Virus + cheval de Troie / findgala...
Alex
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Avant tout, je précise que mes connaissances en informatiques sont quasiment nulles, c'est tout juste si je sais faire un tableau excel. Mais je peux comprendre ce qu'on me demande. Donc merci d'avance à la personne tolérante qui pourra m'aider. Voici donc mon problème : mon PC a subi des attaques hier, alors que je surfais sur le web. Pour tout dire - car ça peut peut-être aider - je faisais une recherche google images concernant des t-shirts des Boston celtics, équipe de basket dont je suis fan. L'une des images apparaissant dans la première page de résultats me dirigeait vers un site : deezshirts.com / http://74.125.67.100/images?hl=fr&client=firefox-a&hs=Xg4&rls=org.mozilla:fr:official&channel=s&q=t-shirt%20boston%20celtics&um=1&ie=UTF-8&source=og&sa=N&tab=wi
Je ne sais pas s'il y a un lien de cause à effet, toujours est-il que c'est à partir de ce moment qu'Avast s'est affolé, me mettant en garde contre l'intrusion de virus et autres cheval de troie. J'ai donc quitté ce site et voulu lancer un scan, sauf que j'ai une version gratuite qui apparemment était périmée. J'ai donc fait une mise à jour, mais rien de plus n'a pu se faire : on ne me proposait pas d'autre choix que de passer à la version payante. Ce que je n'ai pas fait car en allant sur des forums - anglophones pour la plupart - j'ai lu que certaines personnes ayant eu ce même problème se faisaient avoir par des virus qui « usurpaient » l'identité de ces anti-virus pour vous faire flipper et vous obliger à payer. Quelqu'un m'a donc conseillé d'installer malwarebytes, ce que j'ai fait. Cette fois le scan a marché et a détecté plus de 700 fichiers infectés, que j'ai mis en quarantaine et supprimés ensuite. Je peux si besoin envoyer le rapport.
Je pensais être sorti d'affaire, sauf qu'en voulant me connecter à google agenda via mon navigateur (Firefox) un message d'alerte me disait que cette connexion n'était pas certifiée. J'ai essayé de le faire via Explorer, mais le même message s'est affiché. Or en essayant de déchiffrer le rapport, j'ai vu qu'un serveur ou je ne sais quoi appelé findgala se faisait passer pour Google, c'est du moins ce que j'ai compris. Cf ci-dessous :
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=2045&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> No action taken.
Peut-il y avoir un lien entre ce « findgala.com » qui se substitue à google.com, et les 2 messages d'avertissement qui s'ouvrent aussi bien sur Firefox que Explorer lorsque je veux me connecter à mon google agenda ? Pour le coup j'ai passé outre l'avertissement sur les conseils d'un technicien que j'ai eu en ligne, mais mon agenda reste indisponible.
Quelqu'un peut-il m'éclairer sur la marche à suivre ? Faut-il que je désinstalle Avast qui est peut-être corrompu ? ou d'autres programmes ?
Merci d'avance, et si besoin du rapport je peux l'envoyer
Alexandre
Avant tout, je précise que mes connaissances en informatiques sont quasiment nulles, c'est tout juste si je sais faire un tableau excel. Mais je peux comprendre ce qu'on me demande. Donc merci d'avance à la personne tolérante qui pourra m'aider. Voici donc mon problème : mon PC a subi des attaques hier, alors que je surfais sur le web. Pour tout dire - car ça peut peut-être aider - je faisais une recherche google images concernant des t-shirts des Boston celtics, équipe de basket dont je suis fan. L'une des images apparaissant dans la première page de résultats me dirigeait vers un site : deezshirts.com / http://74.125.67.100/images?hl=fr&client=firefox-a&hs=Xg4&rls=org.mozilla:fr:official&channel=s&q=t-shirt%20boston%20celtics&um=1&ie=UTF-8&source=og&sa=N&tab=wi
Je ne sais pas s'il y a un lien de cause à effet, toujours est-il que c'est à partir de ce moment qu'Avast s'est affolé, me mettant en garde contre l'intrusion de virus et autres cheval de troie. J'ai donc quitté ce site et voulu lancer un scan, sauf que j'ai une version gratuite qui apparemment était périmée. J'ai donc fait une mise à jour, mais rien de plus n'a pu se faire : on ne me proposait pas d'autre choix que de passer à la version payante. Ce que je n'ai pas fait car en allant sur des forums - anglophones pour la plupart - j'ai lu que certaines personnes ayant eu ce même problème se faisaient avoir par des virus qui « usurpaient » l'identité de ces anti-virus pour vous faire flipper et vous obliger à payer. Quelqu'un m'a donc conseillé d'installer malwarebytes, ce que j'ai fait. Cette fois le scan a marché et a détecté plus de 700 fichiers infectés, que j'ai mis en quarantaine et supprimés ensuite. Je peux si besoin envoyer le rapport.
