[Résolu] PC multi-infecté par spywares et virus

[vincent.domod]

Bonjour à tous et toutes

Mon PC est multi-infecté par des spywares et virus car:

-Avira me lance régulièrement des alertes comme quoi je suis infecté
-Chaque fois que j'éteins le PC, il me fait des mises à jour
-J'ai régulièrement des fenêtres de mes navigateurs qui se lancent vers des sites, souvent les mêmes
-Maintenant j'ai des soucis avec mon disque dur. Un exemple: je regarde combien de place il me reste, le PC m'indique 0 octet (!!!), donc je supprimes quelques fichiers, puis je lance Google Earth, et puis je passe à 18 Go
-Plus des tas de petits problèmes, une lenteur inhabituelle...

C'est devenu à un point où ce n'est plus tenable

Mon fils, qui s'intéresse depuis quelques mois aux jeux sur PC, a installé des jeux (Minecraft, etc...), et il installe régulièrement des plugs-in; je pense que des cochonneries s'installent notamment lorsqu'il fait ça

Et comme mon PC est mon outil de travail... !

Si quelqu'un peut me prendre en charge pour m'aider à désinfecter mon PC, je le remercie par avance

PS: je possède Avira et Malwarebytes Anti-Malware

Merci encore

[Raptor14]

Bonjour,

On va essayer de résoudre ton soucis

Fais ceci je te pris :

• Télécharges RogueKiller (de Tigzy) sur ton Bureau.
• Lance RogueKiller, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
  Note : Attends que le PreScan ait fini.
  
  
• Clique sur Scan.
• Clique sur Supression
• Une fois le scan terminé rends toi sur le bureau, le rapport RKreport[0]¤D¤.txt à été créé.
• Héberge le rapport RKreport[0]¤D¤.txt sur Cjoint.com, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

[vincent.domod]

Bonsoir Raptor14, et merci beaucoup de ton aide, et de ta rapidité en plus

Il a fait 2 rapports, je te mets les 2

Le premier intitulé "RKreport[0]_S_07252013_222105.txt"

Le voici:



Le deuxième intitulé "RKreport[0]_D_07252013_222218.txt"

[Raptor14]

Bonsoir,

Ok ça devrait déjà aller un peu mieux non ?

Seuls ces liens sont officiels ne pas télécharger l'outil sur d'autres liens !

Note : Pendant le scan le bureau peu disparaître à plusieurs reprise


• Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux ... ( >> Aide << )
  
• Télécharge Pre_Scan (renommé winlogon) sur ton bureau !
  
  
• Si le lien n'est pas fonctionnel :
  
  • #ICI (renommé winlogon)
  • #ICI (renommé winlogon)
• Note : Si l'outil est relancé plusieurs fois, clique sur Scan|Kill

• Si l'outil est bloqué par l'infection essayes avec d'autres exetensions :
  
  • #SCR
  • #PIF
  • #COM
• Si des Proxy sont détectés :
  
  • Clique sur Supprimer le Proxy
• A la fin du scan, rends toi à la racine de ton disque dur ( C:\ )
• Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur SosUpload

[vincent.domod]

Le scan a planté quand il a rencontré...... le fichier winlogon.exe !

Du coup, j'ai été obligé de redémarrer "à l'arrache". Au redémarrage, il m'a dit que la corbeille était endommagée et si je voulais la vider, j'ai répondu oui. Ca a l'air d'aller

Avant de lancer le scan, je n'avais pas désactivé Avira ni le parefeu Windows (!!!)

Du coup, je referai le scan demain matin (peut être faut-il que j'en essaye un autre comme tu me le suggères (scr, pif, com) ???

Je te mets quand même le résultat que ça a donné (car j'ai quand même eu un rapport Pre_Scan.txt). SOSUpload refuse de me le prendre; du coup je le mets ici:


Merci et à demain

[Raptor14]

Bonjour,

Il faut absolument lire attentivement les consignes données !

