opachki.ru Résolu/Fermé

Question

Bonjour, 
Je voudrais savoir si mon PC est infecté ou non par opachki.ru? Ce cheval de troie a été détecté par Spyboot mais AntiMalware à jour lui ne détecte rien du tout...?
Antivirus = AVG Free à jour
PC sous Vsita
Pouvez-vous me renseigner?
Merci par avance

moment de grace · Answer

bonjour

je me méfie des alertes de spybot

néanmoins regardons y

Télécharge ZHPDiag ( de Nicolas coolman ). 
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 


(outil de diagnostic)

 Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )
 
Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista ) 

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner. 

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau. 

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau 

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

pupu26 · Answer

Merci pour cette réponse rapide.
Je suis au boulot mais je regarde ce soir et t'enverrai le rapport.
Bien cordialement.

pupu26 · Answer

Le scan est fait. Trouves ci-dessous le lien du rapport.
http://www.cijoint.fr/cjlink.php?file=cj201008/cijvfl49an.txt
Dans l'attente des résultats de ton analyse..
Cordialement.

moment de grace · Answer

rien de flagrant

Rends toi sur ce site : 

https://www.virustotal.com/gui/ 

Clique sur parcourir et cherche ce fichier : 


C:\Windows\system32\drivers\OEM03Vfx.sys


Clique sur Send File. 

Un rapport va s'élaborer ligne à ligne. 

Attends la fin. Il doit comprendre la taille du fichier envoyé. 

Sauvegarde le rapport avec le bloc-note. 

Copie le dans ta réponse.

Si tu ne trouves pas le fichier alors

Affiche tous les fichiers et dossiers : 

Pour cela : 
Clique sur démarrer/panneau de configuration/option des dossiers/affichage 

Cocher afficher les dossiers cachés

Décoche la case "Masquer les fichiers protégés du système d'exploitation (recommandé)" 

Décocher masquer les extensions dont le type est connu 

Puis fais «appliquer» pour valider les changements. 

Et OK

pupu26 · Answer

Voici le résultat du diag avec virustotal..

[i]Antivirus results/i
AhnLab-V3 - 2010.08.24.00 - 2010.08.23 - -
AntiVir - 8.2.4.38 - 2010.08.24 - -
Antiy-AVL - 2.0.3.7 - 2010.08.23 - -
Authentium - 5.2.0.5 - 2010.08.24 - -
Avast - 4.8.1351.0 - 2010.08.23 - -
Avast5 - 5.0.332.0 - 2010.08.23 - -
AVG - 9.0.0.851 - 2010.08.24 - -
BitDefender - 7.2 - 2010.08.24 - -
CAT-QuickHeal - 11.00 - 2010.08.24 - -
ClamAV - 0.96.2.0-git - 2010.08.24 - -
Comodo - 5845 - 2010.08.24 - -
DrWeb - 5.0.2.03300 - 2010.08.24 - -
Emsisoft - 5.0.0.37 - 2010.08.24 - -
eSafe - 7.0.17.0 - 2010.08.24 - -
eTrust-Vet - 36.1.7810 - 2010.08.23 - -
F-Prot - 4.6.1.107 - 2010.08.24 - -
F-Secure - 9.0.15370.0 - 2010.08.24 - -
Fortinet - 4.1.143.0 - 2010.08.24 - -
GData - 21 - 2010.08.24 - -
Ikarus - T3.1.1.88.0 - 2010.08.24 - -
Jiangmin - 13.0.900 - 2010.08.23 - -
Kaspersky - 7.0.0.125 - 2010.08.24 - -
McAfee - 5.400.0.1158 - 2010.08.24 - -
McAfee-GW-Edition - 2010.1B - 2010.08.24 - -
Microsoft - 1.6103 - 2010.08.24 - -
NOD32 - 5393 - 2010.08.24 - -
Norman - 6.05.11 - 2010.08.24 - -
nProtect - 2010-08-24.01 - 2010.08.24 - -
Panda - 10.0.2.7 - 2010.08.24 - -
PCTools - 7.0.3.5 - 2010.08.24 - -
Prevx - 3.0 - 2010.08.24 - -
Rising - 22.62.01.04 - 2010.08.24 - -
Sophos - 4.56.0 - 2010.08.24 - -
Sunbelt - 6785 - 2010.08.24 - -
SUPERAntiSpyware - 4.40.0.1006 - 2010.08.24 - -
Symantec - 20101.1.1.7 - 2010.08.24 - -
TheHacker - 6.5.2.1.355 - 2010.08.24 - -
TrendMicro - 9.120.0.1004 - 2010.08.24 - -
TrendMicro-HouseCall - 9.120.0.1004 - 2010.08.24 - -
VBA32 - 3.12.14.0 - 2010.08.24 - -
ViRobot - 2010.8.24.4005 - 2010.08.24 - -
VirusBuster - 5.0.27.0 - 2010.08.24 - -
[i]File info:/i
MD5: 86326062a90494bdd79ce383511d7d69
SHA1: 5d1a4b016cac9792693bd3df41d428e2f1c4ef48
SHA256: 43d5682ca8ecb4ba7cc1a5c4c2bf966ee4802e8c3aa84cdeb634ca3c410dab89
File size: 7424 bytes
Scan date: 2010-08-24 17:05:38 (UTC)

