PC qui déraille

Utilisateur anonyme -  
 Utilisateur anonyme -
Bonjour,
Suite à une invasion de trojan, adwares et autres malwares, découvert avec MALWARESBYTES, j'ai mon PC qui déraille de temps en temps ce qui me laisse à penser que quelque chose reste .
J'ai des ouvertures intempestives de fenêtres, ma souris se déconnecte. Il faut que je redémmare pour remettre normal.
Des logiciels disparaissent et reviennent.
J'ai lancé l'utilitaire CHKDSK avec "excécuté" je n'ai que la première étape "fichier" qui s'opère ensuite le PC se coupe et se relance avec CHKDSK sur 3 étapes. A ce sujet, les rapport sont stockés où s'il y en a?
J'ai relancé CHKDSK depuis un clic droit sur Disque C/ propriétés/outils/vérifiez maintenant et ce sont 5 étapes qui se lancent.
- Etape 1/ vérification fichiers/ok
- Etape2/ vérification index/ok
- Etape 3/ sécurité et journal USN/ok
- Etape 4/ données du fichier/ cluster endommagé fichier 53178
\DOCUM~1\DENIS\PrivacIE\index.dat.

- Etape 5/ pas eût le temps de noter, je n'était pas devant le PC.
Quels sont vos commentaires. Merci.
J'ai passé, Spybot, CCleaner et mon anti virus NOT32 sans qu'il ne trouve rien. Les "ennuis" ont commencés lors d'une mise à jour du logiciel de messagerie Incrédimail (que j'ai vite viré depuis). J'ai installé depuis Outlook 6 mais il semble qu'il y ait aussi des soucis car on m'a averti que mes Emails arrivés en plusieurs dizaine d'exemplaires avec une possible infection signalée par Avast. J'ai moi-même des retours d'Emails non remis.
Je sollicite une aide. Merci



--
Tout est écrit, la vie n'est qu'un brouillon que tu dois mettre au propre.

14 réponses

  1. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut dines33

    La première chose a faire est de changer mot de passe et question secrète de ta messagerie...

    On va vérifier cela, télécharge RSIT (de random/random) sur le bureau ici :
    http://images.malwareremoval.com/random/RSIT.exe

    - Double clique sur RSIT.exe qui est sur le bureau
    Vista - Clique droit sur RSIT.exe qui est sur le bureau et choisir exécuter en tant qu'administrateur

    - Clique sur Continue dans la fenêtre
    - RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
    - Poste le contenue des deux rapports, log.txt et info.txt(réduit dans la barre des tâches) à la fin de l'analyse

    Utilise cjoint.com pour poster en lien tes rapports :
    https://www.cjoint.com/

    - Clique sur Parcourir pour aller chercher le rapport C:\rsit\log.txt
    - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

    - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

    Et fais la même chose avec l'autre rapport C:\rsit\info.txt

    @++ :)
    0
    1. Utilisateur anonyme
       
      Salut dédétraqué (drôle de pseudo). Merci de ton intervention. Je suis tes conseils
      0
  2. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut dines33

    Télécharge AD-Remover sur ton Bureau. (Merci à C_XX)
    http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

    Miroir:
    https://www.androidworld.fr/

    /!\ Ferme toutes applications en cours /!\

    /!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil.

    - Double-clique sur l'icône Ad-remover située sur ton Bureau.
    (Vista/7 - Faire un clique droit sur l'icône AD-Remover située sur ton Bureau et choisir exécuter en tant qu'administrateur.)
    - Sur la page, clique sur le bouton « Scanner »
    - Confirme lancement du scan
    - Laisse travailler l'outil.
    - Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    @++ :)
    0
    1. Utilisateur anonyme
       
      Bonjour dédétraqué. Je reprend le fil
      Installer AD-Remover mais au moment de l'exécuter en tant qu'administrateur il me refuse l'exécution. J'ai donc repris le post et vue qu'il fallait désactiver l'anti-virus (NOT32), Spybot et Malwarebyte sauf que là je ne trouve pas de boutons ou autres pour une désactivation provisoire.
      Comme tu écrit que ce qu'il faut faire sous Vista et Win 7, étant sous XP, ce doit être différent. Double clic sur l'icône: exécuter , changement d'icône mais toujours pareil, le même problème:
      "Variable must be of type "object".
      Je ne suis pas trop doué en informatique mais il me semble que si je ne désactive pas d'abord mon anti virus et autres, je ne pourrais pas le lancer.
      0
    2. Utilisateur anonyme
       
      Re. Je viens de désactiver mes protection mais sans grand succés quant au lancement d'AD-Remover. Je suis toujours en "Echec d'ouverture, restriction de compte.........."
      0
  3. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    0
    1. Utilisateur anonyme
       
      Désolé, j'ai posté avant la réponse mais le résultat est le même. J'avais également trouvé ces réponses à mes questions de désactivation. En revanche concernant l'autre lien Spyware Doctor, dois-je l'installer et si oui, n'y aura--t-il pas de conflits avec Spybot? Merci
      0
  4. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut dines33

    Tu es sur XP... Donc double clique sur AD-Remover... Pas de clique droit cela est pour Vista/7.