• Télécharges MalwareBytes
• Procèdes à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware PRO"
• Sélectionne Examen complet
• Cliques sur Rechercher
• Supprimes tout les éléments trouvés !
• Postes le rapport sur le forum

[vincent.domod]

Bonjour

J'ai refait une analyse Pre_Scan en début d'après-midi en ayant désactivé Avira et le Parefeu Windows, ça m'a refait la même chose (plantage lors de la rencontre winlogon.exe et corbeille endommagée)

J'ai donc fait l'analyse MBAM dont voici le rapport que j'ai mis ici également:



PS: désolé pour les temps entre les messages, mais l'analyse MBAM a pris plus de 4 heures...

[Raptor14]

Bonsoir,

Je vais remonté ces erreurs au développeur

Il y a du monde dans ton PC !

1.

• Télécharges Adwcleaner (de Xplode) sur ton Bureau !
  
• Fais clic droit dessus, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Choisi l'option Suppression
  
  
  
  
  
• Acceptes les avertissements/informations en cliquant sur OK
• Copie et Colle le contenu du rapport qui apparaît au redémarrage du PC

A voir => Tutoriel complet

2.

• Télécharge ESET Online Scanner (de ESET) sur ton bureau.
  
• Lance ESET Online Scanner, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
• Coche "Oui, j'accepte les condiftions d'utilisation"
• Clic sur Démarrer
• Laisse cocher la case "Supprimer menaces détectés"
• Coche "Analyser les archives"
  
  Note : Tout les éléments néfastes seront supprimés automatiquement
  
  
• Si aucune menace n'est détectée :
  
  • Dit le moi simplement dans ta réponse.
• Si des menaces sont détectés :
  
  • Clique sur "Liste des menaces détectées"
  • Clique sur Exporter vers ...
  • Copie et colle le contenue du rapport sur le forum.

~~ Aide en Images ~~

J'attends donc 2 rapports

++

[vincent.domod]

Bonjour

Voilà les 2 rapports:

Rapport Adwcleaner:



Rapport ESET Online Scanner:

[Raptor14]

Bonjour,

Parfait tu as tout bien fait

On passe au scan général

• Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
  
• Installe le logiciel.
  
• Lance ZHPDiag, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
  
  
  
  1. Clique sur l'icône représentant un tournevis (« Options »)
  2. Clique sur Tous
  3. Clique sur l’icône représentant une loupe (« Lancer le diagnostic »)
  
  Note : Ne pas fermer le programme même si il est indiqué qu'il ne répond plus.
  
  
  
  
• Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt à été créé.
  
• Héberge le rapport ZHPDiag.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  

[vincent.domod]

Voilà:

[Raptor14]

Bonjour,

Ok, copie les lignes en gras ci dessous :

