> Tous les forums > Forum Sécurité
 Malware éradiqué ou non ?
Ajouter un message à la discussion
Page : [1] 
Page 1 sur 1
Fibronuevo
  Posté le 15/06/2011 @ 15:15 
Aller en bas de la page 
Nouvel astucien

Bonjour à toute l'équipe d'Assistance Technique,

Mon problème, une infection par un troyen du type "TR/FakeSysdef.A.1270" , j'ai essayé de le résoudre en "autodidacte " ; j'ai procédé à un balayage avec 'Malwarebytes'. A la fin du scan, un rapport a été généré. J'ai suivi les recommandations du bilan, et ai indiqué que je voulais supprimer les menaces.

Ma question est double : Ayant suivi les indications du rapport de l'antispyware, mon ordi est-il libéré du cheval de Troie ? Sinon, voudriez-vous, pour ces prochains jours, me guider (en plus de ma lecture, sur votre site, de cas similaires) pour une désinfection complète ?

Je vous remercie beaucoup de votre aide, et vous félicite pour le grand dévouement qui est vôtre.

Publicité
pear
 Posté le 15/06/2011 à 15:39 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Pour répondre à votre double question:

Lancez cet outil de diagnostic:

Téléchargez ZhpDiag de Coolman
Décompresser le fichier ZHPDiag.fix sur le bureau
puis double-cliquer sur le fichier ZHPDiag.exe pour installer l'outil
Sur le bureau ,il y aura 3 icônesimage
Sous XP, double clic sur ZhpDiag
Sous Vista/7, faire un clic droit et Exécuter en tant qu'administrateur
image
Clic sur la Loupe pour lancer le scan
En cas de blocage sur O80, cliquez sur le tournevis pour le décocher
Postez le rapport ZhpDiag.txt qui apparait sur le bureau

Pour cela,Cliquer sur image Insérer un rapport,en bas de page,à gauche et cliquer sur Parcourir pour trouver le rapport sur votre bureau

Fibronuevo
 Posté le 16/06/2011 à 14:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : ZHPDiag.txt

pear
 Posté le 16/06/2011 à 15:23 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Il y a infection.

Téléchargez AD-Remover sur le bureau
image

Déconnectez-vous et fermez toutes les applications en cours
Cliquer sur "Ad-R.exe" pour lancer l'installation et laisser les paramètres par défaut .
Une fenêtre s'affichera Vous prévenant des risques de l'utilisation de ce logiciel
Cliquez sur "OUI"
Double cliquer sur l'icône Ad-remover sur le bureau
image
Au menu principal choisir l'optionScanner et Validez

Patientez pendant le travail de l'outil.
Poster le rapport qui apparait à la fin .
Il est sauvegardé aussi sous C:\Ad-report.log

Ensuite

Relancer Ad- remover , choisir l'option Nettoyer

Il y aura 2 rapports à poster après :Scanner et Nettoyer

Pour désinstaller AD-Remover, lancez avec l'option D puis supprimer l'icône du bureau.

Télécharger Rogue Killer par Tigzy sur le bureau
Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
Si le prgramme bloque, cliquez droit sur le lien ci-dessus->Enregistrer sous..
Dans la fenêtre qui s'ouvre renommez Roguekiller ->Winlogon.exe

Quittez tous tes programmes en cours et lancez le
image
Quand on vous le demande, tapez 1 et valider
Nettoyage du registre Passer en Mode 2
Si votre fichier HOSTS est corrompu (Section HOSTS du rapport), relancer RogueKiller en mode 3 pour en restaurer une copie saine
Pour supprimer un proxy Passer en Mode 4
Pour corriger les Dns Passer en Mode 5
Si vos raccourcis et dossiers du bureau/menu démarrer/etc ont diparu, relancer en Mode 6
Lancez succesivement toutes les options
Un rapport (RKreport.txt) apparaitra sur le bureau

En Copier/Coller le contenu dans la réponse

Désinstallez Mbam, s'il est installé
Téléchargez MBAM

Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Vous devez désactiver vos protections et ne savez pas comment faire
->Sur PCA,En Français
* Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update et Launch soient cochées
MBAM démarrera automatiquement et enverra un message demandant à mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
* Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:
image
Si le pare-feu demande l'autorisation à MBAM de se connecter, acceptez.
* Une fois la mise à jour terminée, allez dans l'onglet Recherche.
* Sélectionnez "Exécuter un examen complet"
* Cliquez sur "Rechercher"
* .L' analyse prendra un certain temps, soyez patient !
* A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra

Nettoyage
Relancez Mbam(Malewares'Bytes)
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.
Copiez-collez ce rapport dans la prochaine réponse.