    @++ :)
    0
    1. Utilisateur anonyme
       
      Bonjour. Double clic sur AD-Remover, Exécuter, ensuite une nouvelle icône vient sur le bureau, double clic dessus et message
      AUTALT ERROR
      Line 5636 (File"C:\Program Files\Ad-Remover\main.exe")
      Error: Variable must be of type "Object"

      Voilà ou j'en suis.
      Hier soir nouveau scan avec Spybot qui m'a encore trouvé un trojan mais cette fois ci, il l'a pu corriger le problème à l'inverse du premier (Krypton) qui m'affichait un message de possible suppression au redémarrage chose qu'il n'a jamais pu faire, seul Malwarebyte à pu le contrer.
      Je te joint le rapport Spybot
      https://www.cjoint.com/?hqhgrCSrBj
      Dois-je faire un nouveau Hijack This?
      Merci encore.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut dines33

    Double clique sur le raccourci d'HijackThis sur ton Bureau, clique sur Do a scan system only coche la case devant la(les) ligne(s) suivante(s) si présente(s)
    Si pas de raccourci sur le bureau, il ce trouve ici :
    C:\Program Files\trend micro\DENIS.exe

    O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
    O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - (no file)
    O2 - BHO: (no name) - {74322BF9-DF26-493f-B0DA-6D2FC5E6429E} - (no file)
    O2 - BHO: Security Helper {B3312915-9368-4FE4-8D4E-B60E5B36D0FF} - {B3312915-9368-4FE4-8D4E-B60E5B36D0FF} - (no file)
    O2 - BHO: (no name) - {D5D33A26-F043-4808-B335-6B10630E04F8} - (no file)
    O3 - Toolbar: (no name) - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - (no file)
    O3 - Toolbar: (no name) - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)


    - Ferme les fenêtres en cours sauf HijackThis, clique sur Fix checked

    - Quitte HijackThis

    -----

    Télécharge OTM (de Old_Timer) sur le bureau :

    http://www.geekstogo.com/forum/files/file/402-otm-oldtimers-move-it/

    Double-clique sur OTM.exe sur le bureau
    (Vista/Seven --> Faire un clic droit sur OTM sur le bureau et choisi "Exécuter en tant qu'administrateur".)

    - Copie le texte qui se trouve en gras ci-dessous et colle le dans le cadre de gauche de OTM nommé Paste Instructions for Items to be Moved

    :services
    OMSI download service
    RemoteRegistry

    :reg
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinUsr]

    :files
    c:\found.001
    :\WINDOWS\DUMPfeb3.tmp
    C:\WINDOWS\DUMPf1f1.tmp
    C:\WINDOWS\DUMPad08.tmp
    C:\WINDOWS\DUMP10c4.tmp
    C:\WINDOWS\DUMP0059.tmp
    c:\found.000

    :commands
    [emptytemp]


    - Clique sur MoveIt! pour lancer la suppression.
    - Ferme OTM

    Ton PC va redémarrer pour finir la suppression, si il ne le fais pas lui-même, redémarre le.

    Poste le rapport de OTMoveIt qui se trouve dans C:\_OTM\MovedFiles.

    @++ :)
    0
  7. kduc Messages postés 1537 Statut Membre 133
     
    Hello à tous deux !

    A la question ...

    "En revanche concernant l'autre lien Spyware Doctor, dois-je l'installer et si oui, n'y aura--t-il pas de conflits avec Spybot? Merci"

    C' est non pour l' installation !

    https://forum.malekal.com/viewtopic.php?t=12847&start=

    Bonne désinfection, nettoyage.

    PS : sauf erreur, pas trace de lien concernant Spyware Doctor.
    0
  8. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut kduc

    J'avais loupé cette question... Merci

    @++ :)
    0
    1. Utilisateur anonyme
       
      Bonsoir dédétraqué.
      Je vois que d'autres personnes s'intéressent à nous et je les en remercie.
      Je viens de faire le post. Un peu long car j'ai imprimé ce qui était marqué pour ne rien rater (j'éspère) et le clavier est un peu incompatible avec mes gros doigts mais bon je m'adapte.
      Donc voici le rapport OTM
      https://www.cjoint.com/?hqxvJSCrsh
      Je vous tire tout de même un grand coup de chapeau pour vos connaissances. Pour moi très néophyte et pas de la génération informatique, c'est un peu de l'Hébreu à ce niveau à part : restauration, défragmentation et quelques bidouilles, encore chapeau mais j'espère ne pas vous complimenter pour rien. Cordialement
      0
  9. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut dines33

