Piratage EXTREME de mon ordinateur Résolu/Fermé

Question

Bonjour, le titre l'indique. Mais maintenant, c'est rendu vraiment trop.  
C'est de l'abus, et je ne dis pas ça à la première venu.  
L'indentité du pirateur est connu : Alex-Kirouac2@live.ca 
et je possède son nom SKYPE. 

Donc, les problèmes survenus sont : 

DNS exedropper-gen ( Alerte Avast, 50 fois minimum / Jour ) 
Ouverte et fermeture du CD-ROM ( Maintenant réglé ) 
Ordinateur impossible à ouvrir, écran noir. Survenue5-6 fois, je peut facilement le réparé. 
Docteur virus, le célèbre. Facilement réparable 
Google chrome et firefox impossible de charger 

Et autre sorte de virus, trojan, malware.. * 

Voici mon rapport Hijack ' je crois que c'est ça. ' 

Logfile of Trend Micro HijackThis v2.0.2 
Scan saved at 12:44:37, on 2010-10-21 
Platform: Unknown Windows (WinNT 6.01.3504) 
MSIE: Internet Explorer v8.00 (8.00.7600.16671) 
Boot mode: Normal 

Running processes: 
C:\Windows\system32\svchost.exe 
C:\Windows\system32\Dwm.exe 
C:\Windows\Explorer.EXE 
C:\Windows\system32	askhost.exe 
C:\Program Files\Alwil Software\Avast4\ashDisp.exe 
C:\Windows\System32\hkcmd.exe 
C:\Windows\System32\igfxpers.exe 
C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe 
C:\Windows\system32\igfxsrvc.exe 
C:\Program Fileskfreekfree.exe 
C:\Program Files\iTunes\iTunesHelper.exe 
C:\Windows\System32\binternet.exe 
C:\Program Files\Windows Live\Messenger\msnmsgr.exe 
C:\Program Files\DAEMON Tools Lite\DTLite.exe 
C:\Program Files\Windows Sidebar\sidebar.exe 
C:\Windows\System32\binternet.exe 
C:\Program Files\Windows Live\Contacts\wlcomm.exe 
C:\Users\Windows 7\AppData\Local\Google\Chrome\Application\chrome.exe 
C:\Program Files\Internet Explorer\iexplore.exe 
C:\Program Files\Internet Explorer\iexplore.exe 
C:\Program Files\Internet Explorer\iexplore.exe 
C:\Program Files\Internet Explorer\iexplore.exe 
C:\Program Files\Internet Explorer\iexplore.exe 
C:\Windows\system32\SearchFilterHost.exe 
C:\Users\Windows 7\Desktop\HiJackThis.exe 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.cherche.us/keyword/%s 
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww12.cherche.us 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ww12.cherche.us 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =  
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:5555 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =  
R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file) 
R3 - URLSearchHook: (no name) - {437c4386-9237-441f-a940-009430030ee0} - (no file) 
F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\program files\microsoft\desktoplayer.exe, 
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll 
O2 - BHO: (no name) - {437c4386-9237-441f-a940-009430030ee0} - (no file) 
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) 
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll 
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) 
O3 - Toolbar: (no name) - {32099AAC-C132-4136-9E9A-4E364A424E17} - (no file) 
O3 - Toolbar: (no name) - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file) 
O3 - Toolbar: (no name) - {437c4386-9237-441f-a940-009430030ee0} - (no file) 
O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe" 
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe 
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe 
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe 
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime 
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" 
O4 - HKLM\..\Run: [rkfree] "C:\Program Fileskfreekfree.exe" /b 
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe" 
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe" 
O4 - HKLM\..\Run: [binternet] C:\Windows\System32\binternet.exe 
O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background 
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\DTLite.exe" -autorun 
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun 
O4 - HKCU\..\Run: [Google Update] "C:\Users\Windows 7\AppData\Local\Google\Update\GoogleUpdate.exe" /c 
O4 - HKCU\..\Run: [{76F2D874-273F-82F6-92B0-0C9440DC7DD8}] "C:\Users\Windows 7\AppData\Roaming\Afhau\wouma.exe" 
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL') 
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU') 
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU') 
O4 - Startup: binternet.lnk = C:\Windows\System32\binternet.exe 
O9 - Extra button: Ajout Direct - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll 
O9 - Extra 'Tools' menuitem: &Ajout Direct dans Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll 
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - (no file) 
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Users\Windows 7\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\IMVU\Run IMVU.lnk (file missing) 
O13 - Gopher Prefix:  
O15 - Trusted Zone: *.chat-land.org 
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab 
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe 
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe 
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe 
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe 
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe 
O23 - Service: Service Bonjour (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe 
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe 
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe 

