Désinfection totale ? Fermé

Question

Bonjour tout le monde,

je me permet de créer un sujet car je me suis fait piraté il y a 2 jours mon compte  msn/hotmail et steam par une personne, et mon compte esl (jeux en leagues) par une
autre personne !
La personne ayant piraté mon msn/hotmail et steam est ensuite venue me parler en me
donnant en clair mon mot de passe, mon numéro de carte banquaire etc. Heureusement 
j'avais le jour même clôturer mon compte paypal, fait opposition sur ma carte 
banquaire, limitant ainsi les dégats.
Je me suis donc fais piraté par 2 personnes différentes, en 2 jours ! Ce qui 
m'inquiete énormément, je n'ai plus confiance en mon ordinateur (je ne me log sur
mes autres e-mails, dont j'ai changé les password, qu'à partir d'un autre ordi), 
car je ne sais pas comment ils ont fait (je ne me souviens pas avoir cliqué sur des
liens louches, installé des logiciels douteux ...), et je crains qu'il n'ait 
toujours accès à mon ordinateur (keylogger ...).

Un ami a déjà eut des problèmes de virus et trojan, et il a été guidé pas à pas par 
une personne de ce forum qui lui a résolu son problème.

Comme on dit, une fois mais pas 2, je souhaite donc changer radicalement mes 
habitudes niveau sécurité (sans tomber dans la paranoia), mieux vaut tard que
jamais. On apprend de ses erreurs

Je vous en supplie, aidez moi à nettoyer de A à Z mon ordinateur, guidez moi vers 
une désinfection le plus en profondeur possible. Je n'y connais rien et je ne pense pas y arriver tout seul.
 

Merci, d'avance.

archet9 · Accepted Answer

Re, 
Désolé pour ce soir mais je n'ai pas vraiment de temps à te consacrer !
Je bosse demain très tot...mais serai plus disponible demain soir !

Ton pc n'est pas très infecté !!! mais tu n'as aucune serrure et tes fenètres sont onvertes...Sympa pour un cambrioleur non?

Dans un premier temps:

*   Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)
http://pagesperso-orange.fr/NosTools/C_XX/AD-R.exe

Miroir: 

https://www.androidworld.fr/

/!\ Ferme toutes applications en cours /!\ 

/!\ Désactive provisoirement et seulement le temps de l'utilisation de AD-Remover, la protection en temps réel de ton Antivirus et de tes Antispywares, qui peuvent gêner fortement la procédure de recherche et de nettoyage de l'outil. 
 
- Double-clique sur l'icône Ad-remover située sur ton Bureau. 
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin. 

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt) 


Puis:
Fais un scan avec cet antispyware : 
Malwarebytes + tutoriel 
 
Tu l'installes; mets le a jour...(onglet mise a jour)
Click maintenant sur l'onglet recherche et coche la case :
 "Executer un examen rapide".
Puis click sur "rechercher". 
Laisses le scanner le pc...
A la fin du scan, clique sur Afficher les résultats 
Si des elements on ete trouvés : 
> click sur supprimer la selection.
si il t'es demandé de redemarrer > click sur "oui".
A la fin un rapport va s'ouvrir; 
sauvegarde le de maniere a le retrouver en vue de le poster sur le forum.
Copies et colles le rapport stp

Ensuite:

Télécharge JavaRa.zip de Paul 'Prm753' McLain et Fred de Vries. 

http://www.vista-xp.fr/forum/topic2490.htmlDécompresse le fichier sur ton bureau (clique droit > Extraire tout.) 

Double-clique sur le répertoire JavaRa obtenu. 
Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s'afficher) 
Clique sur Search For Updates. 
Sélectionne Update Using jucheck.exe puis clique sur Search. 
Autorise le processus à se connecter s'il te le demande, clique sur Install et suis les instructions d'installation. Cela prendra quelques minutes. 
Quand l'installation est terminée, revient à l'écran de JavaRa et clique sur Remove Older Versions. 
Clique sur Oui pour confirmer. L'outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok. 
Un rapport va s'ouvrir, copie-colle le dans ta prochaine réponse. 
Note : le rapport se trouve aussi à la racine de la partition système, en général C:\ sous le nom JavaRa.log 
(c:\JavaRa.log) 
Ferme l'application.