    Il y a eu une erreur dans le script, tu as bien copier/coller ceci en gras:

    :services
    OMSI download service
    RemoteRegistry

    :reg
    [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinUsr]

    :files
    c:\found.001
    :\WINDOWS\DUMPfeb3.tmp
    C:\WINDOWS\DUMPf1f1.tmp
    C:\WINDOWS\DUMPad08.tmp
    C:\WINDOWS\DUMP10c4.tmp
    C:\WINDOWS\DUMP0059.tmp
    c:\found.000

    :commands
    [emptytemp]


    -----fin

    Erreur
    Error: Unable to interpret <: reg> in the current context!
    Error: Unable to interpret <: files> in the current context!


    Espace entre les deux points et reg, files...

    @++ :)
    0
    1. Utilisateur anonyme
       
      Bonjour. Désolé je recommence et t'envoie ça.
      Fait copier/coller et voici le rapport.
      https://www.cjoint.com/?hriIgMWF8Z
      J'ai des soucis qui me viennent d'Outlook car lorsque j'envoie une pièce jointe, elle est illisible et une alerte virale s'affiche chez plusieurs de mes destinataires. Avec les messageries GMail, AOL ou SFR pas de soucis. Je pense qu'il est bon de te le noter.
      Tu peut me faire quelques commentaires sur tes interventions si ça t'es possible et si tu en a le temps sinon on verra à la fin. Simple curiosité. Merci
      0
  10. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut dines33

    As-tu fais ceci :
    La première chose a faire est de changer mot de passe et question secrète de ta messagerie...

    Télécharge combofix.exe (de sUBs) sur le bureau :

    http://download.bleepingcomputer.com/sUBs/ComboFix.exe
    http://www.geekstogo.com/forum/files/file/197-combofix-by-subs/

    Important Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
    https://forum.pcastuces.com/default.asp
    https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/

    ==> Sauvegarde ton travail et ferme toutes les fenêtres actives, il peut y avoir un redémarrage du PC. Ne lance aucun programme tant que Combofix n'est pas fini. <==

    Double clique sur combofix.exe, clique sur OUI et valide par Entrée

    Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse.

    NOTE : Le rapport se trouve également ici : C:\Combofix.txt

    Combofix est détecté par certains antivirus comme une infection, ne pas en tenir compte, il s'agit d'un faux positif, continue la procédure

    @++ :)
    0
    1. Utilisateur anonyme
       
      Me revoilà. J'ai effectué Combofix dont voici le rapport:
      https://www.cjoint.com/?hrqJOXjKyj
      Mon anti virus NOT32 module de protection Amon s'est réactivé tout seul avec 2 infections et 1 nettoyage. Je suis aller voir ce que c'était et il s'agit peut-être de Combofix car la menace décrite est:
      Eicar fichier test.
      Est-ce ça?
      Un commentaire sur le rapport!
      Concernant Outlook 6, je l'ai supprimé. Je l'avais mis en attendant mais comme j'ai créé une adresse GMail, je n'ai plus de problème ni d'envois ni de réception. J'avais déjà eût des soucis avec lui par le passé et puis il n'est pas très agréable (pour moi).
      Cordialement
      0
  11. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut dines33

    Cela est bon plus rien de suspect, on va vérifier si rien de caché :
    Faire un scan avec Nod32 en ligne (il faut utiliser Internet Explorer) ici :

    https://www.eset.com/int/home/online-scanner/

    (coche toutes les cases à chaque fois, sauf les deux dernières a la fin du scan, sinon le rapport est supprimer)
    A la fin, colle le rapport : C:\Program Files\EsetOnlineScanner\log.txt

    @++ :)
    0
    1. Utilisateur anonyme
       
      Bonsoir dédétraqué.
      C'est vachement long comme scan. 3H18, 10%, 6427 fichiers. C'est normal?
      Je pense que tu aura le rapport demain vue l'heure.
      A demain donc. Cdt.
      Bonjour dédétraqué.
      Le scan est fini, on est dimanche 18/07 il est 07h45. Voici le rapport:
      https://www.cjoint.com/?hshUms3GSi
      Il semblerais qu'il me reste encore une saleté. T'en pense quoi?
      Cordialement.
      0
  12. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut dines33

    Cela est bon, as-tu d'autre souci?

