[Victor]

Bonsoir Bigoudi38,


1) Exécute le procédure suivante:

• /!\ Attention : Cette procédure n'est valable que pour Bigoudi38
• Ouvre le bloc-note ( Menu démarrer -> tous les programmes -> Accessoires -> Bloc-Notes )
• Copie/Colle le texte ci-dessous dans le bloc-note :
  
  Code : Tout sélectionner

  KillAll::
  
  File::
  c:\windows\PE_Rom.dll
  
  Registry::
  [HKEY_CURRENT_USER\software\microsoft\windows nt\currentversion\winlogon]
  "shell"="explorer.exe
  
  Quit::
  

• Clic sur "fichier"===>"Enregistre sous" : ce fichier doit être placé sur le bureau en le nommant CFScript.txt ( et pas autrement ! )
• Fais glisser le fichier CFScript.txt sur Combofix.exe
  
  
• Combofix va se lancer. Patiente pendant le scan puis poste le contenu du rapport qui s'ouvrira dans ta prochaine réponse.
• Note : Le fichier est enregistré sous C:\Combofix.txt

2) Relance Malwarebytes Anti-Rootkit



3)Le logiciel zhpdiag a été corrompu par l'infection, désinstalle-le avec revo uninstaller puis installe-le afin de me faire un rapport zhpdiag, stp.

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
• Installe le logiciel.
• Lance ZHPDiag, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
  1. Clique sur Configurer
  2. Clique sur la loupe ( Lancer le diagnostic »)
  3. Une message va apparaître, clique sur Oui
  Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
  
  
  
  
• Une fois le scan terminé rends toi sur le bureau, le fichier à été créé.
• Héberge le rapport ZHPDiag.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Bonne soirée
Victor

[bigoudi38]

Bonjour
Alors voila le rapport Combofix:

https://upload.sosvirus.net/log/SosUploa ... 0913c1.txt

Pour malwarebytes anti-rootkit:
Pas de malware trouvé

Pour ZHPdiag je l'ai de-instatallé comme tu m'as dis en mode avancé
Et voila le rapport ZHP:

https://upload.sosvirus.net/log/SosUploa ... 9cf9f1.txt

Merci

Bigoudi

[Victor]

Bonjour Bigoudi38,

Bonne nouvelle, on est venu à bout de l'infection. :bravo1:
Je tiens à te féliciter pour ta patience durant cette désinfection. Tu as parfaitement suivie les procédures de désinfection à la lettre.
Plus d'un helpé aurais abandonné en cours de route.


Encore un petit effort et on termine en beauté.


1) Quelques restes à supprimer:

• Copie les lignes ci dessous :
  
