Trojan et infection USB, connexion à internet laborieuse

[sib]

Bonjour,

Mon PC a été infecté par le biais d'une clé USB en février dernier. J'ai essayé de le désinfecter avec Usbfix, dont voici le rapport:
http://pjjoint.malekal.com/files.php?id ... p10b15b5h7

Ne sachant pas vraiment si le problème avait été entièrement résolu, dans le doute je n'utilise toujours pas les différents périphériques qui ont potentiellement été contaminés.

Il se trouve que j'ai changé de lieu de vie et donc d'accès à internet. Le routeur est assez mauvais, c'est-à-dire que le réseau est très fluctuant, mais de l'ensemble des ordinateurs qui se connectent à ce routeur, le mien est celui qui a le plus de mal. Les messages qui m'apparaissent sont "problème de serveur DNS" (DNS_PROBE_FINISH_NO_INTERNET) ou parfois "conflit d'adresse IP" ou "aucune connexion internet" alors que le PC ou téléphone portable voisin a accès à internet. Je déconnecte et reconnecte l'antenne WiFi de mon ordi et redémarre le routeur plusieurs fois par jour.

De plus depuis quelques semaines j'ai un message d'erreur qui s'affiche à chaque fois que je démarre mon PC : Can not find script file "C:\Users\Sibylle\AppData\Roaming\irimg\kmhwodd.js"

J'ai donc suivi les conseils de la page "Comment vérifier si mon ordinateur a été hacké ou piraté"

J'ai fait un smart scan avec Avast (le scan complet était très long à démarrer). Il n'a rien trouvé à part un mot de passe trop simple pour le routeur.
Puis j'ai lancé un scan en ligne avec NOD32 dont voici le rapport:
http://pjjoint.malekal.com/files.php?id ... 5w5z14x116
où on voit un Trojan, au moins dans la quarantaine de USBFix. J'ai fait nettoyer tous les éléments trouvés.

Puis j'ai fait un scan FRST, dont voici les rapports:
FRST http://pjjoint.malekal.com/files.php?id ... z5m11o12q7
Addition http://pjjoint.malekal.com/files.php?id ... g15e11i8l7
Shortcut http://pjjoint.malekal.com/files.php?id ... 13u5x13c14

Reste-t-il des éléments à nettoyer?

Merci d'avance!!

[Malekal_morte]

Salut,

Le lien FRST ne semble pas fonctionnel, tu peux le renvoyer stp.
Pour tes problèmes de connexions, ce serait déjà bien de tester en désinstallant Comodo et Avast!, si pas mieux.

[sib]

http://pjjoint.malekal.com/files.php?id ... 13l6s14b13
Voilà pour le lien
Ok j'ai désactivé Comodo et Avast et je vais voir ce que ça donne.
Merci!

[Malekal_morte]

Je parle bien de désinstaller Avast!, pas le désactiver.
Sinon l'ordi est infecté :

Voici la correction à effectuer avec FRST. Tu peux t'aider de cette note explicative avec des captures d'écran.

Ouvre le bloc-notes : Touche Windows + R,
Dans le champs "Exécuter", saisir notepad et OK.
Copie/Colle dedans ce qui suit :

Code : Tout sélectionner

CloseProcesses:
Startup: C:\Users\Sibylle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk [2017-03-11]
ShortcutTarget: Start.lnk -> C:\Users\Sibylle\AppData\Roaming\irimg\sdeptobcd32.exe (Microsoft Corporation)
 C:\Users\Sibylle\AppData\Roaming\irimg
 Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk [2017-02-17]  
 ShortcutTarget: Start.lnk -> C:\Users\Sibylle\AppData\Roaming\irimg\mqantnu.exe (Pas de fichier)  
 HKLM-x32\...\Run: [ROC_roc_ssl_v12] => C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe / /PROMPT /CMPID=roc_ssl_v12  
C:\Program Files (x86)\AVG Secure Search
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:

Une fois, le texte collé dans le Bloc-notes,
Menu "Fichier" puis "Enregistrer sous",
A gauche, place toi sur le Bureau,
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clique sur "Enregistrer", cela va créer fixlist.txt sur le Bureau.

Relance FRST et clique sur le bouton "Corriger / Fix"
Un redémarrage sera peut-être nécessaire ( pas obligatoire )
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.