Enfin:

Refais un ZHPdiag et on finlisera les Mises à jour de sécu afin de sécuriser
ton pc...

==> Ne poste qu'un message(ou rapport) par réponse stp....

==> Re DSL  mais je regarderai tout celà que demain soir...le sommeil m'appelle...

A demain soir si tu le souhaites !

seblaston · Answer

La methode la plus radicale c'est le formatage du PC, ou bien achater un nouveau disque dur et conserver precieusement l'ancien

DoDonuT14 · Answer

Bonjour,

je ne vois pas en quoi un formatage réglera mes problèmes. De plus, ayant 2 disque de 500Go en 4 partition (win xp, win 7, travail, et données) sans compter mon disque externe (1.5To), si je formate une partition, rien ne me garanti que le virus ou autre s'y trouve. Et je me vois mal perdre toute mes données.

Le rachat d'un disque dur pose le même problème, comment récupérer mes données des partitions "travail" et "données", sans infecter le nouveau ? Et si c'était mon disque externe qui était vérolé ?
Il faudrait que je sacrifie mes 2,5To de données ?

Je suis preneur si vous avez d'autres solutions :s

DoDonuT14 · Answer

Voici le rapport ZHPDiag :

http://www.cijoint.fr/cjlink.php?file=cj201008/cijvEsefyF.txt

Ci quelqu'un pouvait le décrypter et me dire quoi faire s'il vous plait.

archet9 · Answer

Salut, 

IE pas à jour 
Java pas à jour 

Pas de Pare feu efficace (celui de xp =0) 
Toolbar néfaste (ASK) à la politique de confidentialité déplorable, a tel point que ce programme est désormais considéré comme un malware ! 

==> En gros tu collectionnes toutes les failles de sécurité permettant à des personnes malveillantes d'avoir accès à tout ou presque sur ta machine !!!! 

a+ 
........

DoDonuT14 · Answer

Bonjour,

en effet, comment puis-je remédier à ça ? Formater et tout réinstaller proprement avec les dernières MAJ pour chaque programmes ?

Quel antivirus, firewall me conseille-tu ?

Merci.

DoDonuT14 · Answer

Bonjour,

tout d'abord merci beaucoup d'accepter de m'aider, et ce serait plutôt à moi d'être désolé de te déranger.

Voici ci-dessous les différents rapports demandés :

AD-Remover : http://www.cijoint.fr/cj201008/cijco0XVZx.txt

Malwarebytes : http://www.cijoint.fr/cj201008/cijw8LBzwE.txt

JavaRa : http://www.cijoint.fr/cj201008/cij1Q4jaNl.txt

ZHPdiag : http://www.cijoint.fr/cj201008/cijYjumADZ.txt


Merci pour le temps que tu m'accorde.

Cordialement.

archet9 · Answer

---> Télécharge ComboFix.exe de sUBs sur ton Bureau : 
http://download.bleepingcomputer.com/sUBs/ComboFix.exe 

/!\ Déconnecte-toi du net et ferme toutes les applications, antivirus et antispyware y compris /!\ 

---> Double-clique sur Combofix.exe

---> Installe la console de récupération si l'outil te le propose.  

/!\ Ne touche à rien tant que le scan n'est pas terminé. /!\ 

En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. 

Une fois le scan achevé, un rapport va s'afficher : Poste son contenu 

/!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ 

Note : Le rapport se trouve également là : C:\ComboFix.txt

DoDonuT14 · Answer

Bonjour,

voici le log ComboFix : http://www.cijoint.fr/cj201008/cij95OzQ28.txt

Cordialement.

archet9 · Answer

Très bien...  

On passe aux mises à jour.  

XP sp2 ==> SP3  

IE6 ==> IE8
Même si tu ne t'en sers pas ,il est important que Internet Explorer soit à jour...Toutes les MAJ Microsoft (Windows) passent par IE !  

Mozilla Firefox (3.5.11) ==> (3.6)  


Refais ensuite un "nouveau ZHPdiag", car j'ai toujours un petit doute concernant ton MBR...  

a+   





........

DoDonuT14 · Answer

Bonsoir,

les mises à jours ont été faites, et voici le rapport ZHPdiag : 
http://www.cijoint.fr/cj201008/cijZCP9gqI.txt

Cordialement.

archet9 · Answer

<ital>"---\ Web Browser  
MSIE Internet Explorer v6.0.2900.5512 


==> IE ne semble toujours pas à jour !!!?