Alors??? Ton avis???

moment de grace · Answer

il est bon

DESACTIVE TON ANTIVIRUS ET TON PAREFEU SI PRESENTS !!!!!(car il est detecté a tort comme infection)

? Télécharge List_Kill'em et enregistre le sur ton bureau

http://sd-4.archive-host.com/membres/up/829108531491024/Mes_Tools/List_Killem_Install.exe

ou

http://www.archive-host.com

double clique ( clic droit "executer en tant qu'administrateur" pour Vista/7 ) sur le raccourci sur ton bureau pour lancer l'installation

Laisse coché :

 Executer List_Kill'em"


une fois terminée , clic sur "terminer" et le programme se lancera seul

choisis l'option Search

laisse travailler l'outil

à l'apparition de la fenetre blanche , c'est un peu long , c'est normal , le programme n'est pas bloqué.

 Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'ecran "COMPLETED"

Rend toi sur Cjoint : http://www.cijoint.fr/ 

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] " 

Sélectionne le rapport C:\List'em.txt

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

Même opération pour le rapport more.txt qui se trouve sur ton bureau


si soucis avec ci joint. fr 

=> utiliser https://www.cjoint.com/
=>  utiliser http://ww38.toofiles.com/fr/oip/documents/txt/av.html

pupu26 · Answer

Peux-tu me rappeler comment désactiver antivirus et parefeu s'il te plait?

moment de grace · Answer

avg

Pour désactiver le Bouclier résident :

    * ouvrez l'interface utilisateur AVG
    * double-cliquez sur le composant Bouclier résident
    * désactivez l'option "Bouclier résident actif"
    * enregistrez les modifications

N'oubliez pas de réactiver le Bouclier résident lorsque vous avez exécuté les tâches ayant nécessité sa désactivation.

parefeu

https://www.commentcamarche.net/faq/7496-vista-desactiver-le-pare-feu-vista

pupu26 · Answer

Ok, merci... Finalement j'avais trouvé en cherchant un peu plus!!
Ci-dessous le lien pour le résultat de List'em :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijRpwGMna.txt
Et le fichier more :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijvgjiKIb.txt
En espérant que les nouvelles soient bonnes...?

moment de grace · Answer

ok

1)

Relance List_Kill'em(soit en clic droit pour vista/7),avec le raccourci sur ton bureau. 
mais cette fois-ci : 

choisis l'option CLEAN
ton PC va redemarrer, 

laisse travailler l'outil. 

en fin de scan la fenetre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau , 

colle le contenu dans ta reponse

...................

