Sujet Précédent Sujet Suivant

Menaces continuelles après enregistrement

Résolu/Fermé
Pen' - 2 mai 2012 à 23:34
 Pen' - 3 mai 2012 à 19:28
Bonjour,

accrochez-vous, mon histoire est plutôt longue...
Sur un PC sous Windows Vista le bureau ne s'affichait plus. J'ai fait des recherches et j'en suis venue à apprendre qu'à cause d'un logiciel d'appareil photo, le shell avait été modifié et que du coup explorer.exe ne se lançait plus. J'ai fait une petite manipulation de fortune qui consistait à mettre un raccourci de explorer.exe sur le bureau afin de pouvoir relancer l'explorer rapidement et pouvoir régler le problème tranquillou. J'ai lu diverses solutions qui me disaient de modifier la base de registre. Or, même en ayant un compte admin, il m'en refusait l'accès.
Une amie m'a alors fait remarqué un fichier suspect sur le bureau, qui selon elle revient à chaque fois que quelqu'un branche un périphérique. J'ai fait des recherches et ai analysé le fichier suspect, avast (expiré depuis décembre 2011!!) a trouvé un worm (Win32:Brontok-BH).
Je me suis dit que l'ordi devait être hyper infecté alors j'ai demandé une clé d'enregistrement avast pour le mettre à niveau. (je me suis dit qu'une fois désinfecté je pourrais peut-être travailler plus tranquillement afin de résoudre ce problème de registre.)

Seulement voilà : maintenant que avast est opérationnel, les menaces pleuvent, absolument TOUS les fichiers sont infectés, et tous par Win32:Brontok-BH [Wrm]...
cela fait 10minutes que l'ordi est allumé avec avast ok et sur 3439 fichiers scannés... 3110 sont infectés. Je précise que je n'ai pas lancé de scan et que avast fait son petit business tout seul... Depuis cela s'est calmé mais à intervalles réguliers (toutes les 30 secondes à peu près, il me détecte les 3 mêmes menaces à 3 reprises... toujours à cause du même worm.) en fait non, dès que je touche à quelquechose (par exemple j'ouvre mes documents) avast s'affole encore...

Au secours ? Je ne sais pas quoi faire...
Je peux poster le rapport ZHPDiag si cela peut aider !

Merci d'avance !
A voir également:

46 réponses

Précédent
Réponse 21 / 46
Pen'
3 mai 2012 à 14:28
Re bonjour, voici le rapport Usbfix après la deuxième suppression :

http://pjjoint.malekal.com/files.php?id=20120503_e9b15o9w9u13
0
Réponse 22 / 46
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
3 mai 2012 à 14:29
"Lancé à 00:58:37 | 03/05/2012"

--> ???
0
Réponse 23 / 46
Pen'
3 mai 2012 à 14:45
Oui oui j'avais déjà relancé une suppression et du coup hier j'avais éteint l'ordi avant que tu me demandes le rapport.
0
Réponse 24 / 46
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
3 mai 2012 à 15:04
Ok. Plus de problème ?

--> Relance UsbFix et choisis "Désinstaller".

--> Fais un examen rapide avec Malwarebytes' Anti-Malware (mets-le à jour avant), supprime tout ce qu'il trouve et poste le rapport :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 25 / 46
Pen'
3 mai 2012 à 15:26
Apparemment plus de problèmes ! Ça a d'ailleurs réglé mon problème de bureau qui ne s'affichait plus et je peux maintenant accéder à la base de registre.

Malware Bytes est en train d'analyser...


Sinon, que me conseilles-tu comme pare-feu et antivirus (Kaspersky ne me convient pas du tout) pour que cela ne se reproduise plus ?
C'était vraiment l'enfer.
0
Réponse 26 / 46
Pen'
3 mai 2012 à 15:42
voici le rapport Malwarebyte :
http://pjjoint.malekal.com/files.php?read=20120503_x5j10m12l12k12
0
Réponse 27 / 46
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
3 mai 2012 à 15:51
Perso, j'ai Avast.

Tu peux supprimer ce qu'il y a dans la quarantaine de Malwarebytes' Anti-Malware.

Peux-tu me fournir un nouveau rapport ZHPDiag ?
0
Réponse 28 / 46
Pen'
3 mai 2012 à 16:15
Ok, merci je vais remettre avast.

