[résolu] Rapport pjjoint pour un copain

Aide à la désinfection pour supprimer les virus, adwares, ransomwares, trojans.

Modérateurs : Mods Windows, Helper

Répondre
Avatar de l’utilisateur
michte
Informaticien
Informaticien
Messages : 372
Inscription : 10 juil. 2007 20:32

[résolu] Rapport pjjoint pour un copain

Message par michte » 11 mars 2011 10:01

Salut à tous,

Si vous avez le temps de regarder ce rapport, il semble que le PC soit infecté :
O4 - HKLM\..\Run: [webHancer Agent] "C:\Program Files\webHancer\Programs\whAgent.exe"

http://pjjoint.malekal.com/files.php?id=33ded15db21015


C'est un très vieux PC avec moins de 512 Mo DE ram et si je pouvais le soulager un peu (un peu de place sur le DD) le DD est de 20Go et il doit rester à peine 700Mo !

Bref, c'est un petit coup de main avant changement de machine...

Merci,
Michte.
Dernière édition par michte le 17 mars 2011 16:02, édité 2 fois.


"La terre nous est prêtée par nos enfants"


Avatar de l’utilisateur
hackinginterdit
Geek à longue barbe
Geek à longue barbe
Messages : 2412
Inscription : 10 mai 2008 13:45
Localisation : NANCY
Contact :

Re: Rapport pjjoint pour un copain

Message par hackinginterdit » 11 mars 2011 14:51

Bonjour

Tu Supprimes Toolbar: Conduit Engine


Relance Hijackthis (clique droit -> lancer en tant qu'adminstrateur sous Vista), Image, coche ces lignes (si toujours présentes) :

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource= ... =CT1060933
R3 - URLSearchHook: Yahoo! Toolbar avec bloqueur de fenêtres pop-up - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files\ConduitEngine\prxConduitEngine.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
04 -HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Fichiers communs\Java\Java Update\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-18\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background (User 'Default user')

  • Ferme toutes les applications en cours (particulièrement ton navigateur Internet).
  • Puis Image
  • Cliquer ICI,descendre jusqu'à PureRa et cliquer sur Download Windows Binary pour télécharger le fichier (.zip) sur le Bureau.
  • Cliquer-droit sur le nouveau fichier => "Extraire ici".
  • Fermer toutes les fenêtres et applications ouvertes et double-cliquer sur PureRa.exe (Vista et Windows 7, cliquer-droit dessus => "Exécuter en tant qu'administrateur") Image

    puis cliquer sur Next.

    Image
  • Cocher la case 1 UNCheck All et cliquer sur le bouton 2 Clean

    Image

    Un rapport sera créé. Inutile de le poster sur le forum.

Ensuite fais ceci

Télécharge et installe Malwarebyte :
https://www.malekal.com/tutorial_Malware ... alware.php
Mets le à jour, fais un scan, supprime tout et poste le rapport ici.

Malekal_morte
Site Admin
Site Admin
Messages : 98028
Inscription : 10 sept. 2005 13:57
Contact :

Re: Rapport pjjoint pour un copain

Message par Malekal_morte » 11 mars 2011 17:41

Salut,

A faire aussi :

Télécharge ça : http://frades.perso.neuf.fr/transf/Uppl ... e-test.exe
Lance le.

Dans la fenêtre copie/colle ces chemins :
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\ray.exe

Clic sur envoyer les fichiers tout en bas à gauche.
Première règle élémentaire de sécurité : on réfléchit puis on clic et pas l'inverse - Les fichiers/programmes c'est comme les bonbons, quand ça vient d'un inconnu, on n'accepte pas

Sécuriser son ordinateur (version courte)

Tutoriels Logiciels - Tutoriel Windows - Windows 10

Stop publicités - popups intempestives
supprimer-trojan.com : guide de suppression de malwares

Partagez malekal.com : n'hésitez pas à partager sur Facebook et GooglePlus les articles qui vous plaisent.