End of file - 6490 bytes

fred08700 · Answer

bonsoir va voir dans ajout/suppression de programme pour supprimer ceci : rkfree ensuite ● Rends-toi à cette adresse afin de télécharger AD-Remover (créé par C_XX) Déconnecte toi et ferme toutes les applications en cours ● Double-clique sur l'icône AD-Remover Vista ou windows 7 => clic droit "executer en tant que...." ● Au menu principal, clique sur "Nettoyer" ● Confirme le lancement de l'analyse et laisse l'outil travailler ● Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt ) (CTRL+A Pour tout selectionner , CTRL+C pour copier et CTRL+V pour coller ) Process.exe est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. els de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. puis ● Télécharges Malwarebytes (NB : S'il te manque"COMCTL32.OCX" lors de l'installe, alors télécharge le ici : https://www.malekal.com/tutorial-aboutbuster/ ● Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement. ● Fais la mise à jour du logiciel (elle se fait normalement à l'installation) ● Lance une analyse complète en cliquant sur "Exécuter un examen complet" ● Sélectionnes les disques que tu veux analyser et cliques sur "Lancer l'examen" ● L'analyse peut durer un bon moment..... ● Une fois l'analyse terminée, cliques sur "OK" puis sur "Afficher les résultats" ● Vérifies que tout est bien coché et cliques sur "Supprimer la sélection" => et ensuite sur "OK" ● Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum ● Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Faites le en cliquant sur "oui" à la question posée Les créateurs d'infections utilisent les emplacements des fichiers système pour hébérger les infections, d'où les fichiers . dll ou exe dans ces series d'infections. MABM est très régulièrement mis à jour pour ne pas supprimer les fichiers légitimes de windows, donc pas de craintes de ce côté là.

provenchda · Answer

Merci pour ta réponse clair et précise.

> Rkfree, c'est moi qui l'ai installé ;) <


Voici le rapport AD-remover 

C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 18:41:48 le 21/10/2010, Mode normal

Microsoft Windows 7 Édition Intégrale   (X86) 
Windows 7@WINDOWS7-PC (Compaq-Presario RX896AA-ABA SR5030NX) 
 
============== ACTION(S) ==============


Fichier supprimé: C:\Windows\system32\Tasks\Scheduled Update for Ask Toolbar
Fichier supprimé: C:\Users\Windows 7\AppData\Roaming\Mozilla\FireFox\Profiles\0ryi4vxy.default\searchplugins\askcom.xml
Fichier supprimé: C:\Users\Windows 7\AppData\Roaming\Mozilla\FireFox\Profiles\0ryi4vxy.default\searchplugins\cherche.xml
Fichier supprimé: C:\Users\Windows 7\AppData\Roaming\Mozilla\FireFox\Profiles\0ryi4vxy.default\searchplugins\conduit.xml
Dossier supprimé: C:\Users\Windows 7\AppData\Local\AskToolbar
Dossier supprimé: C:\Users\Windows 7\AppData\LocalLow\AskToolbar
Dossier supprimé: C:\Users\Windows 7\AppData\LocalLow\Conduit
Fichier supprimé: C:\Windows\Installer\22c5590.msi 

(!) -- Fichiers temporaires supprimés.