  Code : Tout sélectionner

  script zhpfix
  O3 - Toolbar\WebBrowser: (no name) - [HKCU]{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} Clé orpheline    
  O39 - APT:Automatic Planified Task  - C:\Windows\Tasks\SidebarExecute.job   [210]    
  [MD5.00000000000000000000000000000000] [APT] [4836] (...) -- C:\Users\xavier\AppData\Local\Temp\launchie.vbs \\B (.not file.)   [0]
  [MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS\AutoKMS.exe (.not file.)   [0] 
  [MD5.00000000000000000000000000000000] [APT] [Plus-HD-3.5-chromeinstaller] (...) -- C:\Program Files (x86)\Plus-HD-3.5\Plus-HD-3.5-chromeinstaller.exe (.not file.)   
  [MD5.00000000000000000000000000000000] [APT] [Plus-HD-3.5-codedownloader] (...) -- C:\Program Files (x86)\Plus-HD-3.5\Plus-HD-3.5-codedownloader.exe (.not file.)   [0]     
  [MD5.00000000000000000000000000000000] [APT] [Plus-HD-3.5-enabler] (...) -- C:\Program Files (x86)\Plus-HD-3.5\Plus-HD-3.5-enabler.exe (.not file.)   [0]      
  [MD5.00000000000000000000000000000000] [APT] [Plus-HD-3.5-updater] (...) -- C:\Program Files (x86)\Plus-HD-3.5\Plus-HD-3.5-updater.exe (.not file.)   [0]  
  [MD5.00000000000000000000000000000000] [APT] [SpeedyPC Pro] (...) -- C:\Program Files (x86)\SpeedyPC Software\SpeedyPC\SpeedyPC.exe (.not file.)   [0]  [MD5.00000000000000000000000000000000] [APT] [SpeedyPC Update Version3] (...) -- C:\Program Files (x86)\Common Files\SpeedyPC Software\UUS3\SpeedyPC_Update3.exe (.not file.)   [0]  
  [MD5.00000000000000000000000000000000] [APT] [SpeedyPC Update Version3 Startup Task] (...) -- C:\Program Files (x86)\Common Files\SpeedyPC Software\UUS3\SpeedyPC_Update3.exe (.not file.)   [0]     
  [MD5.00000000000000000000000000000000] [APT] [{4415B573-95FA-4AD8-B0FC-D0D5E3682416}] (...) -- D:\Drivers\Chipset\Driver\Chipset\setup.exe (.not file.)   [0] 
  [MD5.00000000000000000000000000000000] [APT] [{49F68AF4-A200-4E33-A978-55A42DE71607}] (...) -- C:\Users\xavier\Downloads\MadCatz_FLY5_SD7_0_24_0_32Bit_Driver.exe (.not file.)   [0]     
  [MD5.00000000000000000000000000000000] [APT] [{75D85C5E-C6EB-4708-8F11-51A8427B7E04}] (...) -- C:\Program Files (x86)\Pocket Tanks Deluxe\ptloader.exe (.not file.)   [0]    
  [MD5.00000000000000000000000000000000] [APT] [{F5A71137-9994-402F-92F2-89D7046400FC}] (...) -- C:\Program Files (x86)\Pocket Tanks Deluxe\unins013.exe (.not file.)   [0]  
  O44 - LFC:[MD5.3E51465D3F468DD53DAEB9031313355C] - 04/03/2014 - 17:28:21 ---A- . (...) -- C:\.dir   [189]      
  O44 - LFC:[MD5.67253F52C9CA674D21C50E0625A4F9AE] - 04/03/2014 - 17:29:52 ---A- . (...) -- C:\Windows\PE_Rom.dll   [1048576] 
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SpeedyPC Pro]   
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SpeedyPC Update Version3]     
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\SpeedyPC Update Version3 Startup Task]  
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\AutoKMS]      
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Plus-HD-3.5-chromeinstaller]      
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Plus-HD-3.5-codedownloader]      
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Plus-HD-3.5-enabler]      
  [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Plus-HD-3.5-updater]
  O43 - CFD: 23/11/2013 - 12:27:57 - [0] ----D C:\ProgramData\McAfee Security Scan 
  O43 - CFD: 26/02/2014 - 13:40:19 - [0] -SH-D C:\ProgramData\NT Kernel
  ServiceDemand:gupdate
  ServiceDemand:SkypeUpdate
  ServiceDemand:AdobeARMservice
  firewallraz    
  Shortcutfix
  emptytemp
  emptyflash
  emptyclsid
  emptyprefetch
  
  

• Lances ZHPFix, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
  1. Clique sur Importer
  2. Puis Clic sur "GO"
  
  
  
• Confirmes les nettoyages des données en cliquant sur "Oui"
• Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
• Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.

2) On purge:

• Exécute malwarebytes.
• Ouvrir l'onglet"rapports/logs " puis clique sur "tout supprimer".
• Ouvrir l'onglet "quarantaine" et clique sur tout supprimer".
• Ferme malwarebytes.
• Nota: tu peux garder et utiliser ce logiciel une fois par mois minimum

3) On nettoie :

• Télécharge sur ton Bureau SFTGC (de Pierre13) ATTENTION : il ne peut pas être téléchargé ailleurs!
• Sous Windows : 7/8 et Vista, fait un clic droit sur SFTGC, puis sélectionne exécuter en tant qu'administrateur
• Clique sur GO
  
  Note : A la fin un rapport va s'ouvrir
• Un rapport (SFTGC.txt) sera généré sur le bureau.
• Héberge le rapport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.
  Nota: Envoi celui-ci avant de passer à l'étape suivante ou sauvegarde ton lien dans un fichier

4) on sécurise:
Internet explorer est ton moteur de recherche par défaut, on sécurise ta navigation:
Sécurise tes navigateurs par exemple avec WOT et simple adblock pour Internet explorer
Pour télécharger WOT pour ie c'est par ici


Pour chrome(si tu possèdes Chrome)

Wot disponible ici
Adblock disponible ici


J'ai vu que Firefox étais installé sur ton PC: Dans le cas o๠tu veut l'utiliser, je te donne des addons de sécurité à installer.

• Installe l‚extension AdBlockPlus qui permet de bloquer les pubs :
• Installe l‚extension WOT qui t‚avertit des sites potentiellement dangereux :
  
• Tu peux enfin installer l‚extension NoScript qui permet de réduire les risques liés à ta navigation, par contre c‚est une extension pas toujours simple à configurer, à toi de voir :

Encore une étape et on termine


A te relire.
Victor

[bigoudi38]

Déja c'est moi qui tiens a te remercié pour ta patience et ton niveau de maitrise face a mon problème .

Rapport ZHPfix:

https://upload.sosvirus.net/log/SosUploa ... 43ca6b.txt

Rapport SFTGC:

https://upload.sosvirus.net/log/SosUploa ... 064329.txt

Merci j'attends le feu vert pour la suite.