Je pensais être sorti d'affaire, sauf qu'en voulant me connecter à google agenda via mon navigateur (Firefox) un message d'alerte me disait que cette connexion n'était pas certifiée. J'ai essayé de le faire via Explorer, mais le même message s'est affiché. Or en essayant de déchiffrer le rapport, j'ai vu qu'un serveur ou je ne sais quoi appelé findgala se faisait passer pour Google, c'est du moins ce que j'ai compris. Cf ci-dessous :
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\URL (Hijack.SearchPage) -> Bad: (http://findgala.com/?&uid=2045&q={searchTerms}) Good: (https://www.google.com/?gws_rd=ssl -> No action taken.
Peut-il y avoir un lien entre ce « findgala.com » qui se substitue à google.com, et les 2 messages d'avertissement qui s'ouvrent aussi bien sur Firefox que Explorer lorsque je veux me connecter à mon google agenda ? Pour le coup j'ai passé outre l'avertissement sur les conseils d'un technicien que j'ai eu en ligne, mais mon agenda reste indisponible.
Quelqu'un peut-il m'éclairer sur la marche à suivre ? Faut-il que je désinstalle Avast qui est peut-être corrompu ? ou d'autres programmes ?
Merci d'avance, et si besoin du rapport je peux l'envoyer
Alexandre
A voir également:
- Virus + cheval de Troie / findgala...
- Virus mcafee - Accueil - Piratage
- Virus facebook demande d'amis - Accueil - Facebook
- Comment supprimer cheval de troie gratuitement - Télécharger - Antivirus & Antimalwares
- Undisclosed-recipients virus - Guide
- Panda anti virus gratuit - Télécharger - Antivirus & Antimalwares
76 réponses
▶ Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau.
mais cette fois-ci :
▶ choisis l'Option Clean
ton PC va redemarrer,
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
▶ colle le contenu dans ta reponse
mais cette fois-ci :
▶ choisis l'Option Clean
ton PC va redemarrer,
laisse travailler l'outil.
en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,
▶ colle le contenu dans ta reponse
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
je refais à l'identique avant de lancer l'analyse ? (cf post que tu m'as envoyé au début de ton intervention avec les case à cocher etc)
▶ Télécharge Zeb-Restoreet enregistre ce fichier sur le bureau.
▶-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
▶-Ouvre le dossier ZR_1.0.0.37 ==> double clic (pour vista / 7 = clic droit "executer en tant qu'.........") sur Zeb-Restore.exe
▶- Coche la case devant : fichiers hosts
▶- Ne coche aucune autre case
▶-Clique sur Restaurer
▶-Redémarre ton PC pour la prise en compte de cette action
ensuite :
▶ clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"iTunesHelper"=-
"QuickTime Task"=-
:Files
C:\ProgramData\MSGMDTOQE
C:\ProgramData\8cff90c
:commands
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
?G3?-?@¢??@?(TM)©®?
▶-Clic droit Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.
▶-Ouvre le dossier ZR_1.0.0.37 ==> double clic (pour vista / 7 = clic droit "executer en tant qu'.........") sur Zeb-Restore.exe
▶- Coche la case devant : fichiers hosts
▶- Ne coche aucune autre case
▶-Clique sur Restaurer
▶-Redémarre ton PC pour la prise en compte de cette action
ensuite :
▶ clic droit "executer en tant qu'administrateur" sur OTL.exe pour le lancer.
▶Copie la liste qui se trouve en gras ci-dessous,
▶ colle-la dans la zone sous "Personnalisation" :
:processes
explorer.exe
iexplore.exe
firefox.exe
msnmsgr.exe
Teatimer.exe
:Reg
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"Adobe Reader Speed Launcher"=-
"iTunesHelper"=-
"QuickTime Task"=-
:Files
C:\ProgramData\MSGMDTOQE
C:\ProgramData\8cff90c
:commands
[emptytemp]
[start explorer]
[reboot]
▶ Clique sur "Correction" pour lancer la suppression.
▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail appres le redemarrage.
?G3?-?@¢??@?(TM)©®?
j'ai un souci : je coche sur la case fichier host puis fais restaurer et j'ai message me disant "erreur d'exécution '75' : erreur dans le chemin d'accès
ca a pété au bureau donc il faut que je refasse la manip. Avant de la refaire, dois-je garder la même configuration qu'au début (cas purity et lopy cochées, 60 jours etc) ?
je l'ai fait, mon ordi a mis un peu de temps à redémarrer, mais pas de rapport au redémarrage
ci-joint pour être sûr d'avoir bien compris, la configuration qd j'ouvre OTL (je n'ai touché à rien, j'ai juste copié le texte et appuyé sur correction
http://www.cijoint.fr/cjlink.php?file=cj201005/cijLvsV928.jpg
ci-joint pour être sûr d'avoir bien compris, la configuration qd j'ouvre OTL (je n'ai touché à rien, j'ai juste copié le texte et appuyé sur correction
http://www.cijoint.fr/cjlink.php?file=cj201005/cijLvsV928.jpg
