[Fermé] Security tools infecté

Bonjour à tous, je viens à vous car vous avez l'air bien calé sur la destruction de ce virus.
Je vous résume rapidement la situation: Mon père a été infecté par "system tool" qui lui bloque une grosse partie de ses aplis( XP F). J'ai essayé de le supprimer avec Malwarebytes en suivant un tuto mais apparemment il est revenu très rapidement. Si quelqu'un a une solution pas trop compliqué car mon père n'est pas calé du tout en pc et à distance ce n'est pas facile pour moi. Il voudrait juste récupérer toutes ses photos et restaurer mais impossible pour le moment.
Merci de me venir en aide.

Bonjour Gueubiche

Un helper va t'aider sous peu.

En attendant, pourrais tu (ou pourrais t il) copier/coller le rapport de malwarebytes ?
Dans Malwarebytes, onglet "Rapports/logs".

Bon après midi

Bonsoir Gueubiche, toujours avec nous ?

Bonsoir, oui toujours la malheureusement!
Apparemment le virus n'était plus la mais à peine une journée et il était de retour!
J'ai trouvé une autre methode ComboFix mais ça a l'air assez complexe. Dites moi si vous avez un meilleur moyen.
Merci de votre aide

Bonjour gueubiche

oui il y a moyen de le supprimer, mais pour cela il faut que tu suives à la lettre les procédures que l'on va te donner et ne pas t'amuser avec les outils de désinfection comme combofix car tu risque de planter ton pc.

RogueKiller de Tigzy

* Télécharge sur le bureau RogueKiller (par tigzy)
* Quitte tous tes programmes en cours
* Sous Vista/Seven , clique droit -> lancer en tant qu'administrateur
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1 et valide
* Si le programme demande pour supprimer le proxy, tapez1 si vous êtes sûr que ce n'est pas vous qui l'avez mis, sinon taper 2
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.

NOTE: taper 2 pour mode suppression
NOTE: S'il y a un proxy de trouvé , taper 1 pour la suppression

=========

Ensuite, sans redémarrer le pc, faire un scan complet avec Malwares byte après l'avoir mis à jour.

Post les rapports de RogueKiller et MBAM dans ta prochaine réponse.

Et pour finir fais un scan avec zhpdiag afin que l'on contrôle ce qu'il y a encore à supprimer.

ZHPDiag

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
  
  
• Double clique sur ZHPDiag.exe pour lancer l'installation.
  Note :
  Pour Vista et Windows 7 faites un clic droit sur l'icône et sélectionnez Exécuter en tant qu'administrateur.
  
  
• Laisse toi guider pour l'installation et coche bien la case proposant la création d'un raccourci sur le bureau.
  Note :
  2 nouvelles icônes sont maintenant sur ton bureau : ZHPDiag et ZHPFix.
  
  
• Double clique sur ZHPDiag pour lancer l'exécution.
  Note :
  Pour Vista et Windows 7 faites un clic droit sur l'icône et sélectionnez Exécuter en tant qu'administrateur.
  
  
• Clique sur la loupe pour lancer l'analyse et patiente jusqu'à la fin de celle ci.
  
  
• Le rapport a été crée sur ton bureau (ZHPDiag.txt)
  Note :
  Le rapport étant trop long pour le forum, héberge le sur cijoint.fr.
  
  
• Copie et colle le lien dans ta prochaine réponse.

Bonne journée

http://www.cijoint.fr/cjlink.php?file=cj201103/cijmplY1wa.txt
http://www.cijoint.fr/cjlink.php?file=cj201103/cijY7tArY5.txt
http://www.cijoint.fr/cjlink.php?file=cj201103/cijA8fKoCm.txt

Désoler pour le retard j'etait un peu pris.Merci beaucoup pour votre aide j'ai suivi a la lettre le tuto et joint ci-dessus les 3 rapports.
Cordialement

Bonjour
Patdam est actuellement en vacances, merci de patienter.

En attendant l'analyse de tes rapports a révélé différentes infections : Ask, magic control, eorezo, offerbox

ces infections se sont installées avec des logiciels piégés : It's TV, Nero Toolbar et autres logiciels de Poker (Club Dice Poker, Titan Poker etc...)


Important :

Connais tu cette adresse IP : 89.234.160.210
elle configure ta carte réseau :
et il se peut que ce soit une redirection, est ce toi qui l'a configuré ?

