Votre question

PC vérolé, aide pour désinfecter [résolu]

Tags :
  • Scan
  • Sécurité
Dernière réponse : dans Sécurité et virus
5 Mai 2011 13:21:43

Bonjour à tous,

Ayant récupéré un pc par un ami, lequel n'a pas trop fait attention aux risques de virus pendant les années où il l'a utilisé, j'ai installé dès que je l'ai récupéré Avira Antivir pour remplacer AVG (périmé) et fait immédiatement un scan Malwarebyte's anti-malware. Le premier scan en examen rapide a trouvé de nombreuses occurrences : http://www.cijoint.fr/cjlink.php?file=cj201105/cijw19qy...

Le second scan, complet, réalisé ce matin est plus contrasté : http://www.cijoint.fr/cjlink.php?file=cj201105/cijAKqZA...

J'ai enfin fait un scan Hijackthis : http://www.cijoint.fr/cjlink.php?file=cj201105/cijH6pM5...

Que faire pour désinfecter tout ce bourbier ?

Merci par avance pour votre aide !

Autres pages sur : verole aide desinfecter resolu

6 Mai 2011 09:54:16

Bonjour Destrio5.
Voilà le rapport. Je n'avais pas d'USB à connecter.

############################## | UsbFix 7.044 | [Recherche]

Utilisateur: utlisateur 1 (Administrateur) # NOM-F046AB1FCAD [ ]
Mis à jour le 25/04/2011 par TeamXscript
Lancé à 09:46:51 | 06/05/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com

CPU: Intel(R) Pentium(R) M processor 1.60GHz
Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
Internet Explorer 8.0.6001.18702

Pare-feu Windows: Activé
Antivirus: AntiVir Desktop 10.0.1.58 [Enabled | Updated]
RAM -> 510 Mo
C:\ (%systemdrive%) -> Disque fixe # 28 Go (12 Go libre(s) - 43%) [VAIO] # NTFS
D:\ -> Disque fixe # 21 Go (21 Go libre(s) - 99%) [VAIO] # NTFS
F:\ -> CD-ROM

################## | Éléments infectieux |


Présent! D:\resycled

################## | Registre |

Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{1d445be2-f31e-11de-b22b-0012f01f6538}
Shell\AutoRun\Command = H:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{1d445be3-f31e-11de-b22b-0012f01f6538}
Shell\AutoRun\Command = G:\f662sjd.exe
Shell\open\Command = G:\f662sjd.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{20179d0f-6964-11df-b24a-0012f01f6538}
Shell\AutoRun\Command = G:\f662sjd.exe
Shell\open\Command = G:\f662sjd.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{2a73b7d5-e659-11dd-a8f5-0012f01f6538}
Shell\AutoRun\Command = H:\
Shell\explore\Command = RECYCLED\INFO.exe
Shell\open\Command = RECYCLED\INFO.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{2a73b7e1-e659-11dd-a8f5-0012f01f6538}
Shell\Auto\Command = G:\AdobeR.exe e
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e

HKCU\.\.\.\.\Explorer\MountPoints2\{41ce47f0-b41e-11de-b21c-0012f01f6538}
Shell\AutoRun\Command = G:\cgaqyi.exe
Shell\open\Command = G:\cgaqyi.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{762271a0-17c1-11df-b237-0012f01f6538}
Shell\AutoRun\Command = G:\f9o8o.exe
Shell\open\Command = G:\f9o8o.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{7b4aeb44-0e7a-11de-b1f6-0012f01f6538}
Shell\AutoRun\Command = G:\f9o8o.exe
Shell\open\Command = G:\f9o8o.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{c17834d9-ee61-11de-b22a-0012f01f6538}
Shell\AutoRun\Command = f9o8o.exe
Shell\open\Command = f9o8o.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{e652274a-d988-11dd-a8ef-0012f01f6538}
Shell\AutoRun\Command = G:\f9o8o.exe
Shell\open\Command = G:\f9o8o.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{e652275a-d988-11dd-a8ef-0012f01f6538}
Shell\Auto\Command = AdobeR.exe e
Shell\AutoRun\Command = C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL AdobeR.exe e


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |
Contenus similaires
a c 333 8 Sécurité
6 Mai 2011 11:50:11

  • Relance UsbFix, choisis l'option "Suppression" et poste le rapport.
    6 Mai 2011 12:04:14

    Voilà qui est fait :

    ############################## | UsbFix 7.044 | [Suppression]