Code: Tout sélectionner

SysRestore
G2 - GCE: Preference [User Data\Default] [amfclgbdpgndipgoegfpkkgobahigbcl] Snap.Do  v.1.4, (Désactivé)  =>Hijacker.SmartBar
G2 - GCE: Preference [User Data\Default] [ealchnonpofjocgofjpopjdoegbbkofj] Happy Lyrics v.1.114 (Désactivé)  =>Adware.AddLyrics
G2 - GCE: Preference [User Data\Default] [jbajpeofkjjeiamcglnmldoboonfkiol] iLivid New Tabs v.5.0.0.7254 (Désactivé)  =>Adware.Bandoo
G2 - GCE: Preference [User Data\Default] [jcdgjdiieiljkfkdcloehkohchhpekkn] SweetIM for Facebook v.1.1.0.1 (Désactivé)  =>PUP.SweetIM
O2 - BHO: Happy Lyrics - {59C0C5BD-2579-433A-BBB8-AFFD59642BAF} . (...) -- C:\Program Files\HappyLyrics\hppylrc.dll (.not file.)  =>Adware.AddLyrics
[MD5.00000000000000000000000000000000] [APT] [DealPlyUpdate] (...) -- C:\Program Files\DealPly\DealPlyUpdate.exe (.not file.)   [0]  =>PUP.DealPly
O42 - Logiciel: Happy Lyrics - (.Happy Productions.) [HKLM] -- happylyrics@hpyproductions.net  =>Adware.AddLyrics
O42 - Logiciel: Snap.Do - (.ReSoft Ltd..) [HKLM] -- {3D1A297B-5565-475A-8455-055E628B39CF}  =>Hijacker.SmartBar
O42 - Logiciel: tuto4pc_fr_39 - (.TUTO4PC.) [HKLM] -- tuto4pc_fr_39_is1  =>PUP.Eorezo
[HKCU\Software\AppDataLow\Software\HappyLyrics]  =>Adware.AddLyrics
[HKCU\Software\SweetIM]  =>PUP.SweetIM
[HKLM\Software\SweetIM]  =>PUP.SweetIM
O43 - CFD: 26/07/2013 - 20:32:20 - [2,430] ----D C:\Program Files\tuto4pc_fr_39  =>PUP.Eorezo
O43 - CFD: 07/01/2013 - 02:05:03 - [0] ----D C:\ProgramData\Software   
O43 - CFD: 28/10/2012 - 12:24:27 - [0] ----D C:\Users\jepa\AppData\Local\Software   
O43 - CFD: 26/07/2013 - 01:25:50 - [0,002] ----D C:\Users\jepa\AppData\Local\tuto4pc_fr_39  =>PUP.Eorezo
O61 - LFC: 25/07/2013 - 20:29:31 ---A- C:\Users\jepa\AppData\Local\tuto4pc_fr_39\upt4pc_fr_39.cyp   [544]  =>PUP.Eorezo
O61 - LFC: 25/07/2013 - 21:08:52 ---A- C:\Users\jepa\AppData\Local\tuto4pc_fr_39\tuto4pc_fr_39\1.10\eorezo.cyl   [69]  =>PUP.Eorezo
O69 - SBI: prefs.js [jepa - etrm8d07.default] user_pref("extensions.crossrider.bic", "13bd3a69c5e3df426e9cf86b2cfcef50");  =>PUP.CrossRider
O87 - FAEL: "{38327ED8-C277-4640-B4F8-F131ED08D89F}" |In - Private - P6 - TRUE | .(...) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.)  =>PUP.SweetIM
O87 - FAEL: "{9F2FA8B6-6DF9-413C-BB36-41C7FFEA3E20}" |In - Private - P17 - TRUE | .(...) -- C:\Program Files\SweetIM\Communicator\SweetPacksUpdateManager.exe (.not file.)  =>PUP.SweetIM
[HKLM\Software\Google\Chrome\Extensions\amfclgbdpgndipgoegfpkkgobahigbcl]   =>Hijacker.SmartBar^
[HKLM\Software\Google\Chrome\Extensions\ealchnonpofjocgofjpopjdoegbbkofj]   =>Adware.AddLyrics^
[HKLM\Software\Google\Chrome\Extensions\jbajpeofkjjeiamcglnmldoboonfkiol]   =>Adware.Bandoo^
[HKLM\Software\Google\Chrome\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn]   =>PUP.SweetIM^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{59C0C5BD-2579-433A-BBB8-AFFD59642BAF}]   =>Adware.AddLyrics^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\happylyrics@hpyproductions.net]   =>Adware.AddLyrics^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{3D1A297B-5565-475A-8455-055E628B39CF}]   =>Hijacker.SmartBar^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\tuto4pc_fr_39_is1]   =>PUP.Eorezo^
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110011441179}]   =>Adware.GamePlayLabs
[HKCU\Software\SweetIM]   =>PUP.SweetIM
[HKLM\Software\SweetIM]   =>PUP.SweetIM
[HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls]   =>Trojan.FakeAlert
[HKLM\SYSTEM\ControlSet001\Control\Session Manager\AppCertDlls]   =>Trojan.FakeAlert
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179}]   =>PUP.CrossRider
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110011441179}]   =>PUP.CrossRider
[HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\Arpcache\tuto4pc_fr_39_is1]   =>Spyware.AgenceExclusive
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110011441179}]   =>PUP.CrossRider
C:\Program Files\tuto4pc_fr_39   =>PUP.Eorezo^
C:\Users\jepa\AppData\Local\tuto4pc_fr_39   =>PUP.Eorezo^
C:\ProgramData\Software   =>Adware.Boxore
C:\Users\jepa\AppData\Local\Software   =>Adware.Boxore
C:\Users\jepa\AppData\Local\Google\Chrome\User Data\Default\Extensions\amfclgbdpgndipgoegfpkkgobahigbcl   =>Hijacker.SmartBar^
C:\Users\jepa\AppData\Local\Google\Chrome\User Data\Default\Extensions\ealchnonpofjocgofjpopjdoegbbkofj   =>Adware.AddLyrics^
C:\Users\jepa\AppData\Local\Google\Chrome\User Data\Default\Extensions\jbajpeofkjjeiamcglnmldoboonfkiol   =>Adware.Bandoo^