    @++ :)
    0
    1. Utilisateur anonyme
       
      Bonjour dédétraqué.
      Ça y est, un grand merci pour ton aide et pour avoir sortir toutes ces saletés.
      Question: pourquoi n'ai-je toujours pas la possibilité d'effectuer une restauration du système par "mes programmes/ accessoires / outils système. Même si ça ne me gène pas vraiment car il y a d'autres chemins, c'est plus une question de curiosité.
      Autre question concernant Net Framework. Je te joint une impression d'écran du panneau "Ajout suppression de programme"
      https://www.cjoint.com/?hsrymnbv5Q
      Je ne comprend pas pourquoi d'une part j'ai un stock de Net Framewok et d'autre part, comme je le note, lorsque je clique sur "réparer" je suis bloqué. En a-t-on vraiment besoin et si non puis-je les retirer comme indiqué dans une astuce de CCM
      https://www.commentcamarche.net/faq/25838-supprimer-facilement-les-net-framework
      car j'ai essayer en vain l'autre méthode:
      https://www.commentcamarche.net/faq/1286-windows-update-net-framework-les-patchs-kb-la-solution
      elle n'a pas fonctionné pour moi du moins.
      Peut-tu me renseigner. Merci . Cdt
      0
  13. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut dines33

    Question: pourquoi n'ai-je toujours pas la possibilité d'effectuer une restauration du système par "mes programmes/ accessoires / outils système. Même si ça ne me gène pas vraiment car il y a d'autres chemins, c'est plus une question de curiosité.
    Doit resté une clé de registre bloqué, on va vérifier :
    Refais un scan avec RSIT et poste le contenu du rapport log.txt à la fin de l'analyse

    Le rapport est dans le dossier ici C:\rsit

    -----

    Pour ton problème de Framework là je m'y connais pas trop, cela te cause tu un problème?

    @++ :)
    0
    1. Utilisateur anonyme
       
      Re et merci
      Voici le rapport RSIT
      https://www.cjoint.com/?hsudBnEe4j
      Concernant Framework, je vais faire ce que dit l'astuce CCM et je vais bien voir. De toute façons ce n'est qu'un protocole et si un programme en a besoin, ce sera mentionné et j'agirais en fonction.
      Pour la resto. te prend pas trop la tête vue que comme je te l'ai dit, plusieurs chemins y mènent.
      Merci tout de même. Cdt
      0
  14. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut dines33

    Télécharge Zeb-Restore et enregistre ce fichier sur le bureau :

    http://telechargement.zebulon.fr/zeb-restore.html
    https://www.tayo.fr/download/zebrestore

    - Clic droit sur Zeb-Restore.zip ==> Extraire tout choisis comme lieu d'enregistrement le bureau.

    - Ouvre le dossier ZR_1.0.0.37 ==> double clic sur Zeb-Restore.exe

    - Coche la case devant Restauration du système clique sur Restaurer

    ** Ne coche aucune autre case

    - Un redémarrage sera peut être nécessaire pour que les changements soient pris en compte

    @++ :)
    0
    1. Utilisateur anonyme
       
      Bonsoir dédétraqué
      J'ai effectué tes conseils et c'est pareil.
      https://www.cjoint.com/?hswJiEnOQD
      Voilà ce que ça fait.
      Ne te prend pas la tête avec ça ton aide m'a été bcp plus précieuse pour le reste. Garde ton énergie pour d'autres réels problèmes; Je tiens encore à te remercier très chaleureusement. Cordialement. Denis.
      0
  15. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut dines33

    Ton lien n'est pas lisible!!!!

    @++ :)
    0
    1. Utilisateur anonyme
       
      Bonjour dédétraqué.
      J'ai encore de l'instabilité dans mon système. Des fenêtres s'ouvrent encore intempestivement , je n'ai plus de contrôle de la souris et la loupe s'affiche. En ce moment, quand je tape, comme je ne regarde pas toujours le clavier, je m'aperçois que les lettres ont un temps de retard pour s'inscrire quant elles s'inscrivent.
      J'ai arrêté le système puis relancé. J'ai lancé Spybot qui n'a rien trouvé. Je vais lancer le reste de la cavalerie,(NOD32 et Malwarebyte).
      Le PC est long à s'ouvrir. Entre le logo Windows et le choix de l'utilisateur, il se passe entre 1 mn et 1 mn 30. La souris dirigée sur le choix de l'utilisateur n'est pas stable. Ça ne dure que quelques secondes (4/5) Ensuite l'écran s'ouvre, NOD32, et si je veut de suite ouvrir soit le courrier soit le net, il me faut attendre environ 45 s à 1 mn.
      Je suis abonné à la new de Sécure.com et il y aurait encore une faille de sécurité sur Windows sans correctif. Voici le lien:
      http://www.secuser.com/vulnerabilite/2010/100717-windows.htm
      Tu en pense quoi STP. Merci
      Tu pense quoi également de ce lien:
      http://www.commentcamarche.net/download/telecharger-34060474-odn
      0