Télécharger TDSSKILLER
- Télécharger le .zip sur le Bureau.
- Extraire son contenu (clic droit >> "Extraire tout...") et valider ;
- Un dossier tdsskiller sera créé sur le Bureau.
image
Cliquer surStart scan pour lancer l'analyse.
Lorsque l'outil a terminé son travail d'inspection
,image ("Malicious objects")
si des fichiers infectés sont détectés,l'action par défaut est"Nettoyer"(Cure) .
Cliquer sur"Continue"


image
Si c'est un fichier suspect, l'action par défaut est Skip( sauter)
Cliquer sur"Continue"
image
S'il vous est demandé de redémarrer:
Cliquer Reboot Now
Sinon cliquer sur Report
Envoyer en réponse:
*- le rapport de TDSSKiller (contenu du fichier SystemDrive\TDSSKiller.Version_Date_Heure_log.txt)
[SystemDrive représente la partition sur laquelle est installé le système, généralement C:]

Fibronuevo
 Posté le 17/06/2011 à 14:12 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : Ad-Report-SCAN[1].txt

Fibronuevo
 Posté le 17/06/2011 à 14:14 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : Ad-Report-CLEAN[1].txt

Fibronuevo
 Posté le 17/06/2011 à 14:30 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : RKreport[6].txt

Fibronuevo
 Posté le 18/06/2011 à 14:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Fibronuevo
 Posté le 18/06/2011 à 14:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Publicité
Fibronuevo
 Posté le 18/06/2011 à 14:31 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Je tiens à vous remercier très vivement. Je ne sais pas si la situation est nomalisée. Je pense pouvoir potasser pour nettoyer registre, supprimer entrées invalides. Très bon week-end à vous équipe de choc de l'assistance technique {#}

pear
 Posté le 18/06/2011 à 14:34 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Ok.

Cela a va-t-il mieux ?

Postez un nouveau rapport de scan Zhpdiag, svp.

Fibronuevo
 Posté le 18/06/2011 à 14:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Fichier joint : ZHPDiag.txt

pear
 Posté le 18/06/2011 à 15:21 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Java n'est pas à jour,donc moins sécurisé.

Rendez vous là:
Java Downloads for All Operating Systems

Cliquer Remove older Versions
Puis sur
Windows 7/XP Online

Désinstallez Ad-Aware, il ne vaut plus rien.

Vous le remplacerez avantageusement par Maleware's bytes(Mbam)

Téléchargez MBAM
ICI
ou LA
Avant de lancer Mbam
Vous devez d'abord désactiver vos protections mais vous ne savez pas comment faire
Cliquer ici
Branchez tous les supports amovibles avant de faire ce scan (clé usb/disque dur externe etc)
Exécuter avec droits d'administrateur.
Sous Vista , désactiver l'Uac

Double cliquez sur l'icône Download_mbam-setup.exe pour lancer le processus d'installation.
Enregistrez le sur le bureau .
Fermer toutes les fenêtres et programmes
Suivez les indications (en particulier le choix de la langue et l'autorisation d'accession à Internet)
N'apportez aucune modification aux réglages par défaut et, en fin d'installation,
Vérifiez que les options Update et Launch soient cochées
MBAM démarrera automatiquement et enverra un message demandant de mettre à jour le programme avant de lancer une analyse.
cliquer sur OK pour fermer la boîte de dialogue..
Dans l'onglet "mise à jour", cliquez sur le bouton Recherche de mise à jour:
image
Si le pare-feu demande l'autorisation de connecter MBAM, acceptez.
Une fois la mise à jour terminée, allez dans l'onglet Recherche.
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
.L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Et un fichier Mbam.log apparaitra



Nettoyage
Relancez Mbam(Malewares'Bytes)
Sélectionnez "Exécuter un examen complet"
Cliquez sur "Rechercher"
L' analyse prendra un certain temps, soyez patient !
A la fin , un message affichera :
L'examen s'est terminé normalement.
Sélectionnez tout et cliquez sur Supprimer la sélection ,
MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
puis ouvrir le Bloc-notes et y copier le rapport d'analyse qui peut être retrouvé sous l'onglet Rapports/logs.