-- Fichier ouvert: C:\Users\Windows 7\AppData\Roaming\Mozilla\FireFox\Profiles\0ryi4vxy.default\Prefs.js --
Ligne supprimée:  
Ligne supprimée:  
Ligne supprimée:  
Ligne supprimée: user_pref("CT2535290.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER... 
Ligne supprimée: user_pref("CT2535290.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT253... 
Ligne supprimée: user_pref("browser.search.defaultengine", "Ask.com"); 
Ligne supprimée: user_pref("browser.search.defaultenginename", "Ask.com"); 
Ligne supprimée: user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2535290&Sea... 
Ligne supprimée: user_pref("browser.search.order.1", "Ask.com"); 
Ligne supprimée: user_pref("extensions.asktb.cbid", "OG"); 
Ligne supprimée: user_pref("extensions.asktb.default-channel-url-mask", "hxxp://www.ask.com/web?q={query}&o={o}&l={l}... 
Ligne supprimée: user_pref("extensions.asktb.dtid", "TES001YYCACA"); 
Ligne supprimée: user_pref("extensions.asktb.fresh-install", false); 
Ligne supprimée: user_pref("extensions.asktb.l", "dis"); 
Ligne supprimée: user_pref("extensions.asktb.last-config-req", "1269691240969"); 
Ligne supprimée: user_pref("extensions.asktb.locale", "fr_US"); 
Ligne supprimée: user_pref("extensions.asktb.o", "16054"); 
Ligne supprimée: user_pref("extensions.asktb.overlay-reloaded-using-restart", true); 
Ligne supprimée: user_pref("extensions.asktb.qsrc", "2871"); 
Ligne supprimée: user_pref("extensions.asktb.r", "2"); 
Ligne supprimée: user_pref("extensions.asktb.to", "16106"); 
Ligne supprimée: user_pref("extensions.opensearch@ask.com.install-event-fired", true); 
Ligne supprimée: user_pref("keyword.URL", "hxxp://www.cherche.us/Result.php?cx=partner-pub-0420647136319153%3A5n6ugpj... 
Ligne supprimée: user_pref("browser.startup.homepage", "hxxp://www.cherche.us/"); 
-- Fichier Fermé --
 

Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé supprimée: HKLM\Software\Classes\Interface\{6C434537-053E-486D-B62A-160059D9D456}
Clé supprimée: HKLM\Software\Classes\Interface\{91CF619A-4686-4CA4-9232-3B2E6B63AA92}
Clé supprimée: HKLM\Software\Classes\Interface\{AC71B60E-94C9-4EDE-BA46-E146747BB67E}
Clé supprimée: HKLM\Software\Classes\Interface\{DB885111-F39F-4D88-9EE5-C88460B6DF7B}
Clé supprimée: HKLM\Software\Classes\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}
Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd
Clé supprimée: HKLM\Software\Classes\GenericAskToolbar.ToolbarWnd.1
Clé supprimée: HKLM\Software\Classes\ShopperReports.Reporter
Clé supprimée: HKLM\Software\Classes\ShopperReports.Reporter.1
Clé supprimée: HKLM\Software\Classes\Toolbar.CT2535290
Clé supprimée: HKLM\Software\Classes\AppID\GenericAskToolbar.DLL
Clé supprimée: HKLM\Software\Classes\AppID\{9B0CB95C-933A-4B8C-B6D4-EDCD19A43874}
Clé supprimée: HKLM\Software\Conduit
Clé supprimée: HKCU\Software\Ask.com
Clé supprimée: HKCU\Software\AskToolbar
Clé supprimée: HKCU\Software\AppDataLow\AskToolbarInfo
Clé supprimée: HKCU\Software\AppDataLow\Software\AskToolbar
Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
Clé supprimée: HKLM\Software\Classes\Installer\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\Userdata\S-1-5-18\Products\A28B4D68DEBAA244EB686953B7074FEF
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40b7-AC73-056A5EBA4A7E}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A5AA24EA-11B8-4113-95AE-9ED71DEAF12A}
Clé supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Erreur suppression clé: HKLM\Software\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\Scheduled Update for Ask Toolbar

Valeur supprimée: HKLM\Software\Microsoft\Windows\CurrentVersion\Run|binternet
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks|{00000000-6E41-4FD3-8538-502F5495E5FC}
Valeur supprimée: HKLM\Software\Microsoft\Internet Explorer\Toolbar|{D4027C7F-154A-4066-A1AD-4243D8127440}
Valeur supprimée: HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser|{D4027C7F-154A-4066-A1AD-4243D8127440}