Voici le rapport ZHPdiag :
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120503_m5g5v5v7u13
0
Réponse 29 / 46
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
3 mai 2012 à 16:56
--> Télécharge et lance AdwCleaner (de Xplode), choisis l'option "Suppression" et poste le rapport :
http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner
0
Réponse 30 / 46
Pen'
Modifié par Pen' le 3/05/2012 à 17:09
voilà
http://pjjoint.malekal.com/files.php?id=20120503_e6s813b8l15
0
Réponse 31 / 46
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
Modifié par Destrio5 le 3/05/2012 à 17:16
Tu peux désinstaller AdwCleaner.

Tu as bien lancé ZHPDiag en tant qu'administrateur ?
0
Réponse 32 / 46
Pen'
3 mai 2012 à 17:20
ah non zut j'ai oublié de le lancer en administrateur... je dois recommencer ?
0
Réponse 33 / 46
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
3 mai 2012 à 17:22
Oui.
0
Réponse 34 / 46
Pen'
3 mai 2012 à 17:30
Il ne se lance pas. J'essaye en mode sans échec ?
0
Réponse 35 / 46
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
3 mai 2012 à 17:31
Redémarre ton PC plutôt.
0
Réponse 36 / 46
Pen'
3 mai 2012 à 17:52
rapport ZHPDiag :

http://pjjoint.malekal.com/files.php?id=zhpdiag_20120503_j10c5d15p14d9
0
Réponse 37 / 46
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
3 mai 2012 à 18:11
On va réutiliser ZHPFix mais avec le texte suivant (lance-le en tant qu'administrateur aussi et fais attention qu'Avast ne le lance pas dans sa sandbox) :

SysRestore
[HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] Shell: Modified
[MD5.00000000000000000000000000000000] [APT] [{1CF6FF24-97E3-464A-9898-6EE10F791065}] (...) -- F:\DCIM\100PHOTO\100PHOTO.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{93002389-3B56-40A7-ACB3-C83696EC58B9}] (...) -- C:\Users\francois\Pictures\Documents\Documents.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{9D0FF612-D226-49A3-9FB7-34BFE5FC8262}] (...) -- F:\Instru\Instru.exe (.not file.)
O67 - Shell Spawning: <.html> <ChromeHTML>[HKCU\..\open\Command] (.Not Key.)
O67 - Shell Spawning: <.com> <>[HKU\..\open\Command] (.Not Key.)
O67 - Shell Spawning: <.exe> <>[HKU\..\open\Command] (.Not Key.)
[HKLM\Software\Classes\CLSID\{761f6a83-f007-49e4-8eac-cdb6808ef06f}]
[HKLM\Software\Classes\CLSID\{97d69524-bb57-4185-9c7f-5f05593b771a}]
EmptyFlash
EmptyTemp
0
Réponse 38 / 46
Pen'
3 mai 2012 à 18:24
voilà le rapport :

http://pjjoint.malekal.com/files.php?id=20120503_m8y8r11e14o7
0
Réponse 39 / 46
Destrio5 Messages postés 85985 Date d'inscription dimanche 11 juillet 2010 Statut Modérateur Dernière intervention 17 février 2023 10 291
3 mai 2012 à 18:31
Pour finir :


1/

---> Télécharge DelFix sur ton Bureau.
* Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
* Clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.


2/

* Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.


3/

---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger. Ensuite, crée un point de restauration.


==Prévention==

Mets à jour Internet Explorer :
https://support.microsoft.com/en-us/office/internet-explorer-help-23360e49-9cd3-4dda-ba52-705336cc0de2?ui=en-US&rs=en-001&ad=US

Mets à jour Adobe Reader (décoche McAfee Security Scan Plus) :
https://get2.adobe.com/fr/reader/otherversions/

Mets à jour Java :
https://www.java.com/fr/download/

Voici un dossier complet (A lire avec Adobe Reader) : Lien


Sois plus vigilant(e) sur Internet ;)
0
Réponse 40 / 46
Pen'
3 mai 2012 à 18:51
voilà pour le rapport delfix
http://pjjoint.malekal.com/files.php?id=20120503_d12f1114f5s9

si j'ai bien compris, tout est réparé maintenant ? (et ce PC n'était pas connecté à internet, j'ai choppé ça avec la clé d'un "ami")
0

Discussions similaires

contacts non supprimables ou modifiables sur ma carte sim
saxoline -
Utilisateur anonyme -

5 réponses
Activer ma carte SIM lycamobile
Lucas durant -
Hajji -

2 réponses
Echec d'enregistrement carte SIM Lebara
Cutis -
bazfile -

1 réponse
tranfert enregistrement freebox vers cle usb
doubleall -
doubleall -

2 réponses
"Protection contre les virus et menaces" non disponible
Eliot_1232 -
bazfile -

11 réponses