2)


Téléchargez MalwareByte's Anti-Malware (que tu pourras garder)


https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/
 
. Enregistres le sur le bureau
. Double cliques sur le fichier téléchargé pour lancer le processus d'installation. 
. Dans l'onglet "mise à jour", cliques sur le bouton Recherche de mise à jour
. Si le pare-feu demande l'autorisation de se connecter pour malwarebytes, accepte
. Une fois la mise à jour terminé
. Rend-toi dans l'onglet, Recherche
. Sélectionnes Exécuter un examen complet (examen assez long)
. Cliques sur Rechercher
. Le scan démarre. 
. A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés. 
. Cliques sur Ok pour poursuivre.
. Si des malwares ont été détectés, clique sur  Afficher les résultats
. Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
. Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. 
. Rends toi dans l'onglet rapport/log 
. Tu cliques dessus pour l'afficher, une fois affiché
. Tu cliques sur edition en haut du boc notes, et puis sur sélectionner tous 
. Tu recliques sur edition et puis sur copier et tu reviens sur le forum et dans ta réponse
. tu cliques droit dans le cadre de la reponse et coller 


Si tu as besoin d'aide regarde ces tutoriels : 
 Aide: https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
 http://www.infos-du-net.com/forum/278396-11-tuto-malwarebytes-anti-malware-mbam

pupu26 · Answer

Qu'y a t il à nettoyer, pour info?
Autre question, j'ai réactivé AVG et le pare feu.. je dois les re désactiver pour relancer List'em?

pupu26 · Answer

C'est quoi tout ça en fait? Histoire de comprendre un peu.. en tout cas essayer du moins!

pupu26 · Answer

Pas de virus donc ni de cheval de troie ou autre..?

moment de grace · Answer

si

les extension dat le sont

et pour lui C:\ProgramData\.zreglib 

https://www.symantec.com?uid=7be3ca24-6469-4fc5-81b5-de6fcf488b19

pupu26 · Answer

J'ai effectivement AnyDVD sur mon PC... Est-ce que cela vient de lui et des logiciels Slysoft?
Sinon, Kill'em fait, mais mon PC n'a pas redémarrée et rapport ci-dessous :
http://www.cijoint.fr/cjlink.php?file=cj201008/cijbjG8OUt.txt
Je lance MalwareByte's Anti-Malware et reviens vers toi dès que terminé... d'ici une bonne heure je pense!

pupu26 · Answer

L'analyse Anti-Malware est terminée... rien trouvé (comme initialement d'ailleurs?).
Ci-dessous le lien vers le fichier txt.
http://www.cijoint.fr/cjlink.php?file=cj201008/cij58bJYxp.txt
Ce doit être bon donc...?
Merci pour ta réponse et ton aide.

moment de grace · Answer

ok

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 


puis fais un coup de spybot

si trouve quelque chose

note les fichiers et les chemins concernés

pupu26 · Answer

Ouah... Il était un peu tard pour moi! Merci pour ta réponse.
Je fais cela ce soir si possible et te tiens au courant.
Merci pour ton aide.
Bonne journée.

pupu26 · Answer

Bonsoir,
CCleaner : ok
SpyBot trouve toujours Opachki.ru mais il a trouvé également 2 autres éléments (sans gravité je pense...)

Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Réglages (Modification du Registre, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Réglages (Modification du Registre, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride

Opachki.ru: [SBI $9E90BA5A] Réglages Autorun (Valeur du Registre, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

J'attends tes instructions. Merci par avance.

moment de grace · Answer

bonjour, de retour..

pour ca pas de soucis

Microsoft.WindowsSecurityCenter.AntiVirusOverride: [SBI $3604910C] Réglages (Modification du Registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusOverride

Microsoft.WindowsSecurityCenter.FirewallOverride: [SBI $0C94D702] Réglages (Modification du Registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallOverride 

pour lui

Opachki.ru: [SBI $9E90BA5A] Réglages Autorun (Valeur du Registre, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ 

c'est donc une clé (pas grave) qui pose soucis

as tu le texte complet de cette clé que l'on s'en occupe

pupu26 · Answer

Où puis-je trouver le texte complet? Je regarderai ce soir et donnerai l'info.
Merci.