    Utilisateur: utlisateur 1 (Administrateur) # NOM-F046AB1FCAD [ ]
    Mis à jour le 25/04/2011 par TeamXscript
    Lancé à 11:58:34 | 06/05/2011
    Site Web: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Intel(R) Pentium(R) M processor 1.60GHz
    Microsoft Windows XP Professionnel (5.1.2600 32-Bit) # Service Pack 3
    Internet Explorer 8.0.6001.18702

    Pare-feu Windows: Activé
    Antivirus: AntiVir Desktop 10.0.1.58 [(!) Disabled | Updated]
    RAM -> 510 Mo
    C:\ (%systemdrive%) -> Disque fixe # 28 Go (12 Go libre(s) - 44%) [VAIO] # NTFS
    D:\ -> Disque fixe # 21 Go (21 Go libre(s) - 99%) [VAIO] # NTFS
    F:\ -> CD-ROM

    ################## | Éléments infectieux |


    Supprimé! C:\Recycler\S-1-5-21-1029483305-2502775357-273252574-1004
    Supprimé! C:\Recycler\S-1-5-21-2534731762-2325384855-1823734477-500
    Supprimé! D:\Recycler\S-1-5-21-1029483305-2502775357-273252574-1004
    Supprimé! D:\resycled

    ################## | Registre |

    Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

    ################## | Mountpoints2 |

    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{1d445be2-f31e-11de-b22b-0012f01f6538}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{20179d0f-6964-11df-b24a-0012f01f6538}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{2a73b7d5-e659-11dd-a8f5-0012f01f6538}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{41ce47f0-b41e-11de-b21c-0012f01f6538}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{762271a0-17c1-11df-b237-0012f01f6538}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{7b4aeb44-0e7a-11de-b1f6-0012f01f6538}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{c17834d9-ee61-11de-b22a-0012f01f6538}
    Supprimé! HKCU\.\.\.\.\Explorer\MountPoints2\{e652274a-d988-11dd-a8ef-0012f01f6538}

    ################## | Listing |

    [16/12/2004 - 16:24:00 | N | 0] C:\AUTOEXEC.BAT
    [24/04/2011 - 21:08:32 | RASH | 217] C:\boot.ini
    [05/08/2004 - 14:00:00 | N | 4952] C:\Bootfont.bin
    [05/05/2011 - 22:16:52 | SHD ] C:\Config.Msi
    [16/12/2004 - 16:24:00 | N | 0] C:\CONFIG.SYS
    [16/12/2004 - 21:47:17 | D ] C:\Documentation
    [05/01/2009 - 23:32:44 | D ] C:\Documents and Settings
    [16/12/2004 - 17:15:01 | D ] C:\Drivers
    [06/05/2011 - 09:42:20 | ASH | 534958080] C:\hiberfil.sys
    [16/12/2004 - 16:24:00 | N | 0] C:\IO.SYS
    [16/12/2004 - 16:24:00 | N | 0] C:\MSDOS.SYS
    [03/01/2009 - 16:07:17 | RHD ] C:\MSOCache
    [05/08/2004 - 14:00:00 | RASH | 47564] C:\NTDETECT.COM
    [27/04/2011 - 11:56:51 | N | 252240] C:\ntldr
    [06/05/2011 - 09:42:17 | ASH | 805306368] C:\pagefile.sys
    [05/05/2011 - 18:02:08 | D ] C:\Program Files
    [05/05/2011 - 17:53:35 | D ] C:\Python25
    [06/05/2011 - 12:00:31 | SHD ] C:\RECYCLER
    [27/02/2009 - 17:30:16 | N | 8244] C:\RESETLOG.TXT
    [05/05/2011 - 17:23:00 | SHD ] C:\System Volume Information
    [26/08/2010 - 20:32:54 | N | 639] C:\temp.log
    [06/05/2011 - 12:00:31 | D ] C:\UsbFix
    [06/05/2011 - 12:01:16 | A | 1165] C:\UsbFix.txt
    [03/01/2009 - 13:05:32 | N | 0] C:\winamp.ini
    [05/05/2011 - 22:18:45 | D ] C:\WINDOWS
    [14/11/2010 - 18:28:43 | D ] D:\7d67d491c371031db1c5f3660bd3
    [09/01/2009 - 08:18:04 | D ] D:\Contenu
    [23/08/2009 - 10:23:16 | D ] D:\f751290c74f4ad8a1548210c30c94b78
    [26/05/2010 - 08:35:40 | D ] D:\fd87cfc8f348663935499ff43d42
    [06/05/2011 - 12:00:31 | SHD ] D:\RECYCLER
    [05/05/2011 - 17:24:07 | SHD ] D:\System Volume Information
    [09/01/2009 - 08:18:04 | D ] D:\VAIO Entertainment

    ################## | Vaccin |

    C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)

    ################## | Upload |

    Veuillez envoyer le fichier: C:\UsbFix_Upload_Me_NOM-F046AB1FCAD.zip
    http://www.teamxscript.org/Upload.php
    Merci de votre contribution.