Ad-Remover : Scan
Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
http://forum-aide-contre-virus.be/download/AD-Remover.html ( Miroir )

/!\ Ferme toutes applications en cours /!\

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Scanner »
- Confirme lancement du scan
- Laisse travailler l’outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-reportScan.Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)


AD-Remover : Nettoyage

Relance Ad-remover.exe, par un double-clique sur l'icône Ad-remover située sur ton Bureau.
Sur la page, clique sur le bouton Nettoyer
Laisse travailler l'outil
Poste le rapport qui apparait à la fin
(Le rapport est sauvegardé aussi sous C:\Ad-reportClean.Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Aide en image : clique ici

Note : l'UAC de Vista ne gêne plus AD Remover
Aide en image : clique ici

Poste un nouveau rapport ZHPDiag et le mettant à jour au préalable en cliquant sur le fleche verte , télécharge et installe le logiciel puis génère un nouveau rapport.


Désinstaller les programmes suivants qui sont obsolètes sur ton PC via ton paneau de configuration :

Ad-Aware


Nous ferons les mises à jour après ta désinfection

J'attends :
tes deux rapports ad-remover
ton nouveau rapport ZHPDiag.

Bonjour, voila les 3 derniers rapports:

http://www.cijoint.fr/cjlink.php?file=cj201103/cijQVAwh3m.txt
http://www.cijoint.fr/cjlink.php?file=cj201103/cijyyn6ZpT.txt
http://www.cijoint.fr/cjlink.php?file=cj201103/cijSJClKyc.txt

Merci

Bonjour
désolé pour ce delai, nous sommes un peu absent sur le forum pris par nos vies privées.
Ad-remover a fait très bien son travail.


il est important de répondre aux questions :

Citation :

Connais tu cette adresse IP : 89.234.160.210
elle configure ta carte réseau :
et il se peut que ce soit une redirection, est ce toi qui l'a configuré ?

Cependant tu as un pc complètement pas à jour, ce qui le rend sensible aux failles de sécurité, auquel s'ajoute des logiciels de poker louches, ainsi qu'une multitude de logiciels peer2peer.

Non à jour :
Internet explorer 6 -> Internet explorer 8 ou 9
Firefox 3.0.15 -> Firefox 3.5.15
Adobe 8.x -> Adobe 10.1
Java 6 update 3 -> 6 update 24


Tu as aussi une infection usb, qu peut se propager sur chaque pc sur lequel tu connecteras tes clés usb, carte SD etc..
Avant d'executer usbfix, connectes tes supports amovibles.

USBFIX
• Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
• Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
• Double clique sur le raccourci UsbFix sur ton Bureau, l'installation se fera automatiquement
• Clique sur "Recherche"
• Laisse travailler l'outil
• A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)


Aide en images : Tutoriel "Recherche"

Désinstallation de programmes obsolètes :

Rends toi dans le panneau de configuration > ajout suppression de programmes
Désinstalle si tu les trouves ces différents logiciels, indique moi si tu as des soucis ou si ils sont absents

Norton Security Scan (tu as avast5, a noter que avast6 est disponible)
Java(TM) 6 Update 3
Adobe Reader 8.1.2 - Français
Adobe Acrobat and Reader 8.1.2 Security Update 1

ZHPFix : raccourcis sur le bureau

• Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en tant qu'administrateur).
  
• Copie les lignes suivantes :
  
  SysRestore
  EmptyTemp
  FirewallRAZ
  M2 - MFEP: prefs.js [JEREMY - hhl3lgby.default\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}(2)] [adblockplus] Adblock Plus v1.2.1 (.Wladimir Palant.)
  M3 - MFPP: Plugins - [JEREMY] -- C:\Program Files\Mozilla FireFox\searchplugins\lost.xml
  [HKCU\Software\Club Dice Poker]
  [HKCU\Software\Install]
  [HKLM\Software\Club Dice Poker]
  O64 - Services: CurCS - (.not file.) - Symantec Eraser Control driver (eeCtrl) .(...) - LEGACY_EECTRL
  
  
• Clique sur l'icone représentant la lettre H (« coller les lignes Helper »)
  
• Les lignes se collent automatiquement dans ZHPFix.
  
• Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »
  
• Poste le contenu de ton rapport dans ta prochaine réponse, le rapport est situé sur ton bureau
  

Une fois que ton pc sera propre nous procéderons aux mises à jour des différents logiciels ainsi qu'une optimisation de ton pc si tu le souhaites (permet d'améliorer le démarrage du pc)

J'attends :
ton rapport ZHPFix
ton rapport zhpdiag
ton rapport usbfix

Bonjour ici


Gueubiche, toujours avec nous ?

Sujet fermé en raison de l'inactivité. Si vous souhaitez réouvrir ce sujet, faites en la demande à un membre de l'équipe, par MP, en indiquant la raison et le lien vers ce sujet. Cela ne s'applique qu'à Gueubiche. Pour les autres, créez votre propre sujet svp.