============== SCAN ADDITIONNEL ==============

** Mozilla Firefox Version [3.6.10 (fr)] **

-- C:\Users\Windows 7\AppData\Roaming\Mozilla\FireFox\Profiles\0ryi4vxy.default\Prefs.js --
browser.download.dir, C:\Users\Windows 7\Desktop
browser.search.selectedEngine, Search
browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
browser.startup.homepage_override.mstone, rv:1.9.2.10
privacy.popups.showBrowserMessage, false

========================================

** Internet Explorer Version [8.0.7600.16385] **

[HKCU\Software\Microsoft\Internet Explorer\Main] 
Default_Page_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Do404Search: 0x01000000
Enable Browser Extensions: yes
Local Page: C:\Windows\system32\blank.htm
Search bar: hxxp://go.microsoft.com/fwlink/?linkid=54896
Show_ToolBar: yes
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\Main] 
AutoHide: yes
Default_Page_URL: hxxp://go.microsoft.com/fwlink/?LinkId=54896
Default_Search_URL: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Delete_Temp_Files_On_Exit: yes
Enable Browser Extensions: yes
Local Page: C:\Windows\System32\blank.htm
Search bar: hxxp://search.msn.com/spbasic.htm
Search Page: hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
Start Page: hxxp://fr.msn.com/
Use Search Asst: no

[HKLM\Software\Microsoft\Internet Explorer\ABOUTURLS] 
Tabs: res://ieframe.dll/tabswelcome.htm
Blank: res://mshtml.dll/blank.htm

========================================

C:\Program Files\Ad-Remover\Quarantine: 13 Fichier(s)
C:\Program Files\Ad-Remover\Backup: 14 Fichier(s)

C:\Ad-Report-CLEAN[1].txt - 21/10/2010 (7870 Octet(s)) 

Fin à: 18:43:20, 21/10/2010 
 
============== E.O.F ============== 

Et le rapport Malware, que j'avais déjà comme logiciel :

Version de la base de données: 4031

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

2010-10-21 18:56:37
mbam-log-2010-10-21 (18-56-37).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 106851
Temps écoulé: 5 minute(s), 13 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 2
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Main\Start Page (Hijack.StartPage) -> Bad: (http://www.cherche.us) Good: (http://www.google.com) -> Quarantined and deleted successfully.

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)


Je fais l'antivirus 4 à 5 fois par jour depuis ces incidents.  Le rapport Hijack m'est toujours apparue. J'ai oublié de cité que la page www.cherche.us a remplacé ma page d'accueil et que même en la remplaçant elle raparait.

Merci

Lyonnais92 · Answer

Bonjour à vous 2,

je me permets d'intervenir dans ce sujet car je viens de faire quelques recherches sur cette infection et les nouvelles ne sont pas bonnes.

Provenchda, 

le rapport HijackThis montre une infection par Ramnit :

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\program files\microsoft\desktoplayer.exe, 

C'est une infection complexe et redoutable. Malheureusement, le consensus des désinfecteurs est de dire que seul le formatage permet actuellement de résoudre le problème.

Une petite recherche Google sur desktoplayer.exe montre les échecs des désinfections.

fred08700

comme tu peux le voir, c'est un file infector qui infecte les .exe mais aussi les .dll, les .htm et les .html.

Dans ces conditions, il faut que tes préconisations de sauvegarde des fichiers persos avant le formatage excluent bien tous ces fichiers. Il me semble même avoir lu qu'il vaut mieux sauvegarder sur CD ou DVD (de préférence à une clé ou un DD externe) pour prévenir toute réinfection.

provenchda · Answer

Bon matin, alors merci pour ta réponse. Oui, je suis très au courante que c'est une infection '' extrême ''. Malheureusement, je me vois mal formater mon ordinateur puis ce que j'ai plus le CD window 7. De plus, mes Sims 3, dure a re-téléchargé ( Je sais. on va dire que c'est légale.. mais je n'ai pas le choix ) sont impossible a transféré sur le disque D. ( Méthode pour sauvegarder mes donnés ) Alors, je me verrais dans l'obligation de tout re-télécharger.

