Demande d'aide/ Rootkit détecté [Réglé] • page 2

[m33]

Re!

OTL se lance toujours et commence la correction, mais ne répond plus après quelques secondes. En revanche cette fois-ci on ne m'impose plus de redémarrage.
J'ai essayé deux fois et attendu de voir s'il répond, mais rien ne bouge. Il bloque toujours au même moment du process.

[guugues]

Le logiciel peut indiquer la mention "ne répond pas" mais tourne toujours en arrière plan : dans ce cas, il faut patienter.

Si vraiment ça ne veut pas, dis-le moi, on refera une analyse pour voir où on en est.

[m33]

OK. Je l'ai relancé en le laissant "ne pas répondre". Mais il a finalement fait planter le PC qui ne répondait plus du tout (à moins que ce soit normal?). A chaque fois, il a ouvert le rapport de la correction, qui n'est pas allé plus loin que celui que je t'ai envoyé.

Je retente encore sans réagir quand le PC ne répond plus?
Merci

[guugues]

Laisse tomber, on recommence une analyse :


OTL – Réanalyse :

• Ferme toutes les applications en cours, puis lance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Coche les cases Tous les utilisateurs, Recherche Lop et Recherche Purity.
• Coche également la case Avec liste blanche dans la catégorie Registre: approfondi.
• Si ton Windows est en 64 bit, la case Avec analyses 64 bit doit être cochée par défaut :

• Copie le contenu du cadre ci-dessous en cliquant sur Tout sélectionner, clique-droit sur la zone sélectionnée puis choisis Copier :

Code: Tout sélectionner

netsvcs
msconfig
safebootminimal
safebootnetwork
drivers32
activex
/md5start
afd.sys
atapi.sys
cdfs.sys
cdrom.sys
dfsc.sys
hdaudbus.sys
i8042prt.sys
ipnat.sys
ipsec.sys
mrxsmb.sys
netbt.sys
ntfs.sys
parport.sys
rasl2tp.sys
rdpdr.sys
smb.sys
sptd.sys
tcpip.sys
tdx.sys
volsnap.sys
cmd.exe
explorer.exe
services.exe
svchost.exe
userinit.exe
wininit.exe
winlogon.exe
kernel32.dll
rpcss.dll
user32.dll
/md5stop
%temp%\*.exe /s
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.*
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%SystemDrive%\$RECYCLE.BIN\* /s
%SystemDrive%\RECYCLER\* /s
%SystemRoot%\assembly\GAC\*.*
%SystemRoot%\assembly\GAC_32\*.*
%SystemRoot%\assembly\GAC_64\*.*
%LOCALAPPDATA%\*.
%LOCALAPPDATA%\*.*
%LOCALAPPDATA%\Google\Desktop\* /s
%ProgramFiles%\Google\Desktop\* /s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
%WINDIR%\pss\*.* /s
%systemroot%\System32\config\*.sav
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software
hkcu\software
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKLM\SOFTWARE\Microsoft\Internet Explorer\MAIN\FeatureControl|FEATURE_BROWSER_EMULATION /rs
HKEY_USERS\.DEFAULT\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\Main\FeatureControl|feature_enable_ie_compression /rs
nslookup www.google.fr /c
SAVEMBR:0
CREATERESTOREPOINT

• Puis colle-le sous la catégorie Personnalisation d’OTL.
• Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
• A la fin du scan, deux rapports s'ouvriront : OTL.txt et Extras.txt. Ceux-ci sont présents sur ton bureau.
• Joins ces 2 rapports dans ta prochaine réponse en suivant ce tutoriel.

----------------------------------------------

Sont donc attendus les 2 rapports de OTL.

[m33]

Re.
Les rapports d'analyse d'OTL.

[guugues]

Re !

Applique la procédure suivante :


OTL – Correction :

• Relance OTL.

Sous Windows Vista/Seven/8, clique droit sur OTL puis Exécuter en tant qu'administrateur

• Télécharge la pièce jointe suivante sur ton bureau :

Fix.txt

• Ouvre le fichier Fix.txt puis copie toutes les lignes qui sont dedans, de :OTL à [emptytemp].