:bravo1:
Bigoudi

[Victor]

Bonjour Bigoudi38,

On termine la désinfection:

1) Suppression des outils de désinfections :

• Télecharge Delfix sur ton bureau : <<< ICI >>>
  • Coche les cases suivantes :
    
    
  • Clique ensuite sur Exécuter puis patiente pendant la procédure .
  • Lorsque les procédures seront terminées, l'outil va se fermer et disparaître du bureau
  • Un rapport est sauvegardé dans le presse-papier : il te suffit de faire un clic droit et "coller" dans ta prochaine réponse pour me poster le rapport
  
  Sachant que le type d'infection rootkit a causé pas mal de dégats sur ton PC, je te suggère de désinstaller malwarebytes et malwarebytes ant-ti rootkit via revo uninstaller.
  Pour malwarebytes, tu pourras le re-télécharger si tu le veux.
  
  
  
  2) Pour permettre de mettre à jour tes logiciels je te conseille d'utiliser Filehippo update checker.
  Tu peux le télécharger ici https://www.sosvirus.net/telecharger/update-checker/
  Pour l'installation de filehippo décoches seulement mettre l'icône dans la barre de lancement rapide
  
  
  
  
  3) Un peu de prévention :
  
  
  
  4) Sauvegardes
  • Il est vivement conseillé d'effectuer des sauvegardes de tes documents importants sur des supports externes.
    Certaines infections infectent des fichiers texte, images.. et ceux-ci peuvent être irrécupérables
  
  Dernières recommandations:
  il faut absolument faire attention lors de l'installation de logiciels. N'installe les logiciels que depuis des sources sà»res :
  
  • Privilégie le site de l'éditeur.
  • Evite les programmes qui se disent gratuits via des bannières de publicités.
  • à‰vite d'installer des programmes depuis des sites inconnus ou douteux (Softonic, TutoPC4, 01 du Net, sites de Cracks, P2P, etc.).
  • Lis bien les clauses avant d'installer un programme et décoche d'éventuelle toolbar ou logiciel qui pourrait infecté ton PC

Pour ma part, ton pc est sain et sécurisé, tu peux surfer en toute tranquillité .Respect les consignes de sécurité émises tout au long de cette désinfection. Merci d'avoir suivis cette désinfection jusqu'au bout. Si tu as des questions c'est le moment, si non bonne continuation.


Bonne journée à toi

Cordialement
Victor

[bigoudi38]

Rapport Delfix:
https://upload.sosvirus.net/log/SosUploa ... dd6fa9.txt

beaucoup vraiment merci de t'etre occupé de moi comme ca continuez comme ca vous etes une bonne équipe de désinfection

Bigoudi38

[Victor]

Bonjour Bigoudi38,

J'ai vu que tu étais adepte du téléchargement en P2P, fait attention car c'est par ces sites que commence l'infection.

Je suis aussi tenace qu'un rootkit et je n'abandonne jamais une personne en détresse malgré la difficulté de la désinfection.
Cela a été pour moi très enrichissant car je suis diplômé helper depuis un peu plus d'un mois.

Cordialement
Victor

[bigoudi38]

Oui je ferai attention a partir de maintenant un fois cela m'as bien suffit.

encore merci et reste tenace comme un rootkit comme ca il n'auront aucune chance.

Merci
Bonne continuation
Bigoudi38

[Victor]

---

Si vous avez eu des soucis d'infections, ce n'est certainement pas par hasard.Voici quelques conseils pour vous aider à surfer surement et pour adopter un bon comportement. • Le meilleur antivirus, c'est le comportement entre l'écran, la page Web et la souris. • Il ne faut pas cliquer sur n'importe quoi ( lien - image ) : Prendre le temps de lire, de réfléchir avant de cliquer ! • A l'installation d'un nouveau logiciel, bien choisir le site de téléchargement, ne plus/pas télécharger sur 01Net, et Softonic. Ces sites repackent les logiciels proposés en y incluant des adwares / publiciels.

C:\Users\%UserName%\Downloads\rcpsetup_softonic_englobal (1).exe (PUP.Optional.RegCleanerPro) C:\Users\%UserName%\Downloads\rcpsetup_softonic_englobal (2).exe (PUP.Optional.RegCleanerPro) C:\Users\%UserName%\Downloads\FlashPlayer_V.156338033a.exe (PUP.FakeFlash.Domaiq) C:\Users\%UserName%\Downloads\FlvPlayerWizard.exe (PUP.Optional.Cooltech) C:\Users\%UserName%\Downloads\Free PDF to Word Doc Converter.exe (PUP.Optional.Firseria) C:\Users\%UserName%\Downloads\iLividSetup.exe (PUP.Optional.Bandoo) C:\Users\%UserName%\Downloads\Mapit_1.exe (PUP.Optional.Conduit.A) C:\Users\%UserName%\Downloads\pc-cleaner-379.exe (PUP.Optional.PCCleaner.A) C:\Users\%UserName%\Downloads\PublicTransportSetup.exe (PUP.Optional.Inbox) C:\Users\%UserName%\Downloads\rcpsetupmarm_marm0fr.exe (PUP.Optional.RegCleanerPro)

