Security-X
Forum Security-X => Désinfections => Discussion démarrée par: hatton le octobre 10, 2012, 19:39:30
-
Bonjour à tous !
Voila j'ai un problème avec un certain trojan hellomoto (gendarmerie nationale etc...), que je n’arrive tout simplement pas à supprimer. J'ai déjà essayer de la supprimer à la source ou avec malwarebytes, mais il revient toujours....
J'ai un peut parcouru les autre sujets du coup : j'ai téléchargé et transféré sur le pc infecté le logiciel OTL et maintenant je voudrais connaitre le script pour tout démarrer et régler le problème.
Merci d'avance.
-
Bonsoir hatton,
Bienvenu sur Security-X
Nous allons regarder cela ensemble ;)
Télécharge OTL (http://oldtimer.geekstogo.com/OTL.exe) (de Old Timer) sur ton bureau.
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur") - Coche en haut la case devant "Tous les utilisateurs"
- Sous Personnalisation, copie-colle l'ensemble du texte ci-dessous, laisse les autres options par défaut.
netsvcs
msconfig
activex
/md5start
explorer.exe
wininit.exe
winlogon.exe
userinit.exe
kernel32.dll
services.exe
/md5stop
%SYSTEMDRIVE%\*.exe
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\syswow64\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\syswow64\drivers\*.sys /lockedfiles
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT
- Clique sur le bouton Analyse en haut à gauche puis patiente quelques instants.
- A la fin du scan, deux rapports s'ouvriront OTL.Txt et Extras.Txt.
- Pour les rapports, merci d'utiliser ce service de rapport en ligne (http://security-x.fr/up/) : dépose le fichier via "parcourir" et poste simplement le lien obtenu dans ta réponse.
Une aide à l'utilisation ici (http://forum.security-x.fr/cours-et-tutoriels-322/(tutoriel)-impression-d%27ecran-et-hebergement-de-rapport/msg60884/#msg60884)
Note : Les rapports sont aussi enregistrés sur le bureau
-
Merci pour la réponse ! Alors voila les deux rapports :
http://security-x.fr/up/file.php?h=Re30f3028ba79f8f35f8c46ccb6ba155d
http://security-x.fr/up/file.php?h=R000ce85067b2cd538810f597a53418e5
Merci.
-
Re,
Tu as été infecté car certains plugin et addon (adobe reader, flash, java ...) n'étaient pas à jour sur ce pc, on s'en occupera en fin de procédure.
1) Relance OTL.exe
- Ferme toutes tes fenêtres, puis double clique sur OTL.exe pour le lancer.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
/!\ Attention, utilisateur d'Avast! ou d'autres antivirus, ne lancez pas OTL en mode sandbox /!\
- Copie-colle l'ensemble du texte ci-dessous dans le cadre Personnalisation d'OTL en bas à gauche.
:OTL
IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.duxet.com/
FF - prefs.js..browser.search.defaultenginename: "Search the web (Babylon)"
FF - prefs.js..browser.search.order.1: "Search the web (Babylon)"
FF - prefs.js..extensions.enabledItems: DTToolbar@toolbarnet.com:1.0.8.0552
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA}:6.0.20
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}:6.0.21
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}:6.0.22
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0023-ABCDEFFEDCBA}:6.0.23
FF - prefs.js..extensions.enabledItems: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}:6.0.24
[2009/06/13 21:30:31 | 000,002,399 | ---- | M] () -- C:\Users\vista\AppData\Roaming\mozilla\firefox\profiles\c2m0ujd5.default\searchplugins\daemon-search.xml
[2009/05/19 12:07:01 | 000,003,721 | ---- | M] () -- C:\Users\vista\AppData\Roaming\mozilla\firefox\profiles\c2m0ujd5.default\searchplugins\YouGoo.xml
[2011/12/15 19:02:31 | 000,002,288 | ---- | M] () -- C:\Program Files\mozilla firefox\searchplugins\babylon.xml
O4 - HKU\S-1-5-21-4010811247-888115386-92087331-1000..\Run: [WPDShServiceObj] C:\Users\vista\AppData\Local\Microsoft\Windows\515\WPDShServiceObj.exe ()
O8 - Extra context menu item: Download with &Media Finder - C:\Program Files\Media Finder\hook.html File not found
O8 - Extra context menu item: Rechercher sur le Web - C:\Program Files\SweetIM\Toolbars\Internet Explorer\resources\menuext.html File not found
[2012/09/17 14:20:03 | 000,000,000 | ---D | C] -- C:\ProgramData\ppyvswvunldglfh
[2012/09/17 14:20:02 | 000,082,867 | ---- | M] () -- C:\ProgramData\mhesjjnzrcuhaqd
[1 C:\Windows\*.tmp files -> C:\Windows\*.tmp -> ]
[2006/01/17 16:12:10 | 000,314,368 | RHS- | M] (Microsoft Corporation) -- C:\Users\vista\AppData\Roaming\drivers\svchost.exe
:Files
C:\Users\vista\AppData\Local\Microsoft\Windows\515
:Commands
[emptytemp]
- Puis clique sur le bouton Correction en haut à gauche
- Le pc va redémarrer. (si ce n'est pas le cas, fais-le manuellement)
- Poste le rapport de suppression s'il apparait.