J'aurais voulu voiir V8.0

a+  
........

DoDonuT14 · Answer

Bonsoir,

autant pour moi, mauvaise manipulation, je ne suis pas allé jusqu'au bout de l'installation. 
Voilà, maintenant IE est en v8, et voila un nouveau rapport ZHPdiag :
http://www.cijoint.fr/cj201008/cijfxyKiFn.txt

Cordialement.

archet9 · Answer

Pour ne plus être inportuné...Installe ce pare-feu :
https://www.commentcamarche.net/telecharger/securite/6291-comodo-firewall-free-windows/

Navigues un peu sur le net ...et dis moi si toujours des problèmes...si non on finalisera et on allègera un peu ton pc....

a+

DoDonuT14 · Answer

Bonjour,

je viens d'installer Comodo firewall,  et ce dernier m'a trouvé 2 réseau local. Un correspondant à mon adresse IP délivrée par ma box [xxx.xxx.x.xx / 255.255.255.0], et un second dont j'ignore l'origine (masque en 255.255.0.0).

De plus, je viens de regarder mes log gmail, et j'ai une adresse IP qui n'appartient pas à un de mes 2 PC, qui c'est connecté sur mon compte mail. 

Je me suis permis de t'envoyer un message privé pour éviter d'en parler ici.

J'attends tes conseils pour la suite, pour finaliser tout ça.

Merci encore.

Cordialement.

archet9 · Answer

"je viens d'installer Comodo firewall, et ce dernier m'a trouvé 2 réseau local. Un correspondant à mon adresse IP délivrée par ma box [xxx.xxx.x.xx / 255.255.255.0], et un second dont j'ignore l'origine (masque en 255.255.0.0)." 

Les IP sont identiques...pas de soucis.Regarde ici le fonctionnement d'un pare feu:
https://www.commentcamarche.net/contents/992-firewall-pare-feu

"De plus, je viens de regarder mes log gmail, et j'ai une adresse IP qui n'appartient pas à un de mes 2 PC, qui c'est connecté sur mon compte mail."

Compte tenu de touts les failles de sécu qu'il y avait sur ton pc...
Change à nouveau tous tes codes d'accès et autres mots de passe.

J'ai besoin d'une vérif:
Télécharge RSIT (de random/random) sur le bureau :

- Double clique sur RSIT.exe qui est sur le bureau
- Clique sur "Continue" dans la fenêtre
- RSIT téléchargera HijackThis si il n'est pas présent où détecté, alors il faudra accepter la licence
- Poste le contenu de log.txt plus info.txt (réduit ds la barre de taches) à la fin de l'analyse .
- Si le rapport est trop long pour passer sur le forum héberge le sur http://www.cijoint.fr/
et colle le lien généré.
Les rapports sont dans le dossier ici C:\rsit

a+

DoDonuT14 · Answer

Bonjour,

je t'ai envoyé un message privé à propos des adresses IP s'étant connectées sur mon compte gmail.

Sinon je n'arrive pas à exécuter RSIT.exe, lorsque je double clique dessus, je sélectionne exécuter en tant que ..., et le programme plante (message d'erreur trop rapide pour être lu).

Cordialement.

archet9 · Answer

Laisse tomber alors. 
Fais ceci: 

Télécharge SmitfraudFix (de de S!Ri, balltrap34 et moe31) : 
  
http://siri.urz.free.fr/Fix/SmitfraudFix.exe  
ou http://www.geekstogo.com/forum/files/file/6-smitfraudfix/  

- Enregistre-le sur le bureau  

- Double-clique sur SmitfraudFix.exe et choisis l'option 1 puis Entrée  

- Un rapport sera généré, poste-le dans ta prochaine réponse.  

[*] process.exe est détecté par certains antivirus comme étant un risktool. Il ne s'agit pas d'un virus mais d'un utilitaire destiné à mettre fin à des processus.[*]  
........

