Menu

PC plombé en profondeur. [Résolu]

Korihor 19 Messages postés vendredi 3 novembre 2017Date d'inscription 21 mars 2018 Dernière intervention - 3 nov. 2017 à 06:57 - Dernière réponse : Malekal_morte- 152730 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 22 juin 2018 Dernière intervention
- 4 nov. 2017 à 16:30
Bonjour,

Traînant mon vieux PC portable depuis un certain nombre d'années, et pourtant de nature prudente, je me trouve néanmoins aujourd'hui grevé d'un nombre inconnu de virus qui me rendent navigation et utilisation relativement désagréables.

Ayant fait quelques sommaires recherches, et devant les mises en garde contre la tentation de s'aventurer à guérir le mal en néophyte, je me tourne en conséquence vers la communauté, si celle-ci veut bien donner un peu de son temps pour un inconséquent.

Parmi mes charmants invités, j'ai pu voir souvent revenir certains noms tels que Virtumonde, Fraud.internet security 2011, Smitfraud-C ou encore Win32.onlinegames, mais il est sûr que d'autres se soient installés. Par quelles étapes devrions-nous commencer, chers maîtres?
Afficher la suite 

Votre réponse

9 réponses

Malekal_morte- 152730 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 22 juin 2018 Dernière intervention - Modifié par Malekal_morte- le 3/11/2017 à 09:18
0
Merci
Salut,

SmitFraud est un trojan de 2008 à 2011, ça fait belle lurette qu'il n'est plus distribué.
Je pense que tu utilises un logiciel de détection peu efficace du type Spybot.
Si c'est le cas, désinstalle le.

Commence par cette analyse :

Suis le tutoriel FRST. ( prends le temps de lire attentivement - tout y est bien expliqué ).

Télécharge et lance le scan FRST,
Attendre la fin du scan, un message indique que l'analyse est terminée.

Trois rapports FRST seront générés :
  • FRST.txt
  • Shortcut.txt
  • Additionnal.txt


Envoie ces 3 rapports sur le site https://pjjoint.malekal.com/ afin de les partager.
En retour donne les 3 liens pjjoint qui mènent aux rapports ici dans une nouvelle réponse afin que l'on puisse les consulter.


Veuillez appuyer sur une touche pour continuer la désinfection...
Commenter la réponse de Malekal_morte-
Korihor 19 Messages postés vendredi 3 novembre 2017Date d'inscription 21 mars 2018 Dernière intervention - 4 nov. 2017 à 10:46
Commenter la réponse de Korihor
Malekal_morte- 152730 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 22 juin 2018 Dernière intervention - 4 nov. 2017 à 11:02
0
Merci
rien tu as déjà Malwarebytes, c'est suffisant.
Pas l'air infecté sinon.


Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-856055359-951773376-2340710534-1000\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe [222496 2009-05-05] (Acresso Corporation)
HKU\S-1-5-21-856055359-951773376-2340710534-1000\...\Run: [SpybotSD TeaTimer] => C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe [2144088 2009-01-26] (Safer Networking Limited)
C:\Program Files (x86)\Spybot - Search & Destroy
C:\ProgramData\FLEXnet
S1 atundiwm; \??\C:\windows\system32\drivers\atundiwm.sys [X]
S1 avgpddqs; \??\C:\windows\system32\drivers\avgpddqs.sys [X]
S1 cifdgkim; \??\C:\windows\system32\drivers\cifdgkim.sys [X]
S1 ebalrdte; \??\C:\windows\system32\drivers\ebalrdte.sys [X]
S1 hzzhezve; \??\C:\windows\system32\drivers\hzzhezve.sys [X]
S1 iqbvkayc; \??\C:\windows\system32\drivers\iqbvkayc.sys [X]
S1 kyfisoqx; \??\C:\windows\system32\drivers\kyfisoqx.sys [X]
S1 mctorslk; \??\C:\windows\system32\drivers\mctorslk.sys [X]
S3 MGHwCtrl; \??\C:\Program Files\MSI\MSI Software Install\MGHwCtrl.sys [X]
S1 mjhtmzpd; \??\C:\windows\system32\drivers\mjhtmzpd.sys [X]
S1 ojrlhcqc; \??\C:\windows\system32\drivers\ojrlhcqc.sys [X]
S1 uzjqvwtf; \??\C:\windows\system32\drivers\uzjqvwtf.sys [X]
S3 xhunter1; \??\C:\windows\xhunter1.sys [X]
2017-11-04 10:36 - 2012-10-24 15:46 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
EmptyTemp:
RemoveProxy:
Reboot:


Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

Commenter la réponse de Malekal_morte-
Korihor 19 Messages postés vendredi 3 novembre 2017Date d'inscription 21 mars 2018 Dernière intervention - 4 nov. 2017 à 14:21
0
Merci
Je suis surpris que mon ordinateur ne vous semble pas infecté, camarade, quand bien même Spybot serait obsolète, il a bien détecté les fichiers portant ces noms tristement célèbres, ou bien ne fut-ce qu'une mystification?