• Préférez notre Logithèque SosVirus nous surveillons pour vous la qualité des téléchargements et de leurs éditeurs. • Bien lire durant l'installation d'un nouveau logiciel les options à décocher, bon nombre d'installeurs proposent l'installation tierce de barres d'outils, navigateurs web, scanners de sécurité etc. N'acceptez pas ces installations tierces. • En aucun cas télécharger sur des sites Warez - P2P - Cracks - Keygens • Banir les sites pornographiques et de Poker, sources de problèmes par la suite ... Ils installent de faux codecs, proposent de fausses mises à jours Flash Player, Java etc

---

Il est primordial de tenir son système d'exploitation à jour, pour cela activez l'exécution automatique des mises à jour Windows. Mais il est tout aussi primordial de tenir à jour ses logiciels tiers comme Java - Adobe Reader - Flash Player - etc ... Pour cela il existe un petit programme bien pratique, j'ai nommé Update Checker.

---

Ensuite il faut bien entendu avoir une solution antivirale et un pare-feu. SosVirus vous conseille fortement d'adopter une solution complète plutôt qu'un simple antivirus gratuit, une solution complète incluant : • L'antivirus. • Le pare-feu. • Le contrôle parentale. • La protection lors d'achats sur la toile. Cela vous permettra d'être protégé au mieux sans avoir à effectuer une multitude de réglages. Pour vous protéger au mieux, nous vous recommandons d'adopter la suite Bitdefender Internet Security déjà primée plusieurs fois. • Protection de référence de toutes vos données • Extrêmement rapide. Léger. Silencieux. Intègre Bitdefender Photon™ • Protège vos achats en ligne. • Sécurise votre identité digitale. • Informe sur l'activité en ligne des enfants. Fournit des outils de filtrage si nécessaire. • Protège votre connexion Internet grâce au pare-feu. • Vaccination automatique des supports amovibles, Clé USB, Carte SD ... Protégez votre famille avec Bitdefender Internet Security, cliquez sur l'image ci-dessous pour vous le procurer :

---

Il est aussi important de vacciner les supports externes USB, contre les infections se propageant via ceux-ci,
pour cela nous vous recommandons d'utiliser l'utilitaire gratuit de l'éditeur antivirus Bitdefender : Bitdefender USB Immunizer. L'avantage de Bitdefender USB Immunizer est qu'il dispose d'un système de vaccination actif.
C'est à dire qu'à chaque insertion d'un support amovible, il vérifiera si celui ci est vacciné ou pas, et le cas échéant le vaccinera.

Pour vous aider à utiliser correctement Bitdefender USB Immunizer, visionnez ce petit diaporama :



Si vous souhaitez vous informer sur ce type d'infections et leur système de propagation, nous vous conseillons de lire cet article : Infection Dinihiou : SosVirus et Bitdefender vous explique son fonctionnement.

---

SosVirus dispose d'un fil d'actualité sous forme de blog, vous pouvez, si vous le souhaitez mettre cette page en favori, pour avoir accès quand vous le souhaitez aux dernières actualités du site mais aussi être informé des dernières menaces. Pour consulter le fil, cliquez sur l'image ci-dessous :

---

Si vous appréciez le site et si vous êtes satisfait de l'aide dont vous avez bénéficié, nous vous invitons à cliquer sur le bouton "j'aime", si vous disposez d'un compte Facebook afin de nous faire connaitre dans votre entourage : ) Vous bénéficierez également des news du site comme cité plus haut directement sur votre mur.

---

Enfin vous avez la possibilité de contribuer au bon fonctionnement du site et de participer à son évolution. En effet nous améliorons sans cesse le site pour vous apporter le meilleur service possible. Cela a bien sûr un coup financier que nous avons décidé de ne pas répercuter sur notre démarche. Vous pouvez cependant effectuer un don, aussi petit soit-il, via notre partenaire Paypal. Les dons sont bien évidemment totalement sécurisés et facultatifs. Cliquez sur l'image ci-dessous pour effectuer un don à SosVirus :

---

Pour continuer dans la gratuité, nous avons besoin de diffuser de la publicité pour couvrir les frais qu’engendre notre structure, tel que le coût de serveurs web par exemple.,
Si vous appréciez SosVirus, alors désactivez votre bloqueur de publicités sur notre domaine : sosvirus.net
Ceci constitue une autre façon de nous soutenir :)
Tutoriel : Désactiver Adblock sur SosVirus

---

Toute l'équipe SosVirus vous souhaite un bon surf et vous remercie de votre visite.

---