DoDonuT14 · Answer

Bonjour, 

je lance SmitfraudFix, selectionne l'option 1 - Recherche.  
Le programme s'arrête en mettant "Accès refusé" 

Cordialement.

archet9 · Answer

Désactive ton AV et ton pare feu et réessaye...
Sinon essaye en mode sans échec !
Comment aller en Mode sans échec 
1) Redémarre ton ordi 
2) Tapote la touche F8 immédiatement, (F5 sur certains PC) juste après le "Bip" 
3) Tu verras un écran avec options de démarrage apparaître 
4) Choisis la première option : Sans Échec, et valide avec "Entrée" 
5) Choisis ton compte habituel, et non Administrateur (si besoin ... )

DoDonuT14 · Answer

Bonjour,

le mode sans-échec à fonctionné, voici le rapport :

http://www.cijoint.fr/cj201008/cijJZHmQac.txt

Cordialement.

archet9 · Answer

Ok

En mode normal,lance l'option 5...

DoDonuT14 · Answer

Bonjour,

voila, ci-joint le rapport : http://www.cijoint.fr/cj201008/cijmVqk6Hj.txt

archet9 · Answer

Dernière vérif:

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection) 

 Télécharge List_Kill'em et enregistre le sur ton bureau
 
http://sd-1.archive-host.com/...

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation 

une fois terminée , clic sur "terminer" et le programme se lancera seul 

choisis choisis l'option Search 

un icone blanc et noir va s'afficher sur le bureau , il te servira à rappeler le programme si besoin. 

 laisse travailler l'outil 

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué. 

un rapport du nom de catchme apparait sur ton bureau , ignore-le,ne le poste pas , , il s'auto supprimera a la fin du scan 

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

DoDonuT14 · Answer

Bonsoir,

voici le rapport ListKill'em : http://www.cijoint.fr/cj201008/cijdeJ9S0l.txt

Cordialement.

archet9 · Answer

Relance List_Kill'em,avec le raccourci sur ton bureau. 
mais cette fois-ci : 

 choisis l'option clean 

ton PC va redemarrer, 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

 colle le contenu dans ta reponse 

a+

DoDonuT14 · Answer

Bonjour,

je viens d'effectuer le nettoyage via List_Kill'em, mon ordinateur a bien redémarré, le nettoyage c'est effectué au début de la session, mais aucun rapport n'est apparut sur mon bureau.

Cordialement.

archet9 · Answer

Ok,

Commentse comporte le pc maontenant ?

DoDonuT14 · Answer

Bonjour,

il se comporte comme avant. Je n'avais pas de problème apparent (ralentissement etc). j'ai toujours des problèmes avec la personne m'ayant piratés, mais il ne semble pas avoir la main sur mon PC (il est pas doué apparemment).

En tout cas je te remercie énormément du temps que tu m'as accordé pour sécuriser mon poste.

Cordialement.

archet9 · Answer

De rien,

Pour desinstaller les outils utilisés

Télécharge OTCleanIt sur ton Bureau: http://www.geekstogo.com/forum/files/file/403-otc-oldtimers-clean-it/ 

Lance OTCleanIt avec un double-clic (sous Vista, lance-le en cliquant droit sur OTCleanIt.exe et en sélectionnant "exécuter en tant qu'administrateur") 

Appuie sur le bouton "CleanUp!" 

A la question "begin cleanup process?", réponds "YES" 

A la fin de l'opération, si OTCleanIt demande de redémarrer ("Do you want to reboot now?"), ferme ce que tu es en train de faire (internet, documents divers...) et clique sur "YES": 

Au redémarrage, OTCleanIt aura supprimé les outils de désinfection, et se sera même autodétruit! 


puis

---> Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
https://www.01net.com/telecharger/windows/Utilitaire/nettoyeurs_et_installeurs/fiches/32599.html 

 * Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse(Sauvegarde la base de registre).  
* Décoche la case plus vieux que 24 h 

TRES IMPORTANT: 

---> Il est nécessaire de désactiver,redémarrer puis réactiver la restauration système pour la purger : 
XP:
http://service1.symantec.com/support/inter/tsgeninfointl.Nsf/fr_docid/20020830101856924
VISTA:
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista 

---> Je te conseille de créer un point de restauration que tu pourras utiliser plus tard si tu as un problème : 
https://www.vulgarisation-informatique.com/creer-point-restauration.php

a+
--

Désinfection totale ?

30 réponses

Discussions similaires