Avatar de l’utilisateur
michte
Informaticien
Informaticien
Messages : 372
Inscription : 10 juil. 2007 20:32

Re: Rapport pjjoint pour un copain

Message par michte » 11 mars 2011 19:54

OK merci, je vais faire comme ça dans cet ordre PDT_003

Mais par contre cet après-midi j'y suis retourné pour voir si j'arrivai à retrouver des marques pages de FF dans le profil, après une réinstall car son FF était bourré de toolbars et pleins de trucs qui empêchait d'accéder au boutons et de fermer FF, etc (j'en avais laissé avec HJT ici)

Connexion normale, FF est au poil (sans les marques pages...) ensuite je décide de passer MBAM "pour voir" (sans rien enlever) et à un moment, plus de connexion Internet, mon pote est un peu dégoutté, je n'ai pourtant rien fait d'autre qu'un scan et récupéré le log (en pièce jointe)

Du coup j'ai l'impression que les Winsocks LSPs en ont pris un coup, mais comment PDT_013
J'ai vu ça qui pourrait m'aider à retrouver sa connexion...
http://assiste.com.free.fr/p/comment/co ... _lsps.html
LSPFix.exe

C'est une belle infection ce "webHancer"
le spyware intégré (ou interne) est une simple routine incluse dans le code d'un programme ayant une fonction propre pour lui donner en plus la possibilité de collecter et de transmettre via internet des informations sur ses utilisateurs. Les logiciels concernés sont par exemple Gator, New.net, SaveNow, TopText, Alexa ou Webhancer ainsi que la totalité des mouchards. Le spyware et le programme associé ne font qu'un et s'installent donc simultanément sur l'ordinateur de l'utilisateur ;
http://www.secuser.com/dossiers/spyware ... alites.htm

Je me demande avec quel logiciel il est venu pour mettre la pagaille dans les connexions (si c'est lui)

A plus PDT_019
Pièces jointes
mbam-log-2011-03-11 (15-35-25).zip
(963 octets) Téléchargé 8 fois
"La terre nous est prêtée par nos enfants"

Avatar de l’utilisateur
hackinginterdit
Geek à longue barbe
Geek à longue barbe
Messages : 2412
Inscription : 10 mai 2008 13:45
Localisation : NANCY
Contact :

Re: Rapport pjjoint pour un copain

Message par hackinginterdit » 12 mars 2011 08:11

Bonjour

Tu as fait ce que Malekal a demandé ?
je n'ai pourtant rien fait d'autre qu'un scan et récupéré le log
je vois bien "No action taken "
Relance MBAM et a la fin tu fais supprimer la selection .


Avatar de l’utilisateur
michte
Informaticien
Informaticien
Messages : 372
Inscription : 10 juil. 2007 20:32

Re: Rapport pjjoint pour un copain

Message par michte » 12 mars 2011 09:30

Non j'y retourne peut-être cet après-midi (le copain commence à douter) je ferai la manip entièrement pas de problème.

En fait pour l'instant le pote qui n'y connait pas grand chose, voit qu'il n'a plus de connexion et il se demande si je suis vraiment capable de résoudre son problème, moi j'ai la pression.

Mais j'y retourne cet après-midi.
Je vous tiens au courant.
"La terre nous est prêtée par nos enfants"

Avatar de l’utilisateur
michte
Informaticien
Informaticien
Messages : 372
Inscription : 10 juil. 2007 20:32

Re: Rapport pjjoint pour un copain

Message par michte » 12 mars 2011 19:03

Bon c'est pas très bon :
1) J'ai enlevé la Toolbar Conduit Engine.
2) J'ai fixé toutes lignes restantes qui m'ont été indiquées avec HJT.
3) Passé PureRa (on est passé de moins de 700Mo dispo à plus d'1.80Go)
4) Passé MBAM et supprimé tout ce qui était proposé (pièce jointe)
5) Impossible d'envoyer le rapport d'Uppload-file-test, car la FreeBox ne peut plus se synchroniser (plus de TV, Tel, Internet)
6) J'ai fait un essai avec le CD live "readytogo" pour voir si j'arrivai à me connecter, mais rien.
7) la FreeBox est en connexion Wifi, j'ai essayé plusieurs fois de débrancher et de rebrancher pour la faire "repartir" mais rien que le "chenillard" qui tourne sans arrêt à la recherche d'une synchro.

