Machine infectée

[mau13]

Bonjour,
J’ai besoin d’aide pour désinfecter cette machine.
Ci-joint les rapports d’RSIT et de combofix.
Merci par avance.
-----

[invitec04351b8]

Bonjour,

tu peux en dire plus sur les symptômes que tu constates ?

===

Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier : C:\uv2.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse.

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant

===

Tu recommences avec C:\shc32.exe

===

Si tu trouves le fichier C:\WINDOWS\system32\drivers\di sdn\svchost.exe tu l'analyses aussi.

@+

[mau13]

tu peux en dire plus sur les symptômes que tu constates ?

===

Rien de bien visible...
Tout ce que je peux dire c'est que la première fois que j'ai lancer un scan sur Avira il y avait plus de 400 résultats positifs.

Rends toi sur ce site :

http://www.virustotal.com/

Clique sur parcourir et cherche ce fichier : C:\uv2.exe

Clique sur Send File.

Ci-joint le scan sur le fichier shc32.exe et le rapport sous MBAM.

Merci.

[invitec04351b8]

Re,

supprime (si il veut bien) C:\shc32.exe par clic droit et Supprimer.

Vide ta Corbeille.

Il manque 1 voir 2 rapports VirusTotal (C:\uv2.exe et

C:\WINDOWS\system32\drivers\di sdn\svchost.exe )

@+

[A voir en vidéo sur Futura]

[mau13]

Re,

supprime (si il veut bien) C:\shc32.exe par clic droit et Supprimer.

Vide ta Corbeille.

Ok,

Il manque 1 voir 2 rapports VirusTotal (C:\uv2.exe et

C:\WINDOWS\system32\drivers\di sdn\svchost.exe )

@+

Je ne les trouve pas, ils sont peut être passer à la trappe lors du scan de MBAM.

La machine est clean ?

[invitec04351b8]

Re,

pour voir si tout est clean,

Télécharge ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

Double clique sur le raccourci ZHPDiag sur ton Bureau.

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

A la fin de l'analyse, clique sur l'appareil photo et enregistre le rapport sur ton Bureau.

Ouvre le fichier sauvegardé (ZHPDiag.txt) avec le Bloc-Notes et copie son contenu dans ta réponse en pièce-jointe.

@+

[mau13]

Voila : Rapport ZHPDiag.txt
En tout cas MBAM ne détecte plus rien.

[invitec04351b8]

Re,

mets à jour Internet Explorer (même si tu ne t'en sers pas, c'est une faille de sécurité).

2 restes.

Copie dans le Presse-papier les lignes ci-dessous (sélectionne les avec la souris et fais simultanément Ctrl et C)

Code:

[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\NetworkCrawler\Objects\WorkgroupCrawler]
[HKLM\Software\Classes\CLSID\{72B3882F-453A-4633-AAC9-8C3DCED62AFF}]

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista et W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

@+

[mau13]

Rapport de ZHPFix 1.12.3316 par Nicolas Coolman, Update du 16/06/2011
Fichier d'export Registre :
Run by acer at 17/06/2011 22:56:14
Windows XP Professional Service Pack 3 (Build 2600)
Web site : http://www.premiumorange.com/zeb-hel...ss/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKLM\SOFTWARE\Microsoft\Window s\CurrentVersion\Explorer\Netw orkCrawler\Objects\WorkgroupCr awler
SUPPRIME Key: HKLM\Software\Classes\CLSID\{7 2B3882F-453A-4633-AAC9-8C3DCED62AFF}


========== Récapitulatif ==========
2 : Clé(s) du Registre


========== Chemin du fichier rapport ==========
C:\Program Files\ZHPDiag\ZHPFixReport.txt


End of the scan.

Merci.

[invitec04351b8]

Re,

si tu as mis à jour Internet Explorer, fais redémarrer l'ordi, relance ZHPDiag et poste le rapport dans ta réponse.

@+

[mau13]

C'est fait.
Rapport ZHPDiag.txt

[invitec04351b8]

Re,

tout ça est très bien.

On en termine :

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

@+

[mau13]

Re,

Re,

tout ça est très bien.

On en termine :

Pour Xp : Double clique sur l'icône ZHPFix.exe sur ton Bureau.

Pour Vista : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique sur le A rouge (Nettoyeur de Tools).

Clique sur Nettoyer.

Fais redémarrer l'ordi pour terminer le nettoyage.

@+

C'est fait

Juste une question, quel genre d’infections engendre obligatoirement un formatage de la machine.

A+

[invitec04351b8]

Bonjour,

parfait.

Le seul cas où le formatage est la seule solution est celui où on n'arrive pas à éradiquer l'infection.

Cela peut se produire avec des Files infectors (comme Virut) si de nombreux fichiers sont touchés (la machine se réinfecte dès qu'elle fonctionne donc y compris pendant le scan d'un antivirus adapté).

Certains forums le conseillent dès que le malware a établi des relations avec un serveur extérieur et lui transmet des informations.

Avoir une sauvegarde de ses données persos sur un autre support (DD externe dédié) rend l'opération plus simple (le point le plus couteux est la réinstallation des logiciels).

@+

[mau13]

Est-ce que les infections touchent (généralement) les fichiers Microsoft office et multimédias ?

Avoir une sauvegarde de ses données persos sur un autre support (DD externe dédié) rend l'opération plus simple (le point le plus couteux est la réinstallation des logiciels).

@+

Faire le transfert à posteriori (à l’infection) peut être judicieux?

Bonne soirée.

[invitec04351b8]

Bonjour,

non, les infections, en général, ne ciblent pas les fichiers de Office ou les multimédias.

Par contre, une sauvegarde à partir d'un ordi désinfecté est une "bonne" idée.

@+

[mau13]

Merci pour l'aide.

[invitec04351b8]

Bonjour,

de rien pour l'aide, ce fut avec plaisir.

@+