moment de grace · Answer

là exemple de l'endroit ou est indiqué l'info

https://forum.pcastuces.com/rapport_utilisation_spybot-f25s50415.htm

pupu26 · Answer

Si c'est cela, je n'ai pas plus d'ino sur SpyBot que celle que je t'ai donné à savoir :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\

Je referai une analyse ce soir et te confirmerai.

pupu26 · Answer

Je refais un scan tout à l'heure... et une copie d'écran.

pupu26 · Answer

J'ai refait un scan et apparemment SpyBot a réussi à le supprimer.. cette fois?
Plus rien après 2ème scan.
Rien avec CCleaner
Tout semble ok.
Ton avis?

moment de grace · Answer

ok

refais un rapport zhpdiag stp et poste le lien

de plus, tout helpeur ici te dira de supprimer ce spybot qui passera son temps à t'alarmer pour rien

pupu26 · Answer

Diag voir ci-dessous :
http://www.cijoint.fr/cjlink.php?file=cj201008/cij6wIkaPH.txt

Sinon qu'est-ce que je peux telecharger pour remplacer SpyBot?

moment de grace · Answer

Un pc à jour est plus efficace que spybot

Sinon garder MBAM et être prudent (voir recommandation plus bas)
..........................

1)

Mettre à jour la Console Java ? : 
https://www.java.com/fr/download/uninstalltool.jsp

et installer la nouvelle version si besoin est (dans ce cas désinstalle avant l'ancienne version). 

voici pour desinstaller : 

JavaRa 
http://raproducts.org/click/click.php?id=1

Décompresse le fichier sur le Bureau (Clic droit > Extraire tout). 
* Double-clique (clic droit "en tant qu'administrateur" pour Vista) sur le répertoire JavaRa. 
* Puis double-clique sur le fichier JavaRa.exe (le exe peut ne pas s'afficher). 
* Choisis Français puis clique sur Select. 
* Clique sur Recherche de mises à jour. 
* Sélectionne Mettre à jour via jucheck.exe puis clique sur Rechercher. 
* Autorise le processus à se connecter s'il le demande, clique sur Installer et suis les instructions d'installation qui prennent quelques minutes. 
* L'installation est terminée, reviens à l'écran de JavaRa et clique sur Effacer les anciennes versions. 
* Clique sur Oui pour confirmer. Laisse travailler et clique ensuite sur OK, puis une deuxième fois sur OK. 
* Un rapport va s'ouvrir. Poste-le dans ta prochaine réponse. 
* Ferme l'application. 

Note : le rapport se trouve aussi dans C:\ sous le nom JavaRa.log. 


.............

2)

Mets à jour Adobe Reader (désinstalle avant la version antérieure) 
https://acrobat.adobe.com/fr/fr/acrobat/pdf-reader.html

puis

* Lancez Adobe Reader
* Cliquez sur Edition --> Préférences --> JavaScript
* Décochez "Activer Acrobat JavaScript"
* Validez

....................

3)
IMPORTANT

Purger la restauration systeme vista
https://www.commentcamarche.net/faq/13214-vista-desactiver-reactiver-la-restauration-systeme-de-vista

.................

4)
Clique droit sur l'icône ZHPFix.exe sur ton Bureau, 
puis sélectionne 'Exécuter en tant qu'administrateur'. 

Clique sur le A rouge (Nettoyeur de Tools). 

Clique sur Nettoyer. 

Fais redémarrer l'ordi pour terminer le nettoyage.

.....................................

Recommandations pour l'avenir

Tu es la meilleure protection pour ton pc que tout autre antivirus, si tu admets un minimum de rigueur dans son utilisation...Les virus sont vigilants et pénètrent ta machine par toutes les portes que tu laisseras ouvertes...
-	logiciels non à jour (windows, internet explorer, java, adobe reader etc)
-	installation de toolbar
-	fréquentation de sites piégés
-	P2P
-	Application de cracks
-	Supports usb

Pour t'aider dans cette tâche, voici quelques pistes

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'installer et d'utiliser le navigateur firefox
http://www.mozilla-europe.org/fr/firefox/

 Une fois que c'est fait, lances le et installe l'extension de sécurité adblock plus 
pour bloquer les publicités
 http://www.clubic.com/telecharger-fiche45912-adblock-plus.html

............................

