick (Atom x5, 8 Go RAM, 128 Go, Windows 10 Pro) à 137,18 €
Valable jusqu'au 25 Mai

Amazon fait une promotion sur le mini PC stick Snunmu qui passe à 137,18 €. Ce mini PC se présent sous la forme d'un stick à brancher directement sur le port HDMI d'un écran ou d'une TV. Il intègre un processeur Intel Atom x5-Z8350 (4 coeurs) avec chip graphique Intel HD Graphics 400, 8 Go de RAM, 128 Go d'espace de stockage, le WiFi, le Bluetooth, 1 port USB 2.0, 1 port USB 3.0, un port HDMI et Windows 10 Pro. Une bonne affaire pour un PC discret et silencieux adapté à la bureautique, Internet et à la lecture de vidéos HD.


> Voir l'offre
779,99 €Carte Graphique MSI Geforce RTX 3070TI Ventus 3X 8G LHR à 779,99 €
Valable jusqu'au 24 Mai

La baisse des cartes graphiques se poursuit doucement avec une bonne affaire chez Grosbill qui propose la MSI Geforce RTX 3070TI Ventus 3X 8G LHR à 779,99 € avec le code NVIDIA40 alors qu'on la trouve ailleurs à partir de 879,95 €.


> Voir l'offre

Sujets relatifs
connexion impossible à Hotmail
scanner sous connexion ou hors connexion?
Nettoyer un PC zombie
probleme connexion disque dur externe
Plus de connexion Firefox ou IE après passage Adwcleaner
Détournement adresse IP
connexion internet mais impossible d'ouvrir une page web
Démarrages et arrêts lents, connexion internet lente, logiciels lents
Connexion impossible avec I.E et Firefox ?..
Détournement de DNS??
Plus de sujets relatifs à détournement de connexion et pc zombie ?
 > Tous les forums > Forum Sécurité