Un nouveau virus est apparue : 
Win32:DNSChanger-VJ [Trj]

Localisé dans : C:\Users\Windows 7\AppData\Local\Temp\WER7ADB.tmp.hdmp

provenchda · Answer

Bonjour,
J'ai trouvé la solution pour régler le problème....

1 - Faire un scan Hijack et supprimer les lignes en rapport avec cherche.us

2 - Rechercher le fichier scriptjava.html (il se trouve normalement dans le dossier Documents and Settings
om_utilisateur\ ). Attention il ne faut pas l'ouvrir en cliquant dessus (ou alors l'ouvrir avec le bloc note). Supprimez le , c'est un fichier Javascript de cherche.us.

3 - Démarrer\Explorer et tapez regedit

4 - L'éditeur du registre s'ouvre : Cliquez sur Édition rechercher et taper cherche.us

5 - Lorsque vous trouvez des clefs registre cherche.us remplacez les par : google.fr (par exemple) ou sinon laissez les vides.

6 - Une fois que vous avez changé une clef cliquez sur F3 pour rechercher la suivante, refaire la même opération jusqu'à ce qu'il n'y ait plus de cherche.us (on en trouve généralement 5 ou 6). Si vous tombez sur un dossier cherche.us supprimez le entièrement.

Enjoy :-)

Lyonnais92 · Answer

Re,

cherche.us, DNSChanger et consort n'est pas ce qui est inquiétant. On sait les éradiquer.

Au passage, Malwarebytes n'est pas à jour (version 4031 contre 4911 !!!)

Un scan après mise à jour devrait encore montrer des choses.

===

Ce qui est crucial c'est 

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\program files\microsoft\desktoplayer.exe,

A ma connaissance, aucun outil ne supprime le fichier et la ligne (après reboot).

L'infection sera toujours présente, ton antivirus décelera des fichiers infectés et il y a de gros risques que tu continues à télécharger à ton insu de nouveaux malwares.

kevin76110 · Answer

et je possède son nom SKYPE. 
C'est à dire ?

provenchda · Answer

J'ai trouvé la source du fichier, où se dépose tout les virus.
Je vais mettre mon logiciel a jour, ainsi que Avast.

quesque ce REG?
Peut-tu m'expliquer de quoi il sagit.

Lyonnais92 · Answer

Re,

les lignes F2 de HijackThis sont le résultat du scan de la clé de registre (REG)

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

pour les valeurs Shell et userinit.

Dans ton cas, pour userinit, il trouve 

c:\windows\system32\userinit.exe,c:\program files\microsoft\desktoplayer.exe, 

Cette clé permet le lancement de c:\windows\system32\userinit.exe programme légitime mais aussi de c:\program files\microsoft\desktoplayer.exe

Ce dernier fichier est une des composantes de l'infection Ramnit.

Tant que le fichier existe et que la clé lance ce programme, ton ordi est infecté.

===

Que penses tu être la source des virus ?

fred08700 · Answer

bonjour à vous deux

désolé pour le retard , mais le boulot -)

Lyonnais92 , je te remercie de ton intervention. Je viens de lire un post sur malekal et il semblerait que tu es raison ==> sniff

Je me renseigne sur helper formation.
je te laisse pour l'instant avec provenchda

a+

provenchda · Answer

Rebonjour,

Alors, je n'ai pas trouvé la source, mais l'emplacement des fichiers.
Ce sont soit des images, ou des scripts des pages web que j'ai visité ( ou pas )

Il sont déposé dans : C:\Users\Windows 7\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5

Mais là, j'ai changé le nom pour 	rojan ..
C:\Users\Windows 7\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5	rojan

Je n'ai plus d'alerte, je vais attendre qu'un n'autre apparaisse.
Tu dis que si les fichier existe, le virus est encore là. Alors si je supprime les fichiers.. ?

- J'ai fais la mise à jour de malware, mais aucun virus en plus fut détecté.
J'ai définitivement réglé mon probleme pour cherche.us

Il y a t-il un moyen de porté plainte contre la personne?

De plus, firefox a toujours un erreur quand je l'ouvre, donc il ne s'ouvre pas....