• Colle ensuite les lignes précédemment copiées dans la catégorie Personnalisation d'OTL.

• Ferme toutes les applications en cours, y compris Internet.
• Puis clique sur le bouton Correction. Patiente.
• S'il t'est demandé de redémarrer le PC : accepte.
• Le rapport est sauvegardé ici : C:\_OTL\MovedFiles\ sous la forme date_heure.log.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

--------------------------------------------

Est attendu le rapport de OTL.

[m33]

Bonjour Guugues.

Je t'envoie le dernier rapport demandé d'OTL.

[guugues]

Hello !

Parfait ! On passe à la suite :


Malwarebytes Anti-Malware :

• Lance Malwarebytes.
• Pour changer la langue, clique sur Settings, dans General Settings, choisis French pour Language.
• Dans l'onglet Détection et protection, configure le logiciel comme ci-dessous :

• Dans l'onglet Examen, coche la case Examen « Menaces » :

• Clique alors sur Examiner maintenant :

• Mets alors le logiciel à jour en cliquant sur Mettre à jour maintenant :

• Le logiciel se met à jour et l'analyse commence. Cela peut prendre un certain temps.
• Laisse travailler l'outil sans l’interrompre, jusqu'à ce que l'analyse soit terminée.
• Si des menaces sont détectées, clique sur le bouton Tout mettre en quarantaine :

• Clique ensuite sur Exporter le journal puis sur Fichier texte (*.txt) :

• Attribue au fichier le nom de mbam puis clique sur Enregistrer.
• Le rapport est disponible ici : C:\mbam.txt.
• Si l'outil t'a demandé de redémarrer le PC, fais-le de suite.
• Joins le rapport dans ta prochaine réponse en suivant ce tutoriel.

---------------------------------------------------

Est attendu le rapport de MBAM.

[m33]

Ok c'est fait.
Il y avait encore quelques infections, beaucoup moins nombreuses. Je les ai placées en quarantaine.

[guugues]

Parfait ! Comment se comporte le PC désormais ?

On passe au contrôle des mises à jour des logiciels sensibles :


SX Check&Update :

• Télécharge SX Check&Update sur ton bureau.
• Si l'antivirus émet des alertes, désactive-le temporairement.
• Lance sxcu.exe.

Sous Windows Vista/Seven/8, clique droit sur sxcu.exe puis Exécuter en tant qu'administrateur

• Clique ensuite sur le bouton Rapport :

• Un rapport, du nom de rapport_SX.txt, s'ouvre automatiquement.
• Celui-ci est présent sur ton bureau.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

-------------------------------------------------------

Est attendu le rapport de SXCU.

[m33]

Bah écoute, le PC a l'air d'aller. Il démarre un peu plus rapidement, et il n'a pas encore planté aujourd'hui, ni fait d'écran bleu ou rose de la mort comme il a pu le faire lors d'anciennes infections.

[guugues]

Impeccable dans ce cas !


Aucun des logiciels sensibles n'est à jour sur ce PC. Pour info :

Adobe Flash Player, Adobe Reader ainsi que Java sont des logiciels qui présentent des failles de sécurité lorsqu'ils ne sont pas à jour, failles qui sont exploitées par des hackers pour véhiculer des infections graves.

Il faut donc les maintenir à jour très régulièrement.

Désinstalle les logiciels suivants via : Démarrer → Panneau de configuration → Programmes → Programmes et fonctionnalités :

• Adobe FlashPlayer 15 ActiveX (obsolète, constitue une faille de sécurité)
• Adobe FlashPlayer 15 Plugin FF(obsolète, constitue une faille de sécurité)
• Adobe FlashPlayer 15 Plugin (obsolète, constitue une faille de sécurité)
• Adobe Reader 9.5.5 MUI (obsolète, constitue une faille de sécurité)
• Java(TM) 6 Update 39 (64-bit) (obsolète, constitue une faille de sécurité)
• Java 7 Update 45 (obsolète, constitue une faille de sécurité)
• Opera 12.15 (obsolète, tu possèdes en plus la dernière version)

Puis :

• Lance Internet Explorer.
• Lance Mozilla Firefox.
• Lance Google Chrome.
• Lance Opera.
• Avec chacun des 4 navigateurs ouverts, télécharge et installe la dernière version de Adobe Flash Player via cette page.