    ################## | E.O.F |
    a c 333 8 Sécurité
    6 Mai 2011 16:11:50

  • Relance UsbFix et choisis Désinstaller.

  • Refais un scan avec Malwarebytes' Anti-Malware et poste le rapport.
    6 Mai 2011 18:43:39

    Le rapport indique qu'il n'y a rien : http://www.cijoint.fr/cjlink.php?file=cj201105/cijBccFd...
    Par contre, j'ai découvert qu'Avira avait détecté des malwares au moment du tout premier scan de Malwarebytes antimalware (avant que je publie ce post). Il y a 7 rapports dans cette matinée qui rapportent des détections de malwares. Je ne mets ici que les parties les concernant issus desdits 7 rapports :

    Recherche débutant dans 'C:\Program Files\Sony\MyInfoCentre\ISP\ISP021\DialBBSignUp.exe'
    C:\Program Files\Sony\MyInfoCentre\ISP\ISP021\DialBBSignUp.exe
    [RESULTAT] Contient le modèle de détection d'un programme de numérotation générant des coûts DIAL/270336 (dialer)
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4ccbd99e.qua' !

    Recherche débutant dans 'C:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP19\A0018755.exe'
    C:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP19\A0018755.exe
    [RESULTAT] Contient le cheval de Troie TR/Drop.OnLi.117248
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f1adb7f.qua' !
    Recherche débutant dans 'C:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP19\A0018756.inf'
    C:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP19\A0018756.inf
    [RESULTAT] Contient le cheval de Troie TR/Script.193
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '578df4d8.qua' !**


    Recherche débutant dans 'C:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP20\A0018778.exe'
    C:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP20\A0018778.exe
    [RESULTAT] Contient le cheval de Troie TR/Drop.OnLi.117248
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f1adb35.qua' !
    Recherche débutant dans 'C:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP20\A0018779.inf'
    C:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP20\A0018779.inf
    [RESULTAT] Contient le cheval de Troie TR/Script.193
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '578df492.qua' !

    Recherche débutant dans 'C:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP25\A0020030.exe'
    C:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP25\A0020030.exe
    [RESULTAT] Contient le cheval de Troie TR/PSW.OnLineGa.bbe
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f1adbec.qua' !

    Recherche débutant dans 'C:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP33\A0024371.exe'
    C:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP33\A0024371.exe
    [RESULTAT] Contient le modèle de détection d'un programme de numérotation générant des coûts DIAL/270336 (dialer)
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f1add96.qua' !

    Recherche débutant dans 'D:\f9o8o.exe'
    D:\f9o8o.exe
    [RESULTAT] Contient le cheval de Troie TR/PSW.OnLineGa.bbe
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4cd923ef.qua' !

    Recherche débutant dans 'D:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP19\A0018758.exe'
    D:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP19\A0018758.exe
    [RESULTAT] Contient le cheval de Troie TR/Drop.OnLi.117248
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '4f1a23d5.qua' !
    Recherche débutant dans 'D:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP19\A0018759.inf'
    D:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP19\A0018759.inf
    [RESULTAT] Contient le cheval de Troie TR/Script.193
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '578d0c72.qua' !
    Recherche débutant dans 'D:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP20\A0018780.exe'
    D:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP20\A0018780.exe
    [RESULTAT] Contient le cheval de Troie TR/Drop.OnLi.117248
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '05d2569a.qua' !
    Recherche débutant dans 'D:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP20\A0018781.inf'
    D:\System Volume Information\_restore{1AA65D84-DDDF-4E6A-8AB0-A6C3A32E877A}\RP20\A0018781.inf
    [RESULTAT] Contient le cheval de Troie TR/Script.193
    [REMARQUE] Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '63e51958.qua' !

    P.S : Certains des virus détectés par Avira étant visiblement placés dans les restaurations système de Windows, j'ai, avant de publier mon sujet, vidé intégralement la restauration système (en cochant "désactiver la restauration système sur tous les lecteurs" dans les propriétés système.
    Cela suffit-il?