Là, je ne vois plus que la HotLine...
Pièces jointes
mbam-log-2011-03-12 (15-49-53).zip
(981 octets) Téléchargé 7 fois
"La terre nous est prêtée par nos enfants"

Avatar de l’utilisateur
hackinginterdit
Geek à longue barbe
Geek à longue barbe
Messages : 2412
Inscription : 10 mai 2008 13:45
Localisation : NANCY
Contact :

Re: Rapport pjjoint pour un copain

Message par hackinginterdit » 12 mars 2011 21:00

Re
j'ai essayé plusieurs fois de débrancher et de rebrancher pour la faire "repartir" mais rien que le "chenillard" qui tourne sans arrêt à la recherche d'une synchro.
Je pense plus a un problème avec free, ce ne sont pas les manipulations que tu as effectuées qui ont pu provoqué çà !
Tu as essayer un hard reboot ! La box est branchée sur une prise électrique ou sur une multiprise ?
Sur la prise téléphone il n'y a pas de condensateur a l'intérieur?
Voir aussi si des voisins proches ont free et leur demander s'ils n'ont pas de problème !

Avatar de l’utilisateur
michte
Informaticien
Informaticien
Messages : 372
Inscription : 10 juil. 2007 20:32

Re: Rapport pjjoint pour un copain

Message par michte » 17 mars 2011 15:42

Salut,
La box est branchée sur une prise électrique ou sur une multiprise ?
Sur une multiprise.
Sur la prise téléphone il n'y a pas de condensateur a l'intérieur?
j'ai pas regardé en fait...
http://www.dslvalley.com/dossiers/conde ... sateur.php
Tu as essayer un hard reboot
J'ai inversé les côtés des bouts de câble Ethernet (en fait la box est relié par câble et le wifi c'est pour la télé) j'ai débranché la box électriquement puis rebranché (5fois de suite) après j'avais pas de doc ni tout les papiers (code etc) du FAI...

Aux nouvelles !
Un pote est passé chez lui et a confirmé qu'il-y-avait des problèmes en ce moment, il a embarqué la box pour l'emmener chez lui pour voir...

Donc tout est OK maintenant, je verrai si il veut gagner de la place (taille poubelle, taille restauration système, logiciels inutiles...) et optimiser un peu (effets visuels, démarrage)
Je verrai pour le rapport avec le programme de Malekal dans ce cas...

Merci pour le coup de main PDT_003
Dernière édition par michte le 17 mars 2011 15:59, édité 2 fois.
"La terre nous est prêtée par nos enfants"

Avatar de l’utilisateur
hackinginterdit
Geek à longue barbe
Geek à longue barbe
Messages : 2412
Inscription : 10 mai 2008 13:45
Localisation : NANCY
Contact :

Re: [OK] Rapport pjjoint pour un copain

Message par hackinginterdit » 17 mars 2011 15:48

Bonjour

Ok ça roule on peut passer en résolu alors ? PDT_003

Avatar de l’utilisateur
michte
Informaticien
Informaticien
Messages : 372
Inscription : 10 juil. 2007 20:32

Re: [OK] Rapport pjjoint pour un copain

Message par michte » 17 mars 2011 15:52

Oui pour moi c'est bon, c'est un autre problème maintenant et je n'en suis pas la cause.
J'ai mis "OK" mais je peux mettre [résolu] si tu préfère..
"La terre nous est prêtée par nos enfants"

Avatar de l’utilisateur
hackinginterdit
Geek à longue barbe
Geek à longue barbe
Messages : 2412
Inscription : 10 mai 2008 13:45
Localisation : NANCY
Contact :

Re: [résolu] Rapport pjjoint pour un copain

Message par hackinginterdit » 17 mars 2011 16:06

Non c'est bon

Bon courage pour la suite et bonne fin de journée


Répondre

Revenir vers « VIRUS : Supprimer/Desinfecter (Trojan, Adwares, Ransomwares, Backdoor, Spywares) »