Se connecter / S'enregistrer
Votre question

demande aide pour rapport Combofix Résolu

Tags :
  • Virus
  • Tutoriel
  • Scan
  • Sécurité
Dernière réponse : dans Sécurité et virus
26 Juillet 2012 08:35:12

Bonjour,
Je sollicite votre aide pour savoir quoi faire après avoir obtenu un rapport suivant le scan de Combofix.
L'ordinateur de mes enfants était bloqué (virus gendarmerie nationale ukash) ils me l'ont remis afin que je tente de le nettoyer.
En suivant les explications des forums j'ai pu démarrer et, peut-être, enlever ce virus.
Un ami m'a conseillé de télécharger Combofix, ce que j'ai fait. En suivant le tutoriel j'ai obtenu le rapport, mais je ne sais quoi faire maintenant. Pouvez-vous me conseiller ?
Merci beaucoup pour votre aide.

Autres pages sur : demande aide rapport combofix resolu

a c 614 8 Sécurité
26 Juillet 2012 10:23:28

Bonjour,

Il aurait été plus facile pour nous de t'aider dès le début ...

Citation :
En suivant les explications des forums j'ai pu démarrer et, peut-être, enlever ce virus.


Qu'as-tu fait exactement ?

Poste le rapport Combofix aussi.
  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici

    26 Juillet 2012 11:41:57

    merci ! je n'ai pas pensé que je m'attaquais à un parcours si compliqué, et j'ai consulté votre forum un peu tard, c'est vrai.

    Voici ce que j'ai fait : une restauration (XP SP3) en revenant un mois en arrière, je crois me rappeler que j'ai suivi la procédure, du forum "malekal".

    Il y avait une alerte sur la sécurité (pas d'antivirus). Je me suis rendu compte qu'il y avait pourtant un antivirus installé "Microsoft Essential Security" il n'était pas à jour et je ne suis pas arrivée à le relancer. Je l'ai désinstallé et j'ai installé mon antivirus Avast Internet Security. J'ai demandé un scan au démarrage. Il y avait de nombreuses infections (qualifiées de "haute" par Avast). J'ai supprimé.

    J'ai fait d'autres manip assez désordonnées, dont je ne me souviens plus.

    Les parents souhaitaient que je formate ce PC mais mes petits-enfants avaient des photos et autres textes sur leur session. Je les ai récupérés.

    Le PC est beaucoup moins lent qu'il était. Peut-être pourrais-je éviter le formatage ?

    Voici le lien pour le rapport de combofix
    http://pjjoint.malekal.com/files.php?id=20120726_h15x5z...

    un grand merci !

    Contenus similaires
    a c 614 8 Sécurité
    26 Juillet 2012 14:29:42

    Re,

    Ok, quelques restes de l'infection, et effectivement maintenant tu te retrouves avec deux antivirus ... y'a des restes de Microsoft Security Essentials

    Lance cet utilitaire pour supprimer les restes de cet antivirus :
    http://go.microsoft.com/?linkid=9748340


    Ensuite :

  • Ouvre un fichier Bloc-note vierge (Démarrer -> Tous les programmes -> accessoire -> Bloc-note)
  • Copie-colle EXACTEMENT ceci dedans :


    Folder::
    c:\documents and settings\All Users\Application Data\ivaecfsezlfokkw


  • Clique ensuite sur "Fichier" -> "Enregistrer sous..."
  • Choisi ton bureau comme destination et nomme le fichier "CFScript"
  • Clique sur le bouton "Enregistrer"
  • Ferme le Bloc-note.

  • Fait maintenant glisser le fichier sur ton bureau sur l'icone de Combofix comme ceci (maintenir le clic-gauche de la souris et faire glisser)



  • Combofix va se relancer, suis les instructions.
  • Ne touche à rien pendant le temps du scan !!!
  • Lorsque l'analyse est terminée, un rapport apparaitra, copie-colle son contenu dans ta prochaine réponse.

    Note : s'il n'apparait pas, il se trouve ici C:\Combofix.txt

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\


    Puis :

    Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner0.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
    26 Juillet 2012 18:27:48

    Ok, quelques restes de l'infection, et effectivement maintenant tu te retrouves avec deux antivirus ... y'a des restes de Microsoft Security Essentials
    Lance cet utilitaire pour supprimer les restes de cet antivirus :
    http://go.microsoft.com/?linkid=9748340
    -------------------------------------------------------------------------------

    Je ne peux lancer l'utilitaire, il s'arrête en cours de traitement et une fenêtre s'affiche "Microsoft Fix it 50535" "Windows Installer a rencontré une erreur inattendue lors de l'installation de ce package. Il s'agit peut-être d'un problème lié au package. Le code d'erreur est 2103."

