[Résolu] PC infecté par un Stealer
Résolu/Fermé
Ledodo
-
Modifié par Ledodo01 le 24/10/2011 à 22:37
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 24 oct. 2011 à 22:35
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 - 24 oct. 2011 à 22:35
A voir également:
- Js:stealer
- Test performance pc - Guide
- Reinitialiser pc - Guide
- Pc lent - Guide
- Whatsapp pc - Télécharger - Messagerie
- Double ecran pc - Guide
30 réponses
Ledodo01
Messages postés
14
Date d'inscription
lundi 24 octobre 2011
Statut
Membre
Dernière intervention
24 octobre 2011
1
24 oct. 2011 à 14:45
24 oct. 2011 à 14:45
Voici le lien du rapport:
http://www.cijoint.fr/cjlink.php?file=cj201110/cijtb9OIl4.txt
http://www.cijoint.fr/cjlink.php?file=cj201110/cijtb9OIl4.txt
Ledodo01
Messages postés
14
Date d'inscription
lundi 24 octobre 2011
Statut
Membre
Dernière intervention
24 octobre 2011
1
24 oct. 2011 à 15:10
24 oct. 2011 à 15:10
Voici le lien du rapport ZHPDiag:
https://pjjoint.malekal.com/files.php?read=ZHPDiag_v11b7z11l8f9o12o7o8b10e15v15i12p12l15l13x10o6j15l6f5
https://pjjoint.malekal.com/files.php?read=ZHPDiag_v11b7z11l8f9o12o7o8b10e15v15i12p12l15l13x10o6j15l6f5
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
24 oct. 2011 à 15:15
24 oct. 2011 à 15:15
Vu :)
C:\Users\Dorian\AppData\Roaming\chrtmp
J'aime pas ça :p
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\
▶ /!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
Protections résidentes : https://forum.pcastuces.com/default.asp
et https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
~~
Pare feu Windows XP : http://support.microsoft.com/kb/283673/fr
Pare feu Windows Vista/7 : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
~~
Windows Defender : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
_______________________________________________________________
▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
▶ Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\
Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix
C:\Users\Dorian\AppData\Roaming\chrtmp
J'aime pas ça :p
/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection : DANGEREUX /!\
▶ /!\ IMPORTANT /!\
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
Protections résidentes : https://forum.pcastuces.com/default.asp
et https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/
~~
Pare feu Windows XP : http://support.microsoft.com/kb/283673/fr
Pare feu Windows Vista/7 : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
~~
Windows Defender : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
_______________________________________________________________
▶ Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
▶ Double-clique sur ComboFix.exe
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter
▶ ▶ Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC
▶ En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.
▶ Une fois le scan achevé, un rapport va s'afficher : Poste son contenu
▶ ▶ /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\
Notes:
-> Le rapport se trouve également là : C:\ComboFix.txt
-> tutoriel combofix
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
24 oct. 2011 à 15:43
24 oct. 2011 à 15:43
C'est étrange, je me renseigne
On va faire autre chose en attendant :
▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
▶ Puis Lance ZHPFix depuis le raccourci du bureau .
▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).
▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.
▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
▶ Clique sur le bouton « GO » pour lancer le nettoyage
▶ Copie/Colle le rapport à l''écran dans ton prochain message
Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)
On va faire autre chose en attendant :
▶ Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
O42 - Logiciel: Dealio Toolbar v4.7 - (.Spigot, Inc..) [HKLM] -- {67EA4F15-C7C4-436A-B6A2-352BC2CE11DC} => Infection PUP (PUP.Dealio) O87 - FAEL: "UDP Query User{2B115838-17D6-48FE-8E6F-0428A591FF03}C:\users\dorian\appdata\roaming\macromedia\flash player\www.macromedia.com\bin\octoshape\octoshape.exe" | In - Private - P17 - TRUE | .(.Octoshape ApS.) -- C:\users\dorian\appdata\roaming\m => Infection Bagle [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}] => Infection BT (Toolbar.Babylon) [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}] => Infection BT (Toolbar.Babylon) [HKCU\Software\AutoCashLinks] O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} . (...) -- C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] -- DAEMON Tools Toolbar => Toolbar.DaemonTools [HKLM\Software\Classes\toolband.eb_explorerbar] => Toolbar.Agent [HKLM\Software\Classes\toolband.eb_explorerbar.1] => Toolbar.Agent [HKLM\Software\Classes\toolband.ipm_printlistitem] => Toolbar.Agent [HKLM\Software\Classes\toolband.ipm_printlistitem.1] => Toolbar.Agent [HKLM\Software\Classes\toolband.pm_launcher] => Toolbar.Agent [HKLM\Software\Classes\toolband.pm_launcher.1] => Toolbar.Agent [HKLM\Software\Classes\toolband.pm_printmanager] => Toolbar.Agent [HKLM\Software\Classes\toolband.pm_printmanager.1] => Toolbar.Agent [HKLM\Software\Classes\toolband.pr_bindstatuscallback] => Toolbar.Agent [HKLM\Software\Classes\toolband.pr_bindstatuscallback.1] => Toolbar.Agent [HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler] => Toolbar.Agent [HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler.1] => Toolbar.Agent [HKLM\Software\Classes\toolband.tbtoolband] => Toolbar.Agent [HKLM\Software\Classes\toolband.tbtoolband.1] => Toolbar.Agent [HKLM\Software\Classes\toolband.useroptions] => Toolbar.Agent [HKLM\Software\Classes\toolband.useroptions.1] => Toolbar.Agent [HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv] => Toolbar.Agent [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar] => Toolbar.DaemonTools [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17} => Toolbar.DaemonTools [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17} => Toolbar.DaemonTools EMPTYTEMP EMPTYFLASH
▶ Puis Lance ZHPFix depuis le raccourci du bureau .
▶ Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).
▶ Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.
▶ Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.
▶ Clique sur le bouton « GO » pour lancer le nettoyage
▶ Copie/Colle le rapport à l''écran dans ton prochain message
Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Ledodo01
Messages postés
14
Date d'inscription
lundi 24 octobre 2011
Statut
Membre
Dernière intervention
24 octobre 2011
1
24 oct. 2011 à 15:46
24 oct. 2011 à 15:46
Voici le rapport ZHPFix:
Rapport de ZHPFix 1.12.3365 par Nicolas Coolman, Update du 18/10/2011 Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-24-10-2011-15-44-36.txt Run by Dorian at 24/10/2011 15:44:36 Windows 7 Ultimate Edition, 32-bit (Build 7600) Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html ========== Logiciel(s) ========== SUPPRIME O42 - Logiciel: Dealio Toolbar v4.7 - (.Spigot, Inc..) [HKLM] -- {67EA4F15-C7C4-436A-B6A2-352BC2CE11DC} ABSENT Uninstall Process: c:\program files\daemon tools toolbar\uninst.exe ========== Clé(s) du Registre ========== SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{67EA4F15-C7C4-436A-B6A2-352BC2CE11DC}] SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar] SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E} SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E} SUPPRIME Key: HKCU\Software\AutoCashLinks SUPPRIME Key: HKLM\Software\Classes\toolband.eb_explorerbar SUPPRIME Key: HKLM\Software\Classes\toolband.eb_explorerbar.1 SUPPRIME Key: HKLM\Software\Classes\toolband.ipm_printlistitem SUPPRIME Key: HKLM\Software\Classes\toolband.ipm_printlistitem.1 SUPPRIME Key: HKLM\Software\Classes\toolband.pm_launcher SUPPRIME Key: HKLM\Software\Classes\toolband.pm_launcher.1 SUPPRIME Key: HKLM\Software\Classes\toolband.pm_printmanager SUPPRIME Key: HKLM\Software\Classes\toolband.pm_printmanager.1 SUPPRIME Key: HKLM\Software\Classes\toolband.pr_bindstatuscallback SUPPRIME Key: HKLM\Software\Classes\toolband.pr_bindstatuscallback.1 SUPPRIME Key: HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler SUPPRIME Key: HKLM\Software\Classes\toolband.pr_cancelbuttoneventhandler.1 SUPPRIME Key: HKLM\Software\Classes\toolband.tbtoolband SUPPRIME Key: HKLM\Software\Classes\toolband.tbtoolband.1 SUPPRIME Key: HKLM\Software\Classes\toolband.useroptions SUPPRIME Key: HKLM\Software\Classes\toolband.useroptions.1 SUPPRIME Key: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar ========== Valeur(s) du Registre ========== SUPPRIME UDP Query User{2B115838-17D6-48FE-8E6F-0428A591FF03}C:/users/dorian/appdata/roaming/macromedia/flash player/www.macromedia.com/bin/octoshape/octoshape.exe SUPPRIME Toolbar: {32099AAC-C132-4136-9E9A-4E364A424E17} SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17} ABSENT [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17} ========== Dossier(s) ========== SUPPRIME Temporaires Windows: : 75 SUPPRIME Flash Cookies: 253 ========== Fichier(s) ========== ABSENT File: c:\program files\daemon tools toolbar\dttoolbar.dll SUPPRIME Temporaires Windows: : 76 SUPPRIME Flash Cookies: 137 ========== Récapitulatif ========== 23 : Clé(s) du Registre 4 : Valeur(s) du Registre 2 : Dossier(s) 3 : Fichier(s) 2 : Logiciel(s) End of clean in 00mn 15s ========== Chemin de fichier rapport ========== C:\ZHP\ZHPFix[R1].txt - 24/10/2011 15:44:36 [3161]
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
24 oct. 2011 à 15:47
24 oct. 2011 à 15:47
Pour l'instant on en reste là, j'attends des nouvelles sur le soucis de combofix :)
juju666
Messages postés
35446
Date d'inscription
jeudi 18 décembre 2008
Statut
Contributeur sécurité
Dernière intervention
21 avril 2024
4 795
24 oct. 2011 à 21:58
24 oct. 2011 à 21:58
Changement de tactique.
Suite à notre échange de MP, ComboFix est incompatible avec ton système.
Je vais tenter de remonter l'information chez sUbs. On verra mais ...
Fais un ForceMove avec çà dans le fichier d'instructions :
Suite à notre échange de MP, ComboFix est incompatible avec ton système.
Je vais tenter de remonter l'information chez sUbs. On verra mais ...
Fais un ForceMove avec çà dans le fichier d'instructions :
C:\Users\Dorian\AppData\Roaming\chrtmp
Ledodo01
Messages postés
14
Date d'inscription
lundi 24 octobre 2011
Statut
Membre
Dernière intervention
24 octobre 2011
1
24 oct. 2011 à 22:01
24 oct. 2011 à 22:01
C'est fait, voici le rapport:
########## ForceMove de Juju666 version 1.0.0.4 du 18 avril 2011 | Mis à jour le 22 juin 2011 à 01:52 par Juju666 Windows 7 Ultimate [7600.16841.x86fre.win7_gdr.110622-1503] Démarrage à 21:59:41 ##### Arrêt des processus ArrÛtÚ : PID 952 'Firefox.exe' ArrÛtÚ : PID 952 'Firefox.exe' ArrÛtÚ : PID 2504 'explorer.exe' ##### Fichiers|Dossiers Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\Roaming\chrtmp ########## Terminé avec succès à 21:59:58 ########## ( EOF )
Ledodo01
Messages postés
14
Date d'inscription
lundi 24 octobre 2011
Statut
Membre
Dernière intervention
24 octobre 2011
1
24 oct. 2011 à 22:29
24 oct. 2011 à 22:29
Merci beaucoup pour tout.
Voici le rapport DelFix:
Voici le rapport DelFix:
Total space cleaned: 482933140 bytes
Ledodo01
Messages postés
14
Date d'inscription
lundi 24 octobre 2011
Statut
Membre
Dernière intervention
24 octobre 2011
1
24 oct. 2011 à 22:33
24 oct. 2011 à 22:33
Toute mes excuses, le rapport précédant était celui de PureRa.
Voici le rapport DelFix:
Voici le rapport DelFix:
# DelFix v8.6 - Rapport créé le 24/10/2011 à 22:32:32 # Mis à jour le 13/10/11 à 18h par Xplode # Système d'exploitation : Windows 7 Ultimate (32 bits) # Nom d'utilisateur : Dorian - DORIAN-PC-FIXE (Administrateur) # Exécuté depuis : C:\Users\Dorian\Desktop\delfix.exe # Option [Suppression] ~~~~~~ Dossiers(s) ~~~~~~ Supprimé : C:\32788R22FWJFW Supprimé : C:\ForceMove Supprimé : C:\ZHP Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP Supprimé : C:\Program Files\Ad-Remover Supprimé : C:\Program Files\ZHPDiag ~~~~~~ Fichier(s) ~~~~~~ Supprimé : C:\Ad-Report-CLEAN[1].txt Supprimé : C:\AdwCleaner[S1].txt Supprimé : C:\AdwCleaner[S2].txt Supprimé : C:\forcemovelog.txt Supprimé : C:\PhysicalDisk0_MBR.bin Supprimé : C:\Users\Dorian\Desktop\AD-R.lnk Supprimé : C:\Users\Dorian\Desktop\adwcleaner.exe Supprimé : C:\Users\Dorian\Desktop\ComboFix.exe Supprimé : C:\Users\Dorian\Desktop\forcemove.exe Supprimé : C:\Users\Dorian\Desktop\proxy.txt.txt Supprimé : C:\Users\Dorian\Desktop\search.txt Supprimé : C:\Users\Dorian\Desktop\Triangle.2011.TRUEFRENCH.720p.BluRay.AC3.x264_WwW.Movie-City.Org_.mkv Supprimé : C:\Users\Dorian\Desktop\ZHPDiag.txt Supprimé : C:\Users\Dorian\Desktop\ZHPFixReport.txt Supprimé : C:\Users\Dorian\Downloads\Kill.Bill.Volume.2.2004.1080p.FRENCH.mkv Supprimé : C:\Users\Dorian\Downloads\ZHPDiag2.exe Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk ~~~~~~ Registre ~~~~~~ Clé Supprimée : HKCU\Software\Ad-Remover Clé Supprimée : HKLM\SOFTWARE\AdwCleaner Clé Supprimée : HKLM\SOFTWARE\Swearware Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1 Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys ~~~~~~ Autres ~~~~~~ -> Prefetch Vidé ************************* DelFix[S1].txt - [2274 octets] - [24/10/2011 22:32:32] ########## EOF - C:\DelFix[S1].txt - [2398 octets] ##########
24 oct. 2011 à 14:47