Pense à décocher les cases pré-sélectionnées, comme ici avec McAfee Security Scan Plus :





Puis télécharge la dernière version de Adobe Reader via le site officiel.


Pense à décocher les cases pré-sélectionnées, comme ici avec McAfee Security Scan Plus :





Puis télécharge la dernière version de Java via le site officiel.


Pense à décocher les cases pré-sélectionnées, comme ici avec Ask :





Mets également à jour Mozilla Firefox en suivant ce tutoriel.
Mets aussi à jour Internet Explorer en téléchargeant les dernières mises à jour via Windows Update.


-------------------------------------------------------------------


Une fois tout ceci fait, applique la procédure suivante :


SFTGC – Nettoyage des fichiers temporaires :

• Télécharge SFTGC sur ton bureau.
• Lance SFTGC.exe.

Sous Windows Vista/Seven/8, clique droit sur SFTGC.exe puis Exécuter en tant qu'administrateur

• Le logiciel s'initialise puis s'ouvre.
• Clique alors sur le bouton Go pour supprimer les fichiers temporaires inutiles :

• Un rapport du nom de SFTGC.txt est alors créé sur ton bureau.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

-------------------------------------------------------------------

Est donc attendu le rapport de SFTGC.

[m33]

Je crois que j'ai pu tout mettre à jour.
Le rapport de SFTGC.

[guugues]

Impeccable !

Si tu n'as plus de soucis, on peut donc finaliser la procédure :


Purge de la restauration système / Suppression des outils de désinfection :

• Télécharge DelFix sur ton bureau.
• Lance Delfix.

Sous Windows Vista/Seven/8, clique droit sur DelFix puis Exécuter en tant qu'administrateur

• Coche la case Réactiver l'UAC (grisée sous Windows XP).
• Coche la case Supprimer les outils de désinfection.
• Coche la case Purger la restauration système.
• Coche la case Réinitialisation des paramètres système.
• Enfin, clique sur Exécuter :

• Le rapport est ici : C:\Delfix.txt.
• Joins ce rapport dans ta prochaine réponse en suivant ce tutoriel.

--------------------------------------

Est attendu le rapport de DelFix.


=====================================================================================================


La procédure de désinfection est désormais terminée. Je te remercie de l'avoir suivie jusqu'au bout.
Je t'invite maintenant à prendre connaissance des conseils de sécurité ci-dessous.


=====================================================================================================


¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Sécurisation du PC ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤



Tenir à jour Windows, les navigateurs et les programmes installés

• Prendre connaissance de ce tutoriel

Analyser régulièrement l'ordinateur

• Avec Malwarebytes Anti-Malware
• Avec ton Antivirus

Bloquer les publicités, potentiellement dangereuses

• AdBlockPlus pour Google Chrome
• AdBlockPlus pour Mozilla Firefox
• AdBlockPlus pour Internet Explorer
• AdBlockPlus pour Opera

Savoir si un site web possède une bonne ou mauvaise réputation

• Pour tous les navigateurs : Web Of Trust (WOT)

Éviter d'être de nouveau infecté

• Pourquoi et comment je me fais infecter
• Sécuriser son ordinateur et connaître les menaces
• Les toolbars, c'est pas obligatoire
• Dossier Prévention et Sécurité
• Comment éviter les Ransomware
• Module interactif : Principes essentiels de la sécurité informatique

Les pratiques à éviter

• Les dangers du Peer-to-Peer
• Le danger des cracks

Si tu as des questions, n'hésite pas !

[m33]

Voici le rapport final.

Je te remercie pour ton aide, qui m'a sûrement évité des plantages plus sévères. Pour partie, j'ai une petite idée des sites d'où viennent ces malwares. Je ferai donc plus attention et aussi un meilleur back-up via les analyses MBAM et les bonnes pratiques sécurité

Encore merci à toi pour ton temps et ta patience!