C:\Users\jepa\AppData\Local\Google\Chrome\User Data\Default\Extensions\jcdgjdiieiljkfkdcloehkohchhpekkn   =>PUP.SweetIM^
[HKCU\Software\AppDataLow\Software\HappyLyrics]   =>Adware.AddLyrics^
C:\Users\jepa\AppData\Local\tuto4pc_fr_39\upt4pc_fr_39.cyp   [544]   =>PUP.Eorezo^
C:\Users\jepa\AppData\Local\tuto4pc_fr_39\tuto4pc_fr_39\1.10\eorezo.cyl   [69]   =>PUP.Eorezo^
MD5.2A3FB4C98F139038E23330D2439DB8A4] - (.Facebook Inc. - Programme d'installation de Facebook.) -- C:\Users\jepa\AppData\Local\Facebook\Update\FacebookUpdate.exe   [138096] [PID.2148]
O4 - GS\Desktop: Public (MyBookLive) (2).lnk - Clé orpheline
O4 - GS\Desktop: Public (MyBookLive).lnk - Clé orpheline
[MD5.00000000000000000000000000000000] [APT] [{012D4D34-3AC6-4E0A-8A68-ED89F5EC8D15}] (...) -- C:\Users\jepa\Downloads\Windows_Movie_Maker_2.0.exe (.not file.)   [0]
[MD5.00000000000000000000000000000000] [APT] [{982F8CFB-D421-48FE-A779-2B9B5F98ADFF}] (...) -- E:\Instal.exe (.not file.)   [0]
[MD5.00000000000000000000000000000000] [APT] [{EC841ED8-402B-4658-92C0-8B090C294C3C}] (...) -- C:\Users\jepa\Desktop\XXX Password checker portable\WRACKBPC.sfx.exe (.not file.)   [0]
O42 - Logiciel: Google Update Helper - (.Google Inc..) [HKLM] -- {A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}   
G2 - GCE: Preference [User Data\Default] [eooncjejnppfjjklapaamhcdmjbilmde] Delta Toolbar v.1.4 (Désactivé)  =>Toolbar.DeltaSearch
G2 - GCE: Preference [User Data\Default] [kbjlipmgfoamgjaogmbihaffnpkpjajp] Bubble Dock v.1.0.0.130 (Désactivé)  =>Toolbar.BubbleDock
M2 - MFEP: prefs.js [jepa - etrm8d07.default\{3112ca9c-de6d-4884-a869-9855de68056c}] [] Google Toolbar for Firefox v7.1.20110512W (..)   
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} . (.Google Inc. - Google Toolbar.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar: Acer eDataSecurity Management - [HKLM]{5CBE3B7C-1E47-477e-A7DD-396DB0476E29} . (.HiTRUST - eDStoolbar Module.) -- C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Google Toolbar - [HKLM]{2318C2B1-4965-11d4-9B18-009027A5CD4F} . (.Google Inc. - Google Toolbar.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{5CBE3B7C-1E47-477E-A7DD-396DB0476E29} Clé orpheline   
O3 - Toolbar\WebBrowser: (no name) - [HKCU]{2318C2B1-4965-11D4-9B18-009027A5CD4F} Clé orpheline   
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {18455581-E099-4BA8-BC6B-F34B2F06600C}   
O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F}   
[HKCU\Software\AppDataLow\Software\Yahoo]  =>Toolbar.Yahoo
[HKCU\Software\Yahoo]  =>Toolbar.Yahoo
[HKLM\Software\Yahoo]  =>Toolbar.Yahoo
O43 - CFD: 23/02/2008 - 23:18:28 - [0,214] ----D C:\Program Files\Yahoo!  =>Toolbar.Yahoo
O61 - LFC: 25/07/2013 - 01:43:12 ---A- C:\Users\jepa\AppData\Local\Google\Toolbar Cache\7.5.4209.2358\fr\translate_element.js.content   [2337]   
O61 - LFC: 25/07/2013 - 01:43:12 ---A- C:\Users\jepa\AppData\Local\Google\Toolbar Cache\7.5.4209.2358\fr\translate_languages.json.content   [1497]   
O61 - LFC: 25/07/2013 - 01:43:12 ---A- C:\Users\jepa\AppData\Local\Google\Toolbar DNS data\data   [89]   
O61 - LFC: 26/07/2013 - 03:44:15 ---A- C:\Users\jepa\AppData\Local\Google\firefox-toolbar.xml   [466]   
[HKLM\Software\Google\Chrome\Extensions\eooncjejnppfjjklapaamhcdmjbilmde]   =>Toolbar.DeltaSearch^
[HKLM\Software\Google\Chrome\Extensions\kbjlipmgfoamgjaogmbihaffnpkpjajp]   =>Toolbar.BubbleDock^
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{27100E88-8830-44ED-9D6A-CA24F3523F39}]   =>Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08C06D61-F1F3-4799-86F8-BE1A89362C85}]   =>Toolbar.Orange
[HKLM\Software\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}]   =>Toolbar.Orange
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}]   =>Toolbar.eDataSecurity
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}]   =>Toolbar.eDataSecurity
[HKLM\Software\Classes\CLSID\{5CBE3B7C-1E47-477E-A7DD-396DB0476E29}]   =>Toolbar.eDataSecurity
C:\Program Files\Yahoo!   =>Toolbar.Yahoo^
C:\Users\jepa\AppData\Local\Google\Chrome\User Data\Default\Extensions\eooncjejnppfjjklapaamhcdmjbilmde   =>Toolbar.DeltaSearch^
C:\Users\jepa\AppData\Local\Google\Chrome\User Data\Default\Extensions\kbjlipmgfoamgjaogmbihaffnpkpjajp   =>Toolbar.BubbleDock^
[HKCU\Software\AppDataLow\Software\Yahoo]   =>Toolbar.Yahoo^
[HKCU\Software\Yahoo]   =>Toolbar.Yahoo^
[HKLM\Software\Yahoo]   =>Toolbar.Yahoo^