Lyonnais92 · Answer

Re,

fais redémarrer l'ordi.

On va scanner avec un outil plus récent et plus performant qu'HijackThis.

Télécharge la dernière version de ZHPDiag

Enregistre le sur ton Bureau.

Une fois le téléchargement achevé,fais un double clic sur ZHPDiag.exe et suis les instructions.

N'oublie pas de cocher la case qui permet de mettre un raccourci sur le Bureau.

pour Xp :Double clique sur le raccourci ZHPDiag sur ton Bureau.

pour vista et Seven : fais un clic droit  sur le raccourci ZHPDiag sur ton Bureau et choisis "exécuter en tant qu'administrateur".

/|\ l'outil a créé 2 icônes ZHPDiag et ZHPFix.

Clique sur la loupe pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long.

Ferme ZHPDiag en fin d'analyse.


Pour transmettre le rapport clique sur Cijoint

Clique sur Parcourir et cherche le répertoire où est installé ZHPDiag (en général C:\Program Files\ZHPDiag).

Sélectionne le fichier ZHPDiag.txt.

Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cj200905/cijSKAP5fU.txt

est ajouté dans la page.

Copie ce lien dans ta réponse.

Lyonnais92 · Answer

Re

essaye (c'est long).

Utilise la balise "code" (à droite de S) et copie entre les 2 balises.

Lyonnais92 · Answer

Re,

tu ne peux pas le copier directement dans ta réponse ?

Si besoin, découpe le en 3 morceaux (ça doit passer).

Lyonnais92 · Answer

Re,

j'ai eu les 2 premiers sans soucis.

Je n'ai pas de MSN.

Lyonnais92 · Answer

Re,

non, continue d'envoyer par morceau.

N'oublie pas de ligne !

provenchda · Answer

http://www.cijoint.fr/cjlink.php?file=cj201010/cijAmv7x5x.txt

provenchda · Answer

Bah, son compte Skype.
Des fois sa peut aider.

Lyonnais92 · Answer

Re,

il va me falloir un petit moment pour tout analyser et te donner des instructions.

Mais tu es très infectée.

provenchda · Answer

Bon, je recois encore des alertes sur le(s) virus 
( Sur la nouvelle version d'avast, c'est vraiment moin lassant ! :D )

T'a bientôt tout repéré? :S

Lyonnais92 · Answer

Re,

pour te faire patienter :

- tu es au Canada ?

- ouvre le Gestionnaire des tâches (Ctrl Alt Suppr)4, vois tu un processus TE.exe ?

Sinon, 

Ouvre ce lien et télécharge ProcessExplorer.zip de Sysinternals sur ton Bureau :

https://docs.microsoft.com/en-us/sysinternals/downloads/process-explorer

Dézippe le et lance le.

Configure Configure Symbols comme il est dit ici :

https://forum.sysinternals.com/?TID=10741#47621

Dans View, Select columns, Process performance, coche la case :

Context Switch Delta

Est-ce que tu as un processus Te.exe ?

si oui, quel est le nom du fichier associé ?

Sinon, fais une recherche de Te.exe sur l'ordi.

fred08700 · Answer

re-salut

Tu es sur une piste ?

La discussion est lancée sur H-F et autre W-T ; mais les réponses qui reviennent semblent être effectivement le formatage 

c'est toujours en cours. Bon courage

Lyonnais92 · Answer

Re,

le plus probable est que tu finisses par devoir formater.

Fais ceci :

Rends toi sur ce site :

https://www.virustotal.com/gui/

Clique sur parcourir et cherche ce fichier :

 C:\Users\Windows 7\AppData\Roaming\Afhau\wouma.exe

Clique sur Send File.

Un rapport va s'élaborer ligne à ligne.

Attends la fin. Il doit comprendre la taille du fichier envoyé.

Sauvegarde le rapport avec le bloc-note.

Copie le dans ta réponse. 

Si VirusTotal indique que le fichier a déjà été analysé, cliquer sur le bouton Reanalyse le fichier maintenant  

===

Tu as installé VMware ?

provenchda · Answer

Bon, sa marche pas, le dossier est masqué et blablabla.. je vais réglé le problème moi-même. Merci quand même pour ton aide.