Voici le rapport final:

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 02-11-2017
Exécuté par User (04-11-2017 14:06:43) Run:1
Exécuté depuis C:\Users\User\Desktop
Profils chargés: User (Profils disponibles: User)
Mode d'amorçage: Normal
==============================================

fixlist contenu:

CreateRestorePoint:
CloseProcesses:
HKU\S-1-5-21-856055359-951773376-2340710534-1000\...\Run: [ISUSPM] => C:\ProgramData\FLEXnet\Connect\11\ISUSPM.exe [222496 2009-05-05] (Acresso Corporation)
HKU\S-1-5-21-856055359-951773376-2340710534-1000\...\Run: [SpybotSD TeaTimer] => C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe [2144088 2009-01-26] (Safer Networking Limited)
C:\Program Files (x86)\Spybot - Search & Destroy
C:\ProgramData\FLEXnet
S1 atundiwm; \??\C:\windows\system32\drivers\atundiwm.sys [X]
S1 avgpddqs; \??\C:\windows\system32\drivers\avgpddqs.sys [X]
S1 cifdgkim; \??\C:\windows\system32\drivers\cifdgkim.sys [X]
S1 ebalrdte; \??\C:\windows\system32\drivers\ebalrdte.sys [X]
S1 hzzhezve; \??\C:\windows\system32\drivers\hzzhezve.sys [X]
S1 iqbvkayc; \??\C:\windows\system32\drivers\iqbvkayc.sys [X]
S1 kyfisoqx; \??\C:\windows\system32\drivers\kyfisoqx.sys [X]
S1 mctorslk; \??\C:\windows\system32\drivers\mctorslk.sys [X]
S3 MGHwCtrl; \??\C:\Program Files\MSI\MSI Software Install\MGHwCtrl.sys [X]
S1 mjhtmzpd; \??\C:\windows\system32\drivers\mjhtmzpd.sys [X]
S1 ojrlhcqc; \??\C:\windows\system32\drivers\ojrlhcqc.sys [X]
S1 uzjqvwtf; \??\C:\windows\system32\drivers\uzjqvwtf.sys [X]
S3 xhunter1; \??\C:\windows\xhunter1.sys [X]
2017-11-04 10:36 - 2012-10-24 15:46 - 000000000 ____D C:\ProgramData\Spybot - Search & Destroy
EmptyTemp:
RemoveProxy:
Reboot:


Le Point de restauration a été créé avec succès.
Processus fermé avec succès.
HKU\S-1-5-21-856055359-951773376-2340710534-1000\Software\Microsoft\Windows\CurrentVersion\Run\\ISUSPM => valeur supprimé(es) avec succès
HKU\S-1-5-21-856055359-951773376-2340710534-1000\Software\Microsoft\Windows\CurrentVersion\Run\\SpybotSD TeaTimer => valeur non trouvé(e).
C:\Program Files (x86)\Spybot - Search & Destroy => déplacé(es) avec succès

"C:\ProgramData\FLEXnet" dossier déplacer:

Impossible de déplacer "C:\ProgramData\FLEXnet" => Planifié pour déplacement au redémarrage.

HKLM\System\CurrentControlSet\Services\atundiwm => clé supprimé(es) avec succès
atundiwm => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\avgpddqs => clé supprimé(es) avec succès
avgpddqs => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\cifdgkim => clé supprimé(es) avec succès
cifdgkim => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\ebalrdte => clé supprimé(es) avec succès
ebalrdte => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\hzzhezve => clé supprimé(es) avec succès
hzzhezve => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\iqbvkayc => clé supprimé(es) avec succès
iqbvkayc => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\kyfisoqx => clé supprimé(es) avec succès
kyfisoqx => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\mctorslk => clé supprimé(es) avec succès
mctorslk => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\MGHwCtrl => clé supprimé(es) avec succès
MGHwCtrl => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\mjhtmzpd => clé supprimé(es) avec succès
mjhtmzpd => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\ojrlhcqc => clé supprimé(es) avec succès
ojrlhcqc => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\uzjqvwtf => clé supprimé(es) avec succès
uzjqvwtf => service supprimé(es) avec succès
HKLM\System\CurrentControlSet\Services\xhunter1 => clé supprimé(es) avec succès
xhunter1 => service supprimé(es) avec succès
C:\ProgramData\Spybot - Search & Destroy => déplacé(es) avec succès

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-856055359-951773376-2340710534-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-856055359-951773376-2340710534-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========


=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 43469500 B
Java, Flash, Steam htmlcache => 285582061 B
Windows/system/drivers => 4229836 B
Edge => 0 B
Chrome => 0 B
Firefox => 414714567 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 42337412 B
systemprofile32 => 3704432 B
LocalService => 16384 B
NetworkService => 80889626 B
User => 2437896 B

RecycleBin => 0 B
EmptyTemp: => 844.7 MB données temporaires supprimées.

================================

Résultats du déplacement planifié des fichiers (Mode d'amorçage: Normal) (Date&Heure: 04-11-2017 14:15:52)

C:\ProgramData\FLEXnet => a été déplacé(e) avec succès

Fin de Fixlog 14:15:52

Commenter la réponse de Korihor
Malekal_morte- 152730 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 22 juin 2018 Dernière intervention - 4 nov. 2017 à 14:29
0
Merci
Rien d'autre à faire, à priori.
Commenter la réponse de Malekal_morte-
Korihor 19 Messages postés vendredi 3 novembre 2017Date d'inscription 21 mars 2018 Dernière intervention - 4 nov. 2017 à 14:31
0
Merci
Que fais-je de tout ce petit monde sur mon bureau?
Malekal_morte- 152730 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 22 juin 2018 Dernière intervention - 4 nov. 2017 à 14:35
Tu peux tout supprimer.
Commenter la réponse de Korihor
Korihor 19 Messages postés vendredi 3 novembre 2017Date d'inscription 21 mars 2018 Dernière intervention - 4 nov. 2017 à 14:36
0
Merci
Bien. Merci de votre disponibilité, camarade.
Malekal_morte- 152730 Messages postés mercredi 17 mai 2006Date d'inscriptionModérateurStatut 22 juin 2018 Dernière intervention - 4 nov. 2017 à 16:30
de rien :)
Commenter la réponse de Korihor