[del2]

Bonjour,je viens de récupérer un PC portable qui n'avait pas été utilisé depuis plus environ 2 ans et assez infecté. C'est un portable sous windowsvistaJ'essaye de le nettoyer mais je bloque sur quelques points:- j'ai remis à  jour l'antivirus (avira)- j'ai fait une passe avec différents outils de désinfection, ce qui a permis de supprimer pas mal de chose don un win32/patched.ub:1) combofix2) zhpdiag 3)adwcleaner4)malwarebytes5)tdsskiller5) ccleanerceci a permis de supprimer lewin32/patched.ub, l'antivirus ne trouve plus rien mais un nouveau diag avec zhpdiag montre qu'il y a au moins 2 choses dont je n'arrive pas à  me débarasser:---\\ Récapitulatif des détections trouvées sur votre stationhttp://nicolascoolman.fr/rootkit-tdss =>Rootkit.TDSShttp://www.nicolascoolman.fr/blog/ =>Toolbar.Agent~ MSI: 2 link(s) detected in 00mn 00sLe lien ci-dessous contient le diag:http://pjjoint.malekal.com/files.php?id ... d7f10e15Je vous remercie par avance pour votre aide, peut être qu'un script ZHPfix permettra de supprimer ce qui résiste.del2

[buckhulk]

Je m'appelle buckhulk... Je te conseille de désactiver ton antivirus pour chaque téléchargement de logiciel de désinfection- à savoir que je ne prend pas en charge les ordinateurs encore sous XP- Ne suis pas deux désinfections en même temps et si tu as un soucis avec un outil parles-en .- Ensuite donne moi des "nouvelles de ton ordinateur assez fréquement (comme un médecin pour adapter les "médicaments") et héberges bien les rapports .- Les outils doivent être téléchargés sur le bureau (c'est à  dire dans un raccourcis de ton dossier téléchargement, puis tranférés sur ton bureau )- Ouvert avec un clic droit (exécuter en tant que..).- Même si ton ordinateur à  l'air de mieux fonctionner , une désinfection doit être faite complètement- Désinstalle tes µtorrent car bien qu'il ne soient pas infectieux , c'est leur utilisation (mauvaise) qui t'amènent des virus ...Après si tu veux les remettre..... Regarde ICIEt aussi , à  lire , instructif :Concernant les P2P- Pour commencer sur de bonne bases , tu vas passer Delfix de faà§on à  avoir les dernière version des logiciel que je te demanderais de télécharger Merci : DelfixDelfix à  changé et est devenu plus performant !1 - Télécharges DelFix sur votre bureau ICI 2 - Vous pouvez cocher la case "réactiver l'UAC s'il a été désactivé !la case "suprimer les outils de désinfection est cochée par défaut !3 - vous pouvez cocher la case "éffectuer une sauvegarde du registre ! (au cas ou il y est un pbl )4 - vous pouvez cocher la case "purger la restauration système" tous les anciens points seront supprimés et un nouveau "sain" sera créer !5 - enfin cliquez sur : exécuterps : Si c'est en milieu de désinfection ou si ce n'est pas indiqué, le passer comme il est programmé !_______________________________________________________________________- Pourquoi avoir utilisé Combofix ??un Helper t'a aidé ou tu l'as utilisé tout seul ?- Et TDSSKiller , même question ?- Navigateur internet pas à  jour : MSIE: Internet Explorer v7.0.6001.18000 => Microsoft Internet Explorer Updates↓ Mise à  jour Internet Explorer- Tu as vista (Windows Vista Home Premium, 32-bit Service Pack 1 (Build 6001) ) il faut savoir que c'est bientôt fini le support de Microsoft :vista 11 Avril 2007 : Regarde ICI- Adobe Reader à  mettre à  jour aussi : Adobe Reader X => Adobe Systems >> Adobe Reader décocher McAfee- Java aussi : Java 6 Update 22 >> java ICI Version 8 Update 25- En effet tu as aussi une infection TDSS donc on va repasser TDSSKiller , ensuite ZHPCleaner puis tu me referas un ZHPDiag s'il te plait !Merci !________________________________________________________________________________________1 - Télécharge TDSSKiller (de Kaspersky Labs) Lien directOu en : .ZIP2 - Lance le (si tu utilises Windows Vista ou 7 : fais un clic-droit dessus et choisis "Exécuter en tant qu'administrateur") il s'installe3 - Cliquer deux fois sur accepter 4 - Clique sur Start Scan pour démarrer l'analyse.5 - Si des éléments néfastes sont identifiés par l'outil, vérifie que Cure est bien coché. S'il indique "suspicious", laisse l'option Skip.6 - Ensuite, clique sur Continue puis sur Reboot Now si nécessaire.7 - S'il n'y a rien tu auras à§a :8 - Un rapport s'ouvrira au redémarrage de l'ordinateur.9 - Copie/colle son contenu dans ta prochaine réponse (il se trouve également sous C:\TDSSKiller.N°deversion_Date_Heure_log.txt)[/list]_____________________________________________________________________