Redémarre l'ordinateur.

[sib]

Ok j'ai fait ça, et FRST s'est arrêté avant la fin, une fenêtre est apparue disant qu'un programme l'empêchait de fonctionner.
Mais cela a quand même généré un ficher texte, copié ci dessous.
Je désinstalle Avast! et redémarre.

Résultats de correction de Farbar Recovery Scan Tool (x64) Version: 24-05-2017
Exécuté par Sibylle (26-05-2017 17:30:37) Run:1
Exécuté depuis C:\Users\Sibylle\Desktop
Profils chargés: UpdatusUser & Sibylle (Profils disponibles: UpdatusUser & Sibylle)
Mode d'amorçage: Normal
==============================================

fixlist contenu:
*****************
CloseProcesses:
Startup: C:\Users\Sibylle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk [2017-03-11]
ShortcutTarget: Start.lnk -> C:\Users\Sibylle\AppData\Roaming\irimg\sdeptobcd32.exe (Microsoft Corporation)
C:\Users\Sibylle\AppData\Roaming\irimg
Startup: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk [2017-02-17]
ShortcutTarget: Start.lnk -> C:\Users\Sibylle\AppData\Roaming\irimg\mqantnu.exe (Pas de fichier)
HKLM-x32\...\Run: [ROC_roc_ssl_v12] => C:\Program Files (x86)\AVG Secure Search\ROC_roc_ssl_v12.exe / /PROMPT /CMPID=roc_ssl_v12
C:\Program Files (x86)\AVG Secure Search
EmptyTemp:
RemoveProxy:
CreateRestorePoint:
Reboot:
*****************

Processus fermé avec succès.
C:\Users\Sibylle\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk => déplacé(es) avec succès
C:\Users\Sibylle\AppData\Roaming\irimg\sdeptobcd32.exe => déplacé(es) avec succès
C:\Users\Sibylle\AppData\Roaming\irimg => déplacé(es) avec succès
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Start.lnk => déplacé(es) avec succès
C:\Users\Sibylle\AppData\Roaming\irimg\mqantnu.exe => non trouvé(e).
HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Run\\ROC_roc_ssl_v12 => valeur supprimé(es) avec succès
"C:\Program Files (x86)\AVG Secure Search" => non trouvé(e).

========= RemoveProxy: =========

HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-692234258-2113437934-355910713-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings => valeur supprimé(es) avec succès
HKU\S-1-5-21-692234258-2113437934-355910713-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings => valeur supprimé(es) avec succès


========= Fin de RemoveProxy: =========

Le Point de restauration a été créé avec succès.

=========== EmptyTemp: ==========

BITS transfer queue => 8388608 B
DOMStore, IE Recovery, AppCache, Feeds Cache, Thumbcache, IconCache => 19142107 B
Java, Flash, Steam htmlcache => 616 B
Windows/system/drivers => 170162565 B
Edge => 0 B
Chrome => 530529880 B
Firefox => 0 B
Opera => 0 B

Temp, IE cache, history, cookies, recent:
Users => 0 B
Default => 0 B
Public => 0 B
ProgramData => 0 B
systemprofile => 46745420 B
systemprofile32 => 66228 B
LocalService => 0 B
NetworkService => 0 B
UpdatusUser => 0 B

[sib]

Avast désinstallé, et au redémarrage je n'ai pas eu le message d'erreur que j'avais habituellement!

[Malekal_morte]

Tiens nous au jus =)

[sib]

Ok !
Juste une question, comment je peux savoir si ma clé USB et autres ports sont libres d'infection?
Je relance USBFix avec les périphériques connectés pour vérifier?
En tout cas merci pour ton aide, ta réactivité et tous les articles qui sont super pédagogiques =)

[Malekal_morte]

transfère les données et formate la.
Refais un scan FRST et donne à nouveau les rapports, je te dirai ce que cela donne.

[sib]

Voilà (2 clés usb formatées):
FRST http://pjjoint.malekal.com/files.php?id ... 1i15d14f12
Addition http://pjjoint.malekal.com/files.php?id ... 1q8n6n6m10
Shortcut http://pjjoint.malekal.com/files.php?id ... 9h6o13i7q5

[Malekal_morte]

C'est niquel =)

[sib]

Super, merci beaucoup!! =) =)