Spybot, totalement obsolète va être désinstallé.Vous pourrez utiliser Mbam pour le remplacer.
Auparavant, vous devez faire ceci, avant de lancer Zhpfix:

Pour désactiver TeaTimer qui ne sert à rien et peut faire échouer une désinfection:!
Sous Vista, exécuter avec privilèges Administrateur
Afficher d'abord le Mode Avancé dans SpyBot
->Options Avancées :
- >menu Mode, Mode Avancé.
Une colonne de menus apparaît dans la partie gauche :
- >cliquer sur Outils,
- >cliquer sur Résident,
Dans Résident :
- >décocher Résident "TeaTimer" pour le désactiver.
Effacer le contenu du dossier Snapshots(le contenu de snapshots, pas le fichier snapshots) , sous XP :
C:\Documents and Settings\All Users\Application Data\Spybot - Search &Destroy\Snapshots
Et sous Vista :
C:\ProgramData\Spybot - Search & Destroy\Snapshots



Sélectionner(Ctrl A et Ctrl C) toutes les lignes en vert ci dessous(et seulement elles)


[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]
[HKLM\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\ViewpointMediaPlayer]
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]
[HKCU\Software\Ask&Record]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{1392B8D2-5C05-419F-A8F6-B9F15A596612}]
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{1392B8D2-5C05-419F-A8F6-B9F15A596612}]
[HKCU\Software\Ask&Record]
[HKLM\Software\Boonty]
M2 - MFEP: prefs.js [José Henriques - vn4pz96m.default\{0b38152b-1b20-484d-a11f-5e04a9b0661f}] [] Winamp Toolbar v5.6.12.1 (.AOL LLC.)
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} . (...) (No version) -- (.not file.)
P1 - OPN:Opera Plugin Navigator . (.Pas de propriétaire - MetaStream 3 Plugin r4.) -- C:\Program Files\Opera\Program\Plugins\NPMetaStream3.dll
O23 - Service: (MysqlInventime) - Clé orpheline
O42 - Logiciel: IconPackager - (.Pas de propriétaire.) [HKLM] -- IconPackager
O43 - CFD: 28/05/2006 - 19:58:28 - [9420] ----D- C:\Program Files\BoontyGames
O43 - CFD: 27/01/2011 - 11:52:26 - [5056202] ----D- C:\Program Files\Spybot - Search & Destroy
O47 - AAKE:Key Export SP - "C:\Program Files\Cobian Backup 7\CobBU.exe" [Enabled] .(...) -- C:\Program Files\Cobian Backup 7\CobBU.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Mercora\MercoraClient.exe" [Enabled] .(...) -- C:\Program Files\Mercora\MercoraClient.exe (.not file.)
O47 - AAKE:Key Export SP - "C:\Program Files\Bonjour\mDNSResponder.exe" [Enabled] .(.Apple Inc. - Bonjour Service.) -- C:\Program Files\Bonjour\mDNSResponder.exe
O64 - Services: CurCS - 07/10/2010 - C:\Program Files\Bonjour\mDNSResponder.exe - Service Bonjour(Bonjour Service) .(.Apple Inc. - Bonjour Service.) - LEGACY_BONJOUR_SERVICE
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe


Cliquer sur l'icône Zhpfix qui est sur votre bureau
Sous Vista/7 clic-droit, "Exécuter En tant qu'Administrateur
image

Collez (Ctrl V) les lignes vertes dans le cadre Cliquez ensuite sur le H- image
Cliquer sur "OK", ce qui fait apparaître un carré à gauche de chaque ligne.
image
Cliquer sur "Tous" puis sur "Nettoyer" 2.
Acceptez de Redémarrer pour achever le nettoyage.
Un rapport apparait:
image
Si le rapport n'apparait pas,cliquer surimage
Copier-coller le rapport de suppression dans la prochaine réponse.



Fibronuevo
 Posté le 20/06/2011 à 08:24 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
Bonjour et puissiez-vous passer un bon lundi. J'ai cliqué droit sur l'icône 'Load-mbam' afin d' "éxécuter en mode admin" , le logiciel ne s'ouvre pas. De plus, je crois avoir oublié le mot de passe. Oh la la, calamitas-calamitatis ! !
pear
 Posté le 20/06/2011 à 11:25 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Bonjour,

Vous avez aussi oublié de poster le rapport Zhpfix

Mbam ne demande pas de mot de passe.

Si vous ne parvenez pas à l'installer:

Désinstaller Malwarebytes 'Anti-Malware par Ajout / Suppression de programmes dans le panneau de contrôle.
Redémarrez votre ordinateur (très important).
Téléchargez et exécutez mbam-clean.exe
Redémarrer votre ordinateur
Réinstallez Mbam et allez à l'onglet Mise à jour
Redémarrez l'ordinateur et lancez le scan

Fibronuevo
 Posté le 21/06/2011 à 14:47 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien
pear
 Posté le 22/06/2011 à 09:44 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Vous avez aussi oublié de poster le rapport Zhpfix

Si vous estimez votre problème résolu Cochez la case pour l'indiquer.image,
à gauche, en bas de la page ou dans la barre de titre de votre sujet, pour que ceux qui la recherchent y trouvent une solution.