Désactiver l'Anti-virusTon moteur de recherche va se fermer il faudra le réouvrir pour poster les rapportstéléchargement : ZHPcleaner de Nicolas Cooleman- Cliquer sur le Bouton Bleu + Nicolas Coolman :- Cet outil ne nécessite aucune installation, il est très rapide car basé sur l'éxécution de scripts.- Accepte "les conditions d'utilisation"- Il restaure les paramètres Proxy par défaut,- Il supprime les redirections des raccourcis de navigateurs (Infection par argument),- Il restaure les pages de démarrage et de recherche dun navigateur Internet Explorer (Base de Registres),- Il restaure la page de démarrage du navigateur Mozilla Firefox (Fichier de préférences),- Il restaure la page de démarrage du navigateur Google Chrome (Fichier de préférences),- Il restaure la page de démarrage du navigateur Opera (Fichier de préférences),- Il supprime certains Browser Helper Object (BHO) nuisibles de navigateurs,- Il supprime certaines Barres d'outil (Toolbar) nuisibles de navigateurs,- Il répare le fournisseur de recherche par défaut (SearchScope),- En cas de présence d'un proxy, un message apparaà®t avec la question suivante "Avez-vous installé ce proxy ?" suivi de l'adresse IP du proxy.- Si vous n'avez pas installé de Proxy, cliquer sur "NON" pour accepter la réparation du proxy.- Les cases sont cochées suivant le ou les navigateurs présents- Cliquer sur le popup qui apparait- Cliquer sur scanner - Laisser la barre de progression arriver jusquâ€™à  la fin.- A la fin du traitement, un rapport de nettoyage s’affiche dans le bloc-notes le "baisser" (dans le bloc note ,sinon celui de réparer va le remplacer)- Cliquer sur réparer - Fermeture des navigateurs pour le nettoyage- Si tu veux réparer le fichier hôte, il faut désactiver ton antivirus.- Fournir les deux rapportsTutoriel Officiel- Donc un nouveau ZHPDiag s'il te plait !

[del2]

