Problème de virus à supprimer !Résolu/Fermé

Question

Bonjour à tous,

Suite à un scan avec mon anrivirus Avira Antivir, 3 virus ont été détectés et mis en quarantaine. Le rapport me précise :
- contient le modèle de détection de l'exploit EXP/CVE-2011-3544
- contient le modèle de détection du virus Java JAVA/Dldr.Treams.BL
- contient le modèle de détection du logiciel publicitaire ADWARE/InstallCoreGen

Quelqu'un pourrait-il m'indiquer la marche à suivre pour pouvoir supprimer ces virus ? et éventuellement réparer les dégâts ?

Merci par avance pour votre aide

Cordialement


Configuration: Windows XP / Firefox 15.0

Smart91 · Accepted Answer

OK.

Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou depuis ce lien si le premier a des soucis:
http://www.moncompteur.com/compteurclick.php?idLink=18026 

Une fois le téléchargement achevé, double clique sur ZHPDiag.exe et suis les instructions.
 
/!\Utilisateurs de Vista et Windows 7 : Clique droit sur le logo de ZHPDiag.exe, « exécuter en tant qu'Administrateur »

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau. 
-  Double clique sur le raccourci ZHPDiag sur ton Bureau pour le lancer.
- Si tu possèdes Avast 6 ou 7 comme antivirus, à l'alerte choisis "lancer normalement"
- Si le bouton UAC apparaît dans le panel supérieur cela signifie que l'UAC est activée. L'activation de l'UAC gène l'analyse de ZHPDiag sur certains modules (O18,O23,O42,...). Aussi pour permettre un scan complet de l'outil, tu dois au préalable cliquer sur ce bouton. Ce qui aura pour conséquence de relancer ZHPDiag avec une désactivation temporaire de l'UAC.
(/!\L'outil a créé 2 icônes ZHPDiag et ZHPFix)
-  Clique sur le tournevis à droite et dans la liste coche cette case "Recherche Master Boot Record Infection [MBR][O80]"
-  Clique sur la loupe  pour lancer l'analyse.  
-  Laisse l'outil travailler, il peut être assez long. 
-  Ferme ZHPDiag en fin d'analyse. 
-  Pour transmettre le rapport clique sur ce lien :http://pjjoint.malekal.com/
-  Clique sur Parcourir et cherche le répertoire C:\ZHP
-  Sélectionne le fichier ZHPDiag.txt. puis clique sur "Ouvrir"
-  Ensuite Clique sur "Envoyer le fichier". 
-  Copie le lien obtenu  dans ta réponse. 
 
Smart

Smart91 · Answer

Bonjour,

Si les virus ont été mis en quarantaine c'est qu'ils ont été supprimés.
Si tu veux on peut faire un diagnostic de ton PC pour voir s'il n'y a pas des restes ou d'autres infections  
 
Smart

Olidu · Answer

Oui bien volontiers !

Olidu · Answer

Bonjour,

Ci-joint le rapport demandé :
https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120923_p15w8t6z12y13

Merci pour votre aide.

Smart91 · Answer

Il ya encore des restes; 

Tout d'abord tu vas ces mises à jour: 

Mise àjour Firefox vers la version 15.0.1: 
Lance FireFox, Allez dans ? > Rechercher des mises à jour ... et cliquez sur "Appliquer la mise à jour" 
Sinon aller sur ce lien ==> http://www.mozilla-europe.org/fr/firefox 

Télécharge SX Check&Update (de Igor51 ) sur ton bureau. 

Lance SXCU.exe en double-cliquant dessus. 
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur") 

Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : https://www.java.com/fr/download/ 
Supprime ensuite manuellement dans ta liste des programmes (si encore présent) : Java(TM) 6 Update 2 

Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : https://get2.adobe.com/reader/otherversions/ 

Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour. 