    J'ai essayé plusieurs fois sans succès.

    Est-ce que je peux poursuivre la procédure que tu indiques en passant cette étape ?

    merci pour ta patience



    a c 614 8 Sécurité
    26 Juillet 2012 18:52:55

    Re,

    Oui, tu peux poursuivre le reste, on cherchera autre chose pour supprimer les reste de Microsoft security essentials
    26 Juillet 2012 21:01:44

    J'ai donc suivi ta procédure en espérant ne pas avoir fait d'erreur.

    voici le lien pour le 2e rapport Combofix
    http://pjjoint.malekal.com/files.php?id=20120726_v12m11...

    et celui d'Adware
    http://pjjoint.malekal.com/files.php?id=20120726_m15p12...

    Il y a 4 utilisateurs du PC, 4 sessions. Celle de ma petite-fille (léa) n'apparaît pas dans le rapport.
    Est-ce parce que c'est la seule qui ait un mot de passe ? et sa session risque-t-elle de conserver des virus ?

    avec mes remerciements renouvelés, je vous souhaite une bonne soirée.
    a c 614 8 Sécurité
    26 Juillet 2012 22:15:35

    Re,

    Soit c'est effectivement le cas, soit c'est justement ceci qui l'a protégé de l'infection et des adwares (logiciels publicitaires) que l'on a supprimé aussi.

    Pour m'en assurer j'aimerais analysé sous sa session si possible, donc demande-lui d'ouvrir sa session, puis fait ceci dessus :

    Télécharge OTL (de Old Timer) sur ton bureau.
  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

  • Coche en haut la case devant "Tous les utilisateurs"
  • Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.


    msconfig
    activex
    %SYSTEMDRIVE%\*.exe
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    CREATERESTOREPOINT


  • Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
  • A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.

  • Pour les rapports, merci d'utiliser ce service de rapport en ligne : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
    Une aide à l'utilisation ici


    Note : Les rapports sont aussi enregistrés sur le bureau
    a c 614 8 Sécurité
    27 Juillet 2012 11:21:55

    Re,

    Ok, pas de trace de l'infection, mais effectivement il y a encore des adwares (logiciels publicitaires) sous cette session, on va nettoyer :

    1) Désinstalle les programmes suivant via "ajout/suppression des programmes" (si présents) :

    Note : si tu obtiens une erreur à la désinstallation, passe au suivant et poursuit la procédure

    - Microsoft Security Client FR-FR Language Pack (reste d'antivirus)
    - Ad-Aware (obsolète et inutile, la preuve, tu as des adwares sur le pc ... )
    - AOL Toolbar (barre d'outil, sauf réelle utilité)
    - AOL - Assistant de désinstallation (sauf utilité de ce service AOL, devenu obsolète)
    - Yahoo! Toolbar (barre d'outil, sauf réelle utilité)
    - Google Toolbar for Internet Explorer (idem)
    - Windows Live Toolbar (idem)

    - Viewpoint Media Player (lecteur média à la réputation douteuse)


    Télécharge AdwCleaner (de Xplode) sur ton Bureau.

    /!\ Désactive tes protections résidentes : antivirus, antispyware ... Déconnecte-toi et ferme toutes les applications en cours (notamment ton navigateur)/!\

  • Double-clique sur adwcleaner0.exe pour lancer le programme.
    (Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)

  • Dans la fenêtre principal, choisis l'option Suppression.
  • Valide l'avertissement.
  • Si le pc demande à redémarrer, accepte.
  • Un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
    27 Juillet 2012 19:27:40

    Après plusieurs essais (sous différentes sessions), je n'ai pu mener à bien toutes les opérations :

    1. Microsoft Security Client FR-FR Language Pack (reste d'antivirus) : il ne figure pas dans la liste "Ajout/Suppression des programmes

    2. Ad-Aware (obsolète et inutile, la preuve, tu as des adwares sur le pc ... )
    impossible de le supprimer, j'obtiens la fenêtre suivante "Erreur 1921. Impossible d'arrêter le service Lavasoft Ad-aware (aawservice). Vérifiez que vous disposez des privilèges suffisants pour arrêter les services systèmes."

    3. AOL - Assistant de désinstallation (sauf utilité de ce service AOL, devenu obsolète). Je n'ai pas supprimé, mes enfants utilisent la messagerie d'AOL.

    Voici le rapport Adwcleaner : http://pjjoint.malekal.com/files.php?id=20120727_d5w5i1...