Note : le rapport est enregistré sous format ".log", il convient de changer cette extension en ".txt" si tu veux le déposer sur des sites en ligne. S'il n'apparait pas, il se trouve ici : C:\_OTL, sous la forme xxxxxxxx_xxxx.log où x sont la date et l'heure
/!\ Ce script est exclusivement réservé à l'utilisateur actuel du sujet, vous ne devez en aucun cas l'utiliser de votre propre chef sur un autre pc, sous risque d'endommager le système /!\
A partir de ce moment tu dois pouvoir redémarrer normalement le pc, sinon dis-le moi.
Fais ensuite ceci :
2) Désinstalle les programmes suivants dans ta liste des programmes (si présents) :
Note : Si tu rencontres une erreur passe au suivant et poursuis la procédure
- Google Toolbar for Internet Explorer (barre d'outil, sauf réelle utilité)
- Java(TM) 6 Update 18 (version obsolète comportant des failles de sécurité)
- Java(TM) 6 Update 7 (idem)
- Spybot - Search & Destroy (inutile et obsolète)
- Emsisoft Anti-Malware (idem)
- Malware Eraser version 1.2 (idem)
:jap:
-
Re,
d'abord je te remercie beaucoup pour l'aide apportée ! Ensuite voila le rapport final :
http://security-x.fr/up/file.php?h=R795761dff8798b88a1a120f3d701e63b
Mais le seul petit soucis qui reste c'est que du coup l’ordinateur est devenue plus lent (déjà qu'il était pas le plus rapide...), je ne sais pas si cela est du à la manipulation et va passer ou si il reste un autre soucis.
Si il y a un moyen de vérifier tout sa ?
Merci.
-
Re,
Nous n'avons pas terminé ;) (de plus parfois, il faut quelques redémarrage après des infections pour retrouvé un fonctionnement optimal)
à suivre :
1) Télécharge MalwareByte's Anti-Malware (http://www.inforumatique.fr/site/download/download-82+malwarebytes-anti-malware.php) :
- Installe le programme (aide ici (http://www.bibou0007.com/antispywares-f77/malwarebytes-anti-malware-t952.htm))
- Lance-le et met à jour la base de définition.
- Choisi ensuite "Exécuter un examen complet" puis "Rechercher"
- Sélectionne les disques dur et clique sur "Lancer l'examen"
- Laisse l'analyse se faire (cela peut durer longtemps).
- A la fin, vérifie que les éléments trouvés soient coché (dans "Résultat de l'examen).
- Puis clique sur "Supprimer la sélection" en bas.
- Un redémarrage peut être nécessaire.
- Un rapport va s'afficher, enregistre-le sur ton bureau.
- ou sinon, après le démarrage, il se trouvera dans "Rapports/logs"
2) Télécharge AdwCleaner (http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner) (de Xplode) sur ton Bureau.
- Double-clique sur adwcleaner0.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Recherche.
- A la fin, un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Rx].txt). Poste-le dans ta prochaine réponse.
:AAN
-
Re :)
Alors voila les deux rapport que tu as demandé :
http://security-x.fr/up/file.php?h=Rfc7ad7bc38f6339003c194724d2da6a4
http://security-x.fr/up/file.php?h=R92ec18f9399308c2a311e73849cba454
Merci.
-
Re,
ok, à suivre :
Relance Adwcleaner :
- Double-clique sur adwcleaner0.exe pour lancer le programme.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier adwcleaner0.exe -> Exécuter en tant qu'administrateur) - Dans la fenêtre principal, choisis l'option Suppression.
- A la fin, un rapport apparaitra (sinon, il est situé ici C:\AdwCleaner[Sx].txt). Poste-le dans ta prochaine réponse.
-
Re :)
Voila le dernier rapport :
http://security-x.fr/up/file.php?h=R3ffb7ca7ddee6e0c9013b50dd8bb39b4
Merci.
-
Re,
Ok, As-tu encore des symptômes/problèmes sur ce pc ?
Si tout est ok, nous passerons au nettoyage des outils et la conclusion.
-
Non tout est ok pour le moment :) A part un peut de lenteur de temps en temps.
-
Re,
Quel type de lenteur ? à quel moment ?
C'est flagrant depuis l'infection ou c'était déjà le cas avant ?
-
Une lenteur que se soit au démarrage ou dans l’exécution des différentes taches . Elle était déjà présente avant, mais maintenant c'est un peut plus flagrant depuis l’infection.