Ensuite pour supprimer les restes tu vas faire ceci: 

- Ferme toutes tes applications en cours 
- Lance ZHPFix via le raccourci sur ton Bureau, (Si tu es sous Vista ou Windows 7 n'oublie pas clic droit ==> en tant qu'administrateur")  
- Si tu ne l'as pas, télécharge le depuis ce lien: https://www.zebulon.fr/telechargements/securite/systeme/zhpfix.html 
- Copie/colle les lignes en gras suivantes : 
  
----------------------------------------------------------  
O43 - CFD: 29/01/2012 - 17:58:09 - [0,001] ----D C:\Documents and Settings\Thomas\Application Data\pdfforge 
[HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}] 
C:\Documents and Settings\Thomas\Application Data\pdfforge 
O24 - Default MHTML Editor: Last - .(...) - F:\office\Office14\WINWORD.exe (.not file.) 
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine] 
OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe 
OPT:O4 - HKLM\..\Run: [RemoteControl] . (.Cyberlink Corp. - PowerDVD RC Service.) -- C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe 
OPT:O4 - HKLM\..\Run: [HP Software Update] . (.Hewlett-Packard - hpwuSchd Application.) -- C:\Program Files\HP\HP Software Update\HPWuSchd2.exe 
OPT:O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] . (.Adobe Systems Incorporated - Adobe Acrobat SpeedLauncher.) -- C:\Program Files\Adobe\Reader 10.0\Reader\Reader_sl.exe 
OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe 
OPT:O4 - HKCU\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe 
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
OPT:O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\CTFMON.exe 
OPT:O4 - HKUS\S-1-5-21-1220945662-1957994488-682003330-1003\..\Run: [ctfmon.exe] . (.Microsoft Corporation - CTF Loader.) -- C:\WINDOWS\system32\ctfmon.exe 
OPT:O23 - Service: Service Bonjour (Bonjour Service) . (.Apple Inc. - Bonjour Service.) - C:\Program Files\Bonjour\mDNSResponder.exe 
OPT:SR - | Auto 31/08/2011 390504 |  (Bonjour Service) . (.Apple Inc..) - C:\Program Files\Bonjour\mDNSResponder.exe 
EmptyTemp 
EmptyFlash 
CTFDisabled 

----------------------------------------------------------  
- Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)  
- Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes  
- Clique sur le bouton « GO » pour le lancer le nettoyage 
- Copie/colle la totalité du rapport dans ta prochaine réponse  

Et redémarre le PC 

Smart  
"Si tu n'as pas d'ambitions, tu t'installes au bord de la chute" (Kundera)

Olidu · Answer

Salut,

Ci-joint le rapport :



Rapport de ZHPFix 1.3.01 par Nicolas Coolman, Update du 22/09/2012
Fichier d'export Registre : 
Run by Thomas at 24/09/2012 21:20:01
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://nicolascoolman.skyrock.com/



========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\Software\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\conduitEngine
SUPPRIME Key: Service: Bonjour Service
ABSENT Key: Service: Bonjour Service
CTFDisabledCTFMon désactivé par défaut

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: QuickTime Task
SUPPRIME RunValue: RemoteControl
SUPPRIME RunValue: HP Software Update
SUPPRIME RunValue: Adobe Reader Speed Launcher
SUPPRIME RunValue: iTunesHelper
SUPPRIME RunValue: ctfmon.exe
ABSENT RunValue: ctfmon.exe

========== Elément(s) de donnée du Registre ==========
SUPPRIME O24 - Default MHTML Editor: Last - .(...) - F:\office\Office14\WINWORD.exe (.not file.)
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Default MHTML Editor\Shell\Edit\Command]

========== Dossier(s) ==========
SUPPRIME Folder: C:\Documents and Settings\Thomas\Application Data\pdfforge
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:

========== Fichier(s) ==========
ABSENT Folder/File: c:\documents and settings	homas\application data\pdfforge
ABSENT File: f:\office\office14\winword.exe
SUPPRIME Temporaires Windows:
SUPPRIME Flash Cookies:


========== Récapitulatif ==========
5 : Clé(s) du Registre
7 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
3 : Dossier(s)
4 : Fichier(s)


End of clean in 00mn 04s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 24/09/2012 21:20:01 [1749]

Smart91 · Answer

oK. refait une dernier scan ZHPDiag pour une dernière vérification

Smart

Olidu · Answer

Salut,

Ci-joint le dernier rapport

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120925_s11z12q13d8m7

Smart91 · Answer

Bon, tout semble OK

Par précaution je voudrais vérifier un fichier:

Va sur ce site https://www.virustotal.com/gui/
- Clique sur "Choose File"
- Dans nom du fichier colle ce fichier :  C:\Documents and Settings\Thomas\Application Data\_dlytmp
- Clique sur "Ouvrir" puis sur "Scan It"
- Le Fichier est mis en file d'attente. 
- Clique sur Reanalyse si  c'est proposé
- Attends la fin du scan et poste le lien vers le rapport
Le lien se trouve en haut dans la barre d'adresse du navigateur Internet

Si le rapport ne montre aucune infection pour tous les antivirus, on va désinstaller les outils que je t'ai fait télécharger et nettoyer le PC

1. Désinstallation des outils

- Télécharge DelFix (d'Xplode) sur ton bureau. 
- Lance le, (avec Vista/Seven, clic droit dessus, et sur exécuter en tant qu'administrateur) 
- Sélectionne Suppression 
- Copie/colle le contenu du rapport qui s'ouvrira à l'écran dans ton prochain message. 

Note : Le rapport est également sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt ) 
Une fois le rapport posté sur le forum, relance DelFix en sélectionnant Désinstallation. 

2. Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) : 
Avec ce logiciel on va supprimer les fichiers temporaires et inutiles sur ton PC. Ce n'est pas un logiciel qui supprime les infections
- Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
- Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
- Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs (Sauvegarde la base de registre). 

3. Désactiver la restauration système et créer un point de restauration 
- Dans la barre des tâches de Windows, clique sur Démarrer. 
- Clique avec le bouton droit de la souris sur Poste de travail puis clique sur Propriétés. 
- Dans l'onglet Restauration du système, coche "Désactiver la Restauration du système" 
- Clique sur Appliquer. 
- Ensuite décoche "Désactiver la restauration du systeme" 
- Clique sur appliquer puis ok
 
Créer un point de restauration en cliquant sur démarrer => tous les programmes => accessoires => outils systeme => restauration du système => créer un point de restauration => tu mets un nom (par exemple : PR après désinfection) puis tu valides

Smart

Olidu · Answer

Salut,

Le point de restauration a été effectué.

Le répertoire _dlytmp dans C:\Documents and Settings\Thomas\Application Data\_dlytmp contient plusieurs fichiers, du coup je les ai tous analysé

dans un dossier .tmp, il y a le fichier  dummy.dly
https://www.virustotal.com/gui/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855

et il y a également deux fichiers 
_launcher_DeliveryAuto.exe
https://www.virustotal.com/gui/file/9a957fe36ce6d9a38e83a8d309e005352d9c98dd1f966ca7ec74305724b867c2

install.log
https://www.virustotal.com/gui/file/e3b0c44298fc1c149afbf4c8996fb92427ae41e4649b934ca495991b7852b855



Je te rajoute le rapport Delfix



# DelFix v9.0 - Rapport créé le 26/09/2012 à 20:34:15
# Mis à jour le 23/09/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Thomas - PC-THOMAS (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Thomas\Mes documents\Téléchargements\delfix(1).exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\ZHP
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\Thomas\Mes documents\Téléchargements\ZHPDiag2.exe

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [980 octets] - [26/09/2012 20:34:15]

########## EOF - C:\DelFix[S1].txt - [1103 octets] ##########





Merci pour ton aide

Smart91 · Answer

Tout est bon. les fichiers ne sont pas infectés
Heureux de t'avoir aider :-)
 
Smart

Olidu · Answer

Mon PC est comme neuf ! Merci beaucoup pour ton aide :-) 

Comment mettre le post en résolu ?

Smart91 · Answer

Heureux de t'avoir aidé

Smart

Problème de virus à supprimer !

13 réponses

Discussions similaires

Newsletters