FirewallRaz
EmptyFlash 
Emptytemp


• Lances ZHPFix, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
  
  
  1. Dans ZHPFix clic sur l'îcone : "coller le presse-papier"
  2. Puis Clic sur "GO"
     
     
• Confirmes les nettoyages des données en cliquant sur "Oui"
  
  
• Une fois le scan terminé rends toi sur le bureau, le fichier ZHPFixReport à été crée.
• Héberge le rapport ZHPFixReport sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse.

Voilà après ça on nettoie un peu ce qui est inutile sur le PC et on enlève tout les outils utilisés si tu n'as plus de soucis après ça bien sur

[vincent.domod]

Voilà le rapport ZHPFixReport :



A la fin du nettoyage, il m'a demandé si je confirmais la désinstallation de "Windows Installer". Du coup, ça m'a supprimé la Google Toolbar sur IE...

[Raptor14]

Re,

Oui j'ai pris l'initiative de la supprimer car ton PC était remplit de cochonneries

• Télécharge SFTGC.exe (de Pierre13) sur ton Bureau. IL NE PEUT PAS AILLLIEUR !
  
• Lance SFTGC, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Clique sur GO
  
  
  
  Note : A la fin un rapport va s'ouvrir
  
  
• Une fois le scan terminé rends toi sur le bureau, le fichier SFT.txt à été créé.
  
• Héberge le rapport SFT.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

Après on terminé Toujours ton soucis ?

[vincent.domod]

Voilà le rapport SFTGC.txt:



Plus de souci apparement, ça va beaucoup mieux
J'ai l'impression de ne plus avoir de problèmes, ça fait du bien

En passant, j'avais sur le PC des logiciels d'une désinfection précédente (remontant à quasiment 1 an me semble-t-il?): ZHPDiag, ZHPFix, ComboFix + un raccourci MBRCheck, + un fichier SXCU.exe