WOT - Extension pour ton navigateur internet : 
Voici une extension à télécharger qui te permettra, en faisant tes recherches sur google, de savoir si le site proposé lors de tes recherches est un site de confiance ou un site à éviter car il pourrait infecter ton PC : 
Pour Firefox : https://addons.mozilla.org/fr/firefox/addon/wot-safe-browsing-tool/ 
Pour internet explorer : https://chrome.google.com/webstore/detail/wot-web-of-trust-website/bhmmomiinigofkjcapegjjndpbikblnp 

........................

Pour éviter une infection toolbar, il faut tout lire attentivement lorsque tu installes un programme gratuit, et décocher tous les programmes additionnels qui sont proposés, en particulier les barres d'outils !

..........................

Vaccines tes disques amovibles à l'aide de USBFix (de Chiquitine29 et C_XX) 
http://pagesperso-orange.fr/NosTools/Chiquitine29/UsbFix.exe
Au menu principal, choisis l'option 3 (Vaccination).
............................

garder Malwarebytes et faire un examen de temps en temps ton PC, avec mise à jour avant chaque scan
.......................

Télécharge et installe CCleaner (N'installe pas la Yahoo Toolbar) :
 https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/

* Lance-le.(clic droit "en tant qu'administrateur" pour Vista) Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc.... 
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage. 
* Ensuite, choisis Registre, puis Chercher des erreurs. Une fois terminé, répare toutes les erreurs tant de fois qu il en trouve a l analyse 

..........................
utilitaire pour défragmenter , utilises pour ce faire Defraggler https://www.clubic.com/telecharger-fiche44314-defraggler.html

........................
A lire pour mieux comprendre l'environnement qui t'entoure
http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf

http://www.libellules.ch/...

pupu26 · Answer

1. Java était à jour
2. J'ai instalé la dernière version d'Acrobat reader comme préconisé
3. J'ai purgé la restauration système
4. J'ai nettoyer avec ZHPfix

Pour l'avenir :
* j'utilise déjà depuis longtemps Firefox
* j'ai installé adblock-plus
* j'avais déjà Malwarebytes  et CCleaner et les conserve donc
* je vais défragementer avec le soft que tu m'a proposé

Merci pour ton aide et tes informations. Je pense que mon problème est résolu et t'en remercie.

Dernière question, j'ai aussi Ad-Aware.. est-ce utile ou je le désinstalle aussi comme SpyBot?

pupu26 · Answer

Merci encore pour ton aide et bonne continuation à toi aussi.

Dernière petite question : existe-t-il un pare feu performant et gratuit autre que celui de Windows?
Que penser des recommandations issues de ce site :
http://assiste.com.free.fr/p/kit_securite/kit_securite.html

Merci pour test dernières infos.

Bonne journée.

moment de grace · Answer

oui les recommandations sont bonnes même si un peu riche pour l'internaute de base

......................

Online armor ou KERIO ou JETICO ou ZONE ALARM (mettre que le parefeu gratuit) ou COMODO 

http://www.commentcamarche.net/... 
https://www.01net.com/telecharger/windows/Securite/firewall/fiches/39911.html 
https://forum.pcastuces.com/sujet.asp?f=25&s=35606 
https://www.clubic.com/telecharger-fiche11071-sunbelt-personal-firewall-ex-kerio.html 
https://manuelsdaide.com/contact/ 
http://www.open-files.com/forum/index.php?showtopic=29277 
https://www.commentcamarche.net/telecharger/securite/24863-zonealarm/

pupu26 · Answer

Merki!!

moment de grace · Answer

https://www.commentcamarche.net/faq/24687-les-logiciels-de-securite-gratuits-indispensables