Bonjour Buchhulk,merci de ta réponse rapide et de ton assistance pour mon problème.J'ai suivi l'ensemble de ton protocole avec l'antivirus désactivé.0) Réponses à  tes questions et mises à  jours effectuées:- Pourquoi avoir utilisé Combofix ??un Helper t'a aidé ou tu l'as utilisé tout seul ?Dans mon essai de nettoyage, j'avais identifié W32/patched.ub, a priori difficile à  enlever et j'avais identifié que combofix pouvait être une solution. Je l'ai lancé seul (ce qui n'était peut être pas une bonne idée) après avoir sauvegarder les quelques fichiers important. Cela s'est a priori bien passé et W32/patched.ub semblait avoir disparu.- Et TDSSKiller , même question ?Suite à  combofix, après un passage de ZHPDIag, j'ai vu qu'il restait le TDSS.rootkit. J'ai fait une passe de TDSSKiller espérant le supprimer mais cela n'a pas fonctionné.Mises à  jours diverses:L'ordinateur n'a pas été utilisé pendant 2-3 ans, beaucoup de version de logiciel sont donc obsolètes, j'ai fait quelques mis à  jour des principaux logiciels:[tab=30]- internet explorer: [tab=30][tab=30]je n'utilise pas explorer, il n'est pas à  jour. J'avais par contre a priori mis à  jour firefox[tab=30]- vista [tab=30][tab=30] a priori pas de mise à  jour durant ces deux dernières années. Si j'ai bien compris il n'y a plus de support. Pour le moment je dois faire avec, je verrai ultérieurement si peux migrer au moins sur seven (je n'ai pas windows 8 et le ne connais pas)[tab=30]- adobe reader: [tab=30][tab=30]je croyais avoir fait la mise à  jour. J'ai réessayé mais le processus s'est interrompu avec un message comme quoi la version X était déjà  installée[tab=30]- java: [tab=30][tab=30]j'ai a priori fait la mise à  jour. Le processus a été un peu bizarre: j'ai téléchargé la nouvelle version et je l'ai lancé: un fichier semble avoir été téléchargé puis plus rien. Alors que je lanà§ais ZHhelper dans ton protocole, une fenêtre d'installation java est apparu et la bonne version a a priori été installée.utorrent est désinstallé, je ne sais pas s'il reste des choses associés1) DELFIXJ'ai utilisé DELFIX (le rapport se trouve ici : http://pjjoint.malekal.com/files.php?id ... i7g5i12m13) et j'ai téléchargé les versions à  jours que tu m'a indiqué2) TDSS KillerJe l'ai lancé, il dit n'avoir rien trouvé. Le rapport se trouve ici : http://pjjoint.malekal.com/files.php?id ... p8q13j8z153) ZHP CleanerJ'ai fait le scan. Le rapport se trouve ici : http://pjjoint.malekal.com/files.php?id ... h6f8q5p6t5J'ai ensuite fait le nettoyage. Il m'a indiqué qu'il fallait redémarrer l'ordinateur et que le rapport de nettoyage apparaitrait à  ce moment. J'ai eu un petit soucis au redémarrage ou il n'y avait qu'un écran noir avec le rapport: j'ai pu l'enregistrer et après plusieurs rédémarrage, l'affichage est revenu.Le rapport de nettoyage est ici: http://pjjoint.malekal.com/files.php?id ... t15x8p14f94) ZHP DiagJ'ai relancé ZHP Diag. Le rapport se trouve ici: http://pjjoint.malekal.com/files.php?id ... f7j12p10y9En première approche, le rootkit.TDSS et le toolbar.agent semblent toujours là  (cf extrait ci-dessous).---\\ Récapitulatif des détections trouvées sur votre stationhttp://nicolascoolman.fr/rootkit-tdss =>Rootkit.TDSShttp://www.nicolascoolman.fr/blog/ =>Toolbar.Agent~ MSI: 2 link(s) detected in 00mn 00sMerci de ton assistance.Del2

[buckhulk]

OK tout lu !!!Je pense que c'est des restes ou des faux positif , on va essayer de supprimer avec un script si à§a part pas j'en référerais aux instances supérieures pour le reste tu as assez bien fait les choses !! une formation ne t'intéresserait pas ??avoir deux antivirus c'est pas bon il faut choisir :Avira Free Antivirus v14.0.7.468 pour désinstaller : Avira registry cleaner Ne cocher que les cases correspondantes à  Avira Antivir!Norton Internet Security v16.0.0.125 pour désinstaller : Norton Removal Tool________________________________________________________________________________[align=center]ZHPFix Script[/align][/color]Script :ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !! Ce script va cibler certains éléments à  supprimer :• Copie les lignes suivantes (surligner et copier) :