    Sans vouloir accentuer ta charge de travail, je te signale des particularités qui m'intriguent (mais je suis très ignorante) et qui ont peut-être à voir avec des virus.

    Lorsque j'ai tenté, sans succès, de supprimer Ad-aware en mode sans échec, j'ai été surprise de voir s'afficher 5 sessions : les 4 noms des utilisateurs étaient précédés d'une 1re session "Administrateur" que je n'avais pas remarquée jusque-là.

    Chaque session a le nom de son utilisateur. Or dans les listings celle de mon fils est affichée ainsi :
    C:/Documents and settings/Willy.UTILISAT-0DD58D
    des bizarreries sur sa session :

    - les effacements ne vont pas à la corbeille qui demeure vide (à l'affichage) mais ne peut s'ouvrir.

    - le clavier demeure en "qwerty" bien que je le modifie. Les autres sessions ont bien le clavier français.

    - de plus lorsqu'on clique sur Démarrer la colonne de gauche est vide.

    Est-il possible de supprimer cette session est de repartir sur une nouvelle ?

    merci pour tout !



    a c 614 8 Sécurité
    27 Juillet 2012 20:12:44

    Re,

    Ok on désinstallera manuellement les restes des programmes sauf AOL donc.


    Citation :
    les 4 noms des utilisateurs étaient précédés d'une 1re session "Administrateur" que je n'avais pas remarquée jusque-là.


    C'est normal, c'est la session "super administrateur" visible seulement dans les modes de démarrages spéciaux comme le mode sans échec, ne t'en occupe pas ;) 

    Citation :
    Chaque session a le nom de son utilisateur. Or dans les listings celle de mon fils est affichée ainsi :
    C:/Documents and settings/Willy.UTILISAT-0DD58D
    des bizarreries sur sa session :


    En mode sans échec ou même en entrant normalement dans sa session ? (le nom d'utilisateur, c'est normal)


    Pour finir le ménage (à faire sous la session de ta fille) :

    Relance OTL.exe

  • Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.

    /!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\

  • Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.



    :OTL
    PRC - [2009/08/22 11:39:15 | 000,611,664 | ---- | M] (Lavasoft) -- C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe
    SRV - [2009/08/22 11:39:15 | 000,611,664 | ---- | M] (Lavasoft) [Auto | Start_Pending] -- C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe -- (aawservice)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner\trufos.sys -- (Trufos)
    DRV - File not found [Kernel | On_Demand | Stopped] -- C:\Program Files\Fichiers communs\BitDefender\BitDefender Threat Scanner\profos.sys -- (Profos)
    IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.duxet.com/
    IE - HKU\S-1-5-21-1078081533-1417001333-682003330-1004\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://y.lo.st
    IE - HKU\S-1-5-21-1078081533-1417001333-682003330-1004\..\SearchScopes\{b41306c6-96d0-442a-bcc4-b0f621e82ce9}: "URL" = http://www.fissa.com/fr/results/?s=b&c=1006244776&suid=EicyEyexI&d=3&q={searchTerms}
    FF - HKLM\Software\MozillaPlugins\@viewpoint.com/VMP: C:\Program Files\Viewpoint\Viewpoint Experience Technology\npViewpoint.dll ()
    O3 - HKLM\..\Toolbar: (Deenero) - {66886C4D-B307-4ECA-A228-52CA9B9851A4} - C:\Program Files\Deenero\deenero_1,0,2,0.dll (Dailsley Limited)
    O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found.
    O3 - HKU\.DEFAULT\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - No CLSID value found.
    O3 - HKU\S-1-5-18\..\Toolbar\WebBrowser: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - No CLSID value found.
    ActiveX: {03F998B2-0E00-11D3-A498-00104B6EB52E} - Viewpoint Media Player
    ActiveX: {1B00725B-C455-4DE6-BFB6-AD540AD427CD} - Viewpoint Media Player
    [2012/07/27 08:48:03 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Viewpoint
    [2012/07/27 08:47:43 | 000,000,000 | ---D | C] -- C:\Program Files\Viewpoint
    [6 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]
    [1 C:\Documents and Settings\utilisateur\Mes documents\*.tmp files -> C:\Documents and Settings\utilisateur\Mes documents\*.tmp -> ]
    [2008/11/04 08:30:16 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Lavasoft
    [2012/07/24 08:24:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Spybot - Search & Destroy
    [2012/07/27 08:48:03 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\Viewpoint
    [2012/07/24 19:02:44 | 000,000,000 | ---D | M] -- C:\Documents and Settings\utilisateur\Application Data\EoRezo
    [2010/06/24 22:31:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\utilisateur\Application Data\FissaSearch
    [2010/07/08 00:36:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\utilisateur\Application Data\OfferBox

    :Reg
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall]\{DED53B0B-B67C-4244-AE6A-D6FD3C28D1EF}]

    :Files
    C:\Program Files\Lavasoft
    C:\Program Files\Fichiers communs\BitDefender
    C:\Program Files\Deenero

    :Commands
    [emptytemp]



  • Puis clique sur le bouton Correction en haut à gauche
  • Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
  • Poste le rapport de suppression s'il apparait.

    Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure

    /!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
    27 Juillet 2012 20:47:00

    Pour finir le ménage (à faire sous la session de ta fille) :

    Relance OTL.exe

    ....

    excuse-moi de t'importuner avec un détail... il y a la session Christine (ma belle-fille) et Léa (ma petite-fille qui avait un mot de passe) j'ai fait des opérations sur les deux.
    Sur laquelle des deux je dois aller pour finir le ménage ?

    Entre temps j'ai pu supprimer Microsoft Security... avec CCleaner et Ad-aware en arrêtant le service (le message "impossible d'arrêter le service" a fait tilt !)
    a c 614 8 Sécurité
    27 Juillet 2012 22:30:13

    Re,

    Moi je parlait de celui sous lequel tu as fait le rapport OTL, celui qui devait être protégé par mot de passe ;) 

    28 Juillet 2012 08:23:00

    Bonjour,

    C'est stupéfiant ! l'ordinateur est méconnaissable. Il démarre au quart de tour ! quand je pense que découragée, j'étais sur le point de me jeter à l'eau en reformatant...

    Je vous suis très reconnaissante et admirative pour vos compétences, votre disponibilité, votre travail. Les enfants rentrent de vacances aujourd'hui, ils se joignent à moi pour vous adresser tous leurs remerciements.

    Je vous joins le dernier rapport OTL : http://pjjoint.malekal.com/files.php?id=20120728_d11d15...

    Avec toute ma gratitude.
    Yvette


    a c 614 8 Sécurité
    28 Juillet 2012 09:53:02

    Re,

    Je mettrai des conseils en fin de procédure, toutes la famille devra les lire pour éviter de retrouver ses problèmes ;) 

    Pour terminer :

    1) Désinstalle AdwCleaner :

  • Relance-le le programme adwcleaner0.exe situé sur ton Bureau.

  • Dans la fenêtre principal, choisis l'option Désinstallation, et valide avec "Oui"

  • Supprime ensuite le fichier adwcleaner0.exe sur ton bureau.


    2) Relance OTL.exe

  • Clique sur "Purge d'outils"
  • Valide l'avertissement par "ok" et laisse le pc redémarrer.


    3) Purge de la restauration système :

    Elle contient des restes de l'infection, suis ce tuto pour la purger (supprimer tous les points, puis en recréer un nouveau) :

    XP :
    http://www.inforumatique.fr/forum/la-restauration-du-sy...
    (Fin du tuto)


    Désinstalle ce programme, obsolète et comportant des failles de sécurité, vu que tu utilises Foxit reader :
    - Adobe Acrobat 5.0


    4) Télécharge SX Check&Update (de Igor51 ) sur ton bureau.

  • Lance SXCU.exe en double-cliquant dessus.
    (Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")

  • Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
    Vérifie que les anciennes versions ont été supprimée dans ta liste des programmes, sinon fait-le : Java(TM) 6 Update 7

  • Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.


    Ferme le programme via "Quit"
    Tu peux supprimer SXCU.exe.



    Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :

  • Attention lors de l'installation de logiciel :
    Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
    A lire !

  • Firefox et/ou Chrome offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript et WOT par exemple. (pour Chrome : NoScript ; WOT )

  • Surfer sans les droits d'administration : En session limitée ou avec DropMyRight
    Cela diminue considérablement les risques d'infections, car certaines infection ne peuvent alors plus s'installer.

  • Maintenir ses logiciels et son système à jour :
    De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
    Tu peux faire un scan de vulnérabilité pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.

    Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
    A lire !
    Ici aussi !


    Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en bas, en forme de crayon) dans ton tout premier message.
    -> Ajoute ensuite "résolu" à coté de ton titre et valide.

    Tu peux aussi,si tu le souhaites et si l'option est disponible (dépend de quel type de sujet ouvert), valider une "meilleure réponse", ton sujet sera alors automatiquement marqué comme "résolu"

    /!\ Seul les membres inscrit et connecté à la création initiale du sujet peuvent effectuer ces manipulations.

    A bientôt sur les forums Tom's Guide
    :jap: 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS