Sujet Précédent Sujet Suivant

PC plombé en profondeur.

Résolu/Fermé
Korihor Messages postés 19 Date d'inscription vendredi 3 novembre 2017 Statut Membre Dernière intervention 21 mars 2018 - 3 nov. 2017 à 06:57
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 4 nov. 2017 à 16:30
Bonjour,

Traînant mon vieux PC portable depuis un certain nombre d'années, et pourtant de nature prudente, je me trouve néanmoins aujourd'hui grevé d'un nombre inconnu de virus qui me rendent navigation et utilisation relativement désagréables.

Ayant fait quelques sommaires recherches, et devant les mises en garde contre la tentation de s'aventurer à guérir le mal en néophyte, je me tourne en conséquence vers la communauté, si celle-ci veut bien donner un peu de son temps pour un inconséquent.

Parmi mes charmants invités, j'ai pu voir souvent revenir certains noms tels que Virtumonde, Fraud.internet security 2011, Smitfraud-C ou encore Win32.onlinegames, mais il est sûr que d'autres se soient installés. Par quelles étapes devrions-nous commencer, chers maîtres?
A voir également:

7 réponses

Réponse 1 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
Modifié le 3 nov. 2017 à 09:18
Salut,

SmitFraud est un trojan de 2008 à 2011, ça fait belle lurette qu'il n'est plus distribué.
Je pense que tu utilises un logiciel de détection peu efficace du type Spybot.
Si c'est le cas, désinstalle le.

Commence par cette analyse :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Veuillez appuyer sur une touche pour continuer la désinfection...
0
Réponse 2 / 7
Korihor Messages postés 19 Date d'inscription vendredi 3 novembre 2017 Statut Membre Dernière intervention 21 mars 2018
4 nov. 2017 à 10:46
Ciao bello,

Exit Spybot, que me conseilleriez-vous pour combler le vide de son absence?

Voici les liens, btw:

https://pjjoint.malekal.com/files.php?id=FRST_20171104_i7d6r12b5z14

https://pjjoint.malekal.com/files.php?id=20171104_y10j11s8f12p9

https://pjjoint.malekal.com/files.php?id=20171104_o9o14s14i7y14
0
Réponse 3 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
4 nov. 2017 à 11:02
rien tu as déjà Malwarebytes, c'est suffisant.
Pas l'air infecté sinon.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit : 

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-856055359-951773376-2340710534-1000\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe [222496 2009-05-05] (Acresso Corporation)
HKU\S-1-5-21-856055359-951773376-2340710534-1000\...\Run: [SpybotSD TeaTimer] => C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe [2144088 2009-01-26] (Safer Networking Limited)
C:\Program Files (x86)\Spybot - Search & Destroy
C:\ProgramData\FLEXnet
S1 atundiwm; \??\C:\windows\system32\drivers\atundiwm.sys [X]
S1 avgpddqs; \??\C:\windows\system32\drivers\avgpddqs.sys [X]
S1 cifdgkim; \??\C:\windows\system32\drivers\cifdgkim.sys [X]
S1 ebalrdte; \??\C:\windows\system32\drivers\ebalrdte.sys [X]
S1 hzzhezve; \??\C:\windows\system32\drivers\hzzhezve.sys [X]
S1 iqbvkayc; \??\C:\windows\system32\drivers\iqbvkayc.sys [X]
S1 kyfisoqx; \??\C:\windows\system32\drivers\kyfisoqx.sys [X]
S1 mctorslk; \??\C:\windows\system32\drivers\mctorslk.sys [X]
S3 MGHwCtrl; \??\C:\Program Files\MSI\MSI Software Install\MGHwCtrl.sys [X]
S1 mjhtmzpd; \??\C:\windows\system32\drivers\mjhtmzpd.sys [X]
S1 ojrlhcqc; \??\C:\windows\system32\drivers\ojrlhcqc.sys [X]
S1 uzjqvwtf; \??\C:\windows\system32\drivers\uzjqvwtf.sys [X]
S3 xhunter1; \??\C:\windows\xhunter1.sys [X]
2017-11-04 10:36 - 2012-10-24 15:46 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

0
Réponse 4 / 7
Korihor Messages postés 19 Date d'inscription vendredi 3 novembre 2017 Statut Membre Dernière intervention 21 mars 2018
4 nov. 2017 à 14:21
Je suis surpris que mon ordinateur ne vous semble pas infecté, camarade, quand bien même Spybot serait obsolète, il a bien détecté les fichiers portant ces noms tristement célèbres, ou bien ne fut-ce qu'une mystification?

Voici le rapport final:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02-11-2017
Exécuté par User (04-11-2017 14:06:43) Run:1
Exécuté depuis C:\Users\User\Desktop
Profils chargés: User (Profils disponibles: User)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-856055359-951773376-2340710534-1000\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe [222496 2009-05-05] (Acresso Corporation)
HKU\S-1-5-21-856055359-951773376-2340710534-1000\...\Run: [SpybotSD TeaTimer] => C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe [2144088 2009-01-26] (Safer Networking Limited)
C:\Program Files (x86)\Spybot - Search & Destroy
C:\ProgramData\FLEXnet
S1 atundiwm; \??\C:\windows\system32\drivers\atundiwm.sys [X]
S1 avgpddqs; \??\C:\windows\system32\drivers\avgpddqs.sys [X]
S1 cifdgkim; \??\C:\windows\system32\drivers\cifdgkim.sys [X]
S1 ebalrdte; \??\C:\windows\system32\drivers\ebalrdte.sys [X]
S1 hzzhezve; \??\C:\windows\system32\drivers\hzzhezve.sys [X]
S1 iqbvkayc; \??\C:\windows\system32\drivers\iqbvkayc.sys [X]
S1 kyfisoqx; \??\C:\windows\system32\drivers\kyfisoqx.sys [X]
S1 mctorslk; \??\C:\windows\system32\drivers\mctorslk.sys [X]
S3 MGHwCtrl; \??\C:\Program Files\MSI\MSI Software Install\MGHwCtrl.sys [X]
S1 mjhtmzpd; \??\C:\windows\system32\drivers\mjhtmzpd.sys [X]
S1 ojrlhcqc; \??\C:\windows\system32\drivers\ojrlhcqc.sys [X]
S1 uzjqvwtf; \??\C:\windows\system32\drivers\uzjqvwtf.sys [X]
S3 xhunter1; \??\C:\windows\xhunter1.sys [X]
2017-11-04 10:36 - 2012-10-24 15:46 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-856055359-951773376-2340710534-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ISUSPM => valeur supprimé(es) avec succès
HKU\S-1-5-21-856055359-951773376-2340710534-1000\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer => valeur non trouvé(e).
C:\Program Files (x86)\Spybot - Search & Destroy => déplacé(es) avec succès

"C:\ProgramData\FLEXnet" dossier déplacer:

Impossible de déplacer "C:\ProgramData\FLEXnet" => Planifié pour déplacement au redémarrage.

HKLM\System\CurrentControlSet\Services\atundiwm => clé supprimé(es) avec succès
atundiwm => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\avgpddqs => clé supprimé(es) avec succès
avgpddqs => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\cifdgkim => clé supprimé(es) avec succès
cifdgkim => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\ebalrdte => clé supprimé(es) avec succès
ebalrdte => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\hzzhezve => clé supprimé(es) avec succès
hzzhezve => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\iqbvkayc => clé supprimé(es) avec succès
iqbvkayc => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\kyfisoqx => clé supprimé(es) avec succès
kyfisoqx => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\mctorslk => clé supprimé(es) avec succès
mctorslk => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\MGHwCtrl => clé supprimé(es) avec succès
MGHwCtrl => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\mjhtmzpd => clé supprimé(es) avec succès
mjhtmzpd => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\ojrlhcqc => clé supprimé(es) avec succès
ojrlhcqc => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\uzjqvwtf => clé supprimé(es) avec succès
uzjqvwtf => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\xhunter1 => clé supprimé(es) avec succès
xhunter1 => service supprimé(es) avec succès
C:\ProgramData\Spybot - Search & Destroy => déplacé(es) avec succès

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-856055359-951773376-2340710534-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-856055359-951773376-2340710534-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 43469500 B
Java, Flash, Steam htmlcache => 285582061 B
Windows/system/drivers => 4229836 B
Edge => 0 B
Chrome => 0 B
Firefox => 414714567 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 42337412 B
systemprofile32 => 3704432 B
LocalService => 16384 B
NetworkService => 80889626 B
User => 2437896 B

RecycleBin => 0 B
EmptyTemp: => 844.7 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 04-11-2017 14:15:52)

C:\ProgramData\FLEXnet => a été déplacé(e) avec succès

Fin de Fixlog 14:15:52

0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 7
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
4 nov. 2017 à 14:29
Rien d'autre à faire, à priori.
0
Réponse 6 / 7
Korihor Messages postés 19 Date d'inscription vendredi 3 novembre 2017 Statut Membre Dernière intervention 21 mars 2018
4 nov. 2017 à 14:31
Que fais-je de tout ce petit monde sur mon bureau?
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
4 nov. 2017 à 14:35
Tu peux tout supprimer.
0
Réponse 7 / 7
Korihor Messages postés 19 Date d'inscription vendredi 3 novembre 2017 Statut Membre Dernière intervention 21 mars 2018
4 nov. 2017 à 14:36
Bien. Merci de votre disponibilité, camarade.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 628
4 nov. 2017 à 16:30
de rien :)
0