Publicité
Fibronuevo
 Posté le 22/06/2011 à 12:17 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
Nouvel astucien

Bonjour, j'espère que vous allez bien. Merci pour vos tutoriels, je n'ai pu poster de rapport ZHP fix car n'ayant pas réussi à localiser dans l'arborescence du disque C, la fraction C:\Documents and Settings\All Users\ Application Data \Spybot- Searh and Destroy\ Snapshots ... je ne peux donc, d'après vos recommandations, scanner avec ZHP fix.. Je devrais peut-être créer un autre topic pour demander de l'aide dur la localisation et suppression des fichiers spybot...

pear
 Posté le 22/06/2011 à 12:29 
Aller en bas de la page Revenir au message précédent Revenir en haut de la page
  Astucien

Mais si, vous pouvez lancer Zhpfix :abandonnez la recherche de Spybot.

Page : [1] 
Page 1 sur 1

Vous devez être connecté pour participer à la discussion.
Cliquez ici pour vous identifier.

Vous n'avez pas de compte ? Créez-en un gratuitement !
Recevoir PC Astuces par e-mail


La Lettre quotidienne +226 000 inscrits
Avec l'actu, des logiciels, des applis, des astuces, des bons plans, ...

Les bonnes affaires
Une fois par semaine, un récap des meilleurs offres.

Les fonds d'écran
De jolies photos pour personnaliser votre bureau. Une fois par semaine.

Les nouveaux Bons Plans
Des notifications pour ne pas rater les bons plans publiés sur le site.

Les bons plans du moment PC Astuces

Tous les Bons Plans
59,99 €Casque de jeu SteelSeries Arctis 3 à 59,99 €
Valable jusqu'au 27 Septembre

Amazon fait une promotion sur le très bon casque de jeu SteelSeries Arctis 3 qui passe à 59,99 € au lieu de 80 €. Il a été conçu pour jouer partout avec un son, un confort et un style de qualité supérieure sur toutes les consoles de jeu, dont PlayStation 4, Xbox One, Nintendo Switch et appareils mobiles. Vous pouvez aussi le brancher sur PC via les ports jack audio et micro.

Il comporte un micro que vous certifié Discord vous donne une clarté de voix de qualité studio et élimine les bruits de fond en jeu. Il est amovible.


> Voir l'offre
226,27 €SSD Interne M.2 NVMe Samsung 970 Evo Plus 2 To à 226,27 € livré
Valable jusqu'au 27 Septembre

Amazon Allemagne fait une promotion sur le SSD Interne M.2 NVMe Samsung 970 Evo Plus 2 To qui passe à 221,75 €. Comptez 4,52 € pour la livraison en France soit un total de 226,27 € livré. On le trouve ailleurs autour de 300 €. Ce SSD offre des taux de transfert de 3400 Mo /s en lecture et 2300 Mo/s en écriture. 

Vous pouvez utiliser votre compte Amazon France sur Amazon Allemagne et il n'y a pas de douane.


> Voir l'offre
14,90 €Windows 10 Pro 32/64 bits OEM à 14,90 €
Valable jusqu'au 27 Septembre

Le vendeur sérieux LicenSE-ONLine propose sur Amazon la clé d'activation pour Windows 10 professionnel en français 32 bits / 64 bits à 14,90 €. Cette clé livrée par email fonctionne avec l'outil d'installation et de création de support de Microsoft que vous pouvez télécharger ici ou directement avec l'ISO de Windows 10 Pro. De quoi installer légalement Windows 10 Pro sur un PC. Pour en savoir plus sur l'achat et l'installation d'une clé OEM de Windows 10, suivez les indications de notre dossier pratique.


> Voir l'offre

Sujets relatifs
Nouveauté : Emsisoft Emergency Kit 10 : Anti-Malware gratuit.....
comment supprimer un malware coriace
Supprimer le malware Uroboros
Ordinateur lent sans virus/malware apparent
lenteur; maj windows 7; malware
cryptoprevent malware prevention
Mumblehard : un malware Linux sous les radars pendant cinq ans
le malware qui détruit votre ordinateur
Malwarebytes Anti-Malware : j'ai arrêté après..2 jours..
mise a jour Malwarebytes Anti-Malware
Plus de sujets relatifs à Malware éradiqué ou non ?
 > Tous les forums > Forum Sécurité