    Y a-t-il encore des choses ?
    a c 333 8 Sécurité
    6 Mai 2011 23:46:07

  • Fais l'option "Nettoyer" d'Ad-Remover et poste le rapport.
    a c 333 8 Sécurité
    7 Mai 2011 00:24:20

    1/

  • Relance Ad-Remover et choisis Désinstaller.

  • Télécharge DelFix sur ton Bureau.
  • Lance DelFix puis clique sur le bouton Suppression.
  • Poste le rapport (C:\DelFixSuppr.txt).
  • Supprime DelFix.


    2/

  • Télécharge et installe CCleaner.
  • Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
  • Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


    ==Prévention==

    Voici un dossier sur la prévention et sécurité sur Internet (A lire avec Adobe Reader ou Foxit Reader) : Lien


    ==Problème résolu ?==

    --> Si tu estimes que ton problème est résolu, ajoute [Résolu] au titre. Pour cela :
  • Clique, dans ton premier message, sur le bouton Editer .
  • Ajoute la mention [Résolu] devant le titre.
  • Clique ensuite sur Valider votre message.


    ;) 
    7 Mai 2011 09:13:35

    Non titi967, Spybot n'a aucune utilité, non seulement ici mais même dans d'autres cas.
    C'est un logiciel vieillissant, toujours distribué et qui, bien qu'assez performant par rapport à un simple antivirus, ne parvient quasiment jamais à enrayer une infection à lui seul et à en détruire les traces. Je te conseille la lecture de ce sujet : http://forum.malekal.com/antispyware-gratuit-sert-rien-...

    En cas d'infection, mieux vaut ne pas passer Spybot et te référer en premier lieu à ce document : http://forum.malekal.com/suis-infecte-que-faire-t3697.h...

    Petit extrait de ce dernier :
    Citation :
    Voici quelques uns des conseils donnés généralement par les néophytes et qui ne sont pas à suivre.. puisque sans effet.

    Les mauvais réflexes généralement observés sont :

  • Dans le cas, d'une infection adwares.. Installation de nouveaux antispywares.. le réflexe est d'installer et scanner avec 3-4 antispywares différents en espérant que l'un supprime l'infection. Vous perdez en général votre temps surtout sur les infections Magic.Control pour les raisons données plus bas.
  • Dans le cas de multi-infections, vous désinstallez/installez de nouveaux antivirus toujours dans le but d'éradiquer les infections.. ce n'est pas une bonne idée car en général les antivirus ne détecte pas l'intégralité. En général, les antivirus n'arrivent pas à supprimer les fichiers infectieux et enfin ils ne détectent et ne suppriment pas les rootkits
  • Pour les infections adwares (popups de pubs), généralement le conseil est "fais un scan avec spybot" ou "fais un scan avec adaware".
    Je vais être franc : pour moi SpyBot et Ad-Aware sont dépassés, SpyBot & Adware c'était bien il y a cinq ans.. quand les infections étaient "mignonnes". Voir Adwares/Spywares : Comment NE PAS désinfecter son PC ?
    9 Mai 2011 13:08:21

    De retour Destryo5

    Voici le rapport DelFix :
    # DelFix v7.8 - Rapport créé le 09/05/2011 à 13:05
    # Mis à jour le 02/05/11 à 18h par Xplode
    # Système d'exploitation : Microsoft Windows XP (32 bits) [version 5.1.2600] Service Pack 3
    # Nom d'utilisateur : utlisateur 1 - NOM-F046AB1FCAD (Administrateur)
    # Exécuté depuis : C:\Documents and Settings\utlisateur 1\Mes documents\Téléchargements\DelFix.exe
    # Option [Suppression]


    ~~~~~~ Dossier(s) ~~~~~~


    ~~~~~~ Fichier(s) ~~~~~~


    ~~~~~~ Registre ~~~~~~

    Clé Supprimée : HKLM\Software\TrendMicro\Hijackthis
    Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover

    ~~~~~~ Autre ~~~~~~

    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [767 octets] ##########



    Attention, ton lien pour DelFix ne fonctionne pas. Je l'ai récupéré par Commentcamarche.net.

    Il ne semble plus y avoir de problème.
    Merci de ton aide !
    a c 333 8 Sécurité
    9 Mai 2011 15:05:19

    J'avais oublié de remplacer le lien ;) 
    Tom's guide dans le monde
    • Allemagne
    • Italie
    • Irlande
    • Royaume Uni
    • Etats Unis
    Suivre Tom's Guide
    Inscrivez-vous à la Newsletter
    • ajouter à twitter
    • ajouter à facebook
    • ajouter un flux RSS