Merci.
-
Re,
Ok, ça on peut pas y faire grand chose, pense à libérer un peu de place sur ton disque dur, supprimer les programmes inutiles, surtout au démarrage ... de plus ta mémoire vive est assez limitée.
Pour conclure :
1) Désinstalle AdwCleaner :
- Relance-le le programme adwcleaner.exe situé sur ton Bureau.
(Utilisateur de Vista/Windows 7, clique-droit sur le fichier -> Exécuter en tant qu'administrateur)
- Dans la fenêtre principal, choisis l'option Désinstaller, et valide avec "Oui"
- Supprime ensuite le fichier adwcleaner.exe sur ton bureau.
2) Relance OTL.exe[/color]
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur "Purge d'outils"
- Valide l'avertissement par "ok" et laisse le pc redémarrer.
Tu peux conserver Malwarebyte's pour des scans occasionnels si tu le souhaites, pense alors à la mettre à jour auparavant, sinon désinstalle-le dans ta liste des programmes.
3) Mise à jour du système et des logiciels :
Télécharge SX Check&Update (http://tools.security-x.fr/download.php?f=SXCU.exe) (de Igor51 ) sur ton bureau.
- Lance SXCU.exe en double-cliquant dessus.
(Utilisateur de Vista/Windows 7 faites un clic droit -> "Exécuter en tant qu'administrateur")
- Clique sur Windows Update à droite. Fais l'ensemble des mises à jours proposées, notamment Internet Explorer 9. Si rien ne se passe, fais manuellement les mise à jour ici : Démarrer -> Tous les programmes -> Windows Update
- Clique sur Update Java à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://www.java.com/fr/download/
Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Java(TM) 6 Update 31
- Clique sur Update Adobe Reader à droite. Le chargement et l'exécution de la mise à jour vont se faire, suis les instructions. Si rien ne se passe, fais manuellement la mise à jour ici : http://get.adobe.com/reader/
Vérifie que les anciennes version sont supprimées dans ta liste des programmes, sinon fait-le manuellement : Adobe Reader 9.5.1
- Clique sur Update Flash à droite. Selon le cas, soit Internet Explorer, soit ton ou tes autres navigateurs vont s'ouvrir, suis pour chacun d'eux les instructions à l'écran pour la mise à jour.
(pense à ne pas accepter les offres comme McAfee security scan ou Chrome)
Ferme le programme via "Quit"
Tu peux supprimer SXCU.exe.
Pour aller plus loin dans ta protection et éviter de te faire réinfecter voici quelques conseils supplémentaires :
- Attention lors de l'installation de logiciel :
Veiller à toujours lire les conditions d'utilisation (CLUF), afin de déceler la gestion des données personnelles, l'installation de sponsors publicitaires ou tout autre atteintes à la vie privée. Refuser les toolbars et autres addons proposés.
A lire ! (http://forum.security-x.fr/securite-generale/stop-la-pub/)
- Firefox (http://www.mozilla-europe.org/fr/firefox/) et/ou Chrome (http://www.google.fr/chrome?hl=fr) offrent une meilleure sécurité par rapport à Internet Explorer, surtout si on les complète de quelques plugins très intéressant : Noscript (https://addons.mozilla.org/fr/firefox/addon/722) et WOT (https://addons.mozilla.org/fr/firefox/addon/3456) par exemple. (pour Chrome : NoScript (https://chrome.google.com/webstore/detail/odjhifogjcknibkahlpidmdajjpkkcfn) ; WOT (https://chrome.google.com/webstore/detail/bhmmomiinigofkjcapegjjndpbikblnp?hl=fr) )
- Maintenir ses logiciels et son système à jour :
De nombreuses infections sont dû à des failles de windows, mais aussi de logiciel tiers, comme Sun Java, Adobe Acrobat Reader, etc
Tu peux faire un scan de vulnérabilité (http://secunia.com/vulnerability_scanning/online/) pour connaitre tes logiciels présentant des failles non corrigées ou à mettre à jour.
Enfin, le plus important reste ton comportement sur ton PC, tu restes la plus importante protection : Évites les comportement à risque : P2P, cracks, téléchargements et installations douteux via des pubs, les messageries instantanées, ou des sites inconnu, sites pornographiques.
A lire ! (http://www.infos-du-net.com/forum/id-2134891/prevention-protection.html)
Ici aussi ! (http://www.infos-du-net.com/forum/275481-11-dossier-prevention-protection)
Tu peux indiquer ton sujet "réglé" en cliquant sur le bouton "modifier" (en haut à droite) dans ton tout premier message.
-> Ajoute ensuite "résolu" à coté de ton titre et valide.
A bientôt sur Security-X
:AAN
-
Voila j'ai tout effectué en suivant tes conseils.
Tout est ok maintenant (du moins pour l'instant ;D)
Je te remercie beaucoup pour ton aide.
A bientôt.