Code : Tout sélectionner

Script ZHPFixShortcutFixR0 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = about:blank  R1 - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank  O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} . (.Google Inc. - Google Toolbar.) -- C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll  OPT:O4 - HKLM\..\Run: [QuickTime Task] . (.Apple Inc. - QuickTime Task.) -- C:\Program Files\QuickTime\QTTask.exe  OPT:O4 - HKLM\..\Run: [iTunesHelper] . (.Apple Inc. - iTunesHelper.) -- C:\Program Files\iTunes\iTunesHelper.exe  [MD5.00000000000000000000000000000000] [APT] [{5DA7A878-BDA2-40BC-98E1-563F2B31F2C1}] (...) -- C:\Program Files\Skype\Phone\Skype.exe (.not file.)   [0]    => Skype%Phone  O42 - Logiciel: Adobe Flash Player 10 ActiveX - (.Adobe Systems Incorporated.) [HKLM] -- Adobe Flash Player ActiveX    => Adobe Systems  O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {18455581-E099-4BA8-BC6B-F34B2F06600C}    => Toolbar.Google  O42 - Logiciel: Google Toolbar for Internet Explorer - (.Google Inc..) [HKLM] -- {2318C2B1-4965-11d4-9B18-009027A5CD4F}    => Toolbar.Google  O42 - Logiciel: Skype Toolbars - (.Skype Technologies S.A..) [HKLM] -- {981029E0-7FC9-4CF3-AB39-6F133621921A}    => Toolbar.Skype  O43 - CFD: 05/01/2015 - 10:46:52 - [] ----D C:\Program Files\GUM3E28.tmp    => Google Inc - Google Update Manager  O43 - CFD: 25/06/2011 - 16:41:20 - [] ----D C:\ProgramData\eMule    => P2P.eMule  O43 - CFD: 26/07/2009 - 17:11:05 - [] ----D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\BitTornado    => BitTornado PeerToPeer  O43 - CFD: 26/07/2009 - 15:16:27 - [] ----D C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Codec Pack      O43 - CFD: 18/10/2010 - 21:05:46 - [] ----D C:\Users\Marc\AppData\Roaming\Pathcz  O43 - CFD: 17/01/2015 - 12:18:43 - [0] ----D C:\Users\Marc\AppData\Local\eMule    => P2P.eMule  O43 - CFD: 26/08/2012 - 18:06:22 - [] -SH-D C:\Users\Marc\AppData\Local\{5fa063cc-d0ac-bd28-5de4-68ed7407c60c}      O45 - LFCP:[MD5.53474949D1B48EC38D53612F62B9A564] - 17/01/2015 - 12:11:35 ---A- - C:\Windows\Prefetch\UTORRENT.EXE-1070971C.pf   =>P2P.µTorrent O61 - LFC: 16/01/2015 - 21:11:54 ---A- . (.Swearware.) -- C:\Users\Marc\Desktop\suppression virus janvier 2015\ComboFix.exe   [5609736]      O61 - LFC: 17/01/2015 - 21:11:52 ---A- . (...) -- C:\Users\Marc\AppData\Local\Temp\utt5CB.tmp.bat   [53]    => Temporary file not necessary  O61 - LFC: 17/01/2015 - 21:11:52 ---A- . (.Symantec Corporation.) -- C:\Users\Marc\AppData\Local\Temp\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}_NIS.exe   [968808]    => Temporary file not necessary  O61 - LFC: 17/01/2015 - 21:11:54 ---A- . (.Oracle Corporation.) -- C:\Users\Marc\Desktop\désinfection 17-01-15 forum coolman\mise à  jour logiciel\jxpiinstall.exe   [638888]      O81 - IFC: Internet Feature Controls [HKCU] [FEATURE_BROWSER_EMULATION] -- svchost.exe   =>Rootkit.TDSS O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe   =>Rootkit.TDSS O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe   =>Rootkit.TDSS [MD5.B195FBED6351E67B7A3492873729B8E6] [SPRF][19/02/2012] (...) -- C:\ProgramDatavModes.dat   [126556]    => nVidia Modes (Possible)  [MD5.1577C97BDF04A71E7FCBAC33B324B9AF] [SPRF][09/10/2011] (...) -- C:\Users\Marc\Desktop\SetupRiamCodecPack_4.2.7.exe   [49599861]      [HKLM\Software\Classes\Installer\Features\0E9201899CF73FC4BA93F631631229A1]   =>Toolbar.Agent [HKLM\Software\Classes\Installer\Products\0E9201899CF73FC4BA93F631631229A1]   =>Toolbar.Agent [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\0E9201899CF73FC4BA93F631631229A1]   =>Toolbar.Agent [HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{981029E0-7FC9-4CF3-AB39-6F133621921A}]   =>Toolbar.Agent ProxyFix EmptyPrefetchEmptyFlashSysRestore FirewallRAZ  EmptyTemp 

• Lance ZHPFix à  partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)• Clique sur Importer, (vérifie) .Les lignes se collent automatiquement dans ZHPFix, sinon colle les lignes • Avant toute opération, ZHPFix vide la corbeille cela peut durer jusqu'à  plusieurs minutes (mais tu peux dire non )• Clique sur le bouton « GO » pour lancer le nettoyage.• Copie/colle la totalité du rapport dans ta prochaine réponse.Tutoriels ZHPDiag & ZHPFixTu me referas un ZHPDiag après pour vérification !Merci

[del2]

Bonjour Buckhulk,suite à  ton message, j'ai supprimé Norton antivirus (vielle version d'origine et non à  jour du PC) via Norton Removal Tool pour ne conserver qu'Avira.J'ai ensuite lancé le ZPHFix avec ton script et tou s'est bien passé (il a désinstallé durant le processus Adobe Flash Player, google tool bar et skype toolbar).Le rapport se trouve ici : http://pjjoint.malekal.com/files.php?id ... e7l10j14l5Le rapport du nouveau passage de ZHPDiag après ZHPFix se trouve quant à  lui ici: http://pjjoint.malekal.com/files.php?id ... l6s13l6j11Cela m'a l'air nickel: il n'y a plus aucune détection d'indiquée.Merci à  toi pour ton temps et tes conseils.Del2