On peut porter plainte contre la personne ?

Lyonnais92 · Answer

Re,

c'est toi qui as installé  C:\Windows\Rub3.exe   ?

provenchda · Answer

Alors, je fais quoi.. 
Je voudrais au moin retrouvé mon firefox ou google chrome.

Add-ons: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d}:1.2.2,{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}:6.0.17,personas@christopher.beard:1.6.1,{972ce4c6-7e08-4474-a285-3208198ce6fd}:3.6.10
BuildID: 20100914125854
CrashTime: 1287776235
EMCheckCompatibility: true
FramePoisonBase: 00000000f0de0000
FramePoisonSize: 65536
InstallTime: 1284849523
ProductName: Firefox
ReleaseChannel: release
SecondsSinceLastCrash: 598
StartupTime: 1287776226
Theme: classic/1.0
Throttleable: 1
URL: 
Vendor: Mozilla
Version: 3.6.10

Ce rapport contient également des informations techniques sur l'état de l'application lors du plantage

Lyonnais92 · Answer

Re,

bon,

rub3 et rkfree, tu joues avec le feu.

Je vais te les faire supprimer. Tu les remettras ensuite, mais de tels outils sur un ordi dont la sécurité est compromise, ce n'est pas une bonne idée.

On va voir ce que cette procédure permet d'obtenir.

===

Ouvre le registre par regedit (Exécuter et taper regedit)

Ouvre la clé HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

Fais un clic droit sur userinit puis sur Modifier.

Mets cette valeur à 

C:\Windows\system32\userinit.exe,   

(n'oublie pas la virgule à la fin)

===

Ouvre ce lien : http://www.cijoint.fr/cjlink.php?file=cj201010/cij1lWrksJ.txt

Ouvre le fichier.

Copie dans le Presse-papier son contenu (sélectionne le avec la souris et fais simultanément Ctrl et C)

Déconnecte toi d'Internet et ferme toutes les applications ouvertes.


Pour W7 : Clique droit sur l'icône ZHPFix.exe sur ton Bureau,
puis sélectionne 'Exécuter en tant qu'administrateur'.

Clique successivement sur l'icône H (pour effacer le rapport qui s'est affiché) puis sur l'icône de la malette cachée par la feuille.

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur OK, ce qui fait apparaître un carré à gauche de chaque ligne.

Clique sur "Tous" puis sur "Nettoyer".

Laisse l'outil travailler.

Si il te demande de redémarrer l'ordi pour achever le nettoyage, fais le immédiatement.

Le rapport d'exécution va apparaître dans la fenêtre.

Copie le dans ta réponse.

===

 Télécharge DrWeb
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
La version est automatiquement à jour.
Tuto https://www.malekal.com/tutorial-et-guidedr-web-cureit/
Installe-le.
==> branche les USB et Disque dur externes .

Déconnecte toi physiquement d'Internet.

Arrête toutes tes application, y compris ton antivirus et ton parefeu.

Tu les réactiveras après.


Ensuite clique sur « cureit.exe » http://img210.imageshack.us/img210/3301/screenshot137xp7.png pour commencer le scan.
* Clique Ok à l'invite de l'analyse rapide. Ce scan permet l'analyse des processus chargés en mémoire ; s'il trouve des processus infectés, clique le bouton « Oui pour tout » à l'invite.
**Note : une fenêtre s'ouvrira avec options pour "Commander" ou "50% de réduction" ; clique sur le "X" pour fermer la fenêtre
* Lorsque le scan rapide est terminé, Clique sur le menu Options >> Changer la configuration;
* Choisis l'onglet "Scanner", et décoche "Analyse heuristique". Clique sur "Ok"
* De retour à la fenêtre principale : clique sur le bouton radio "Analyse complète".
* Clique sur la flèche verte sur la droite, et le scan débutera.
* Clique Oui pour tout à l'invite "Désinfecter ?" lorsqu'un fichier est détecté, et ensuite clique sur "Désinfecter".
* Lorsque le scan sera complété, regarde si tu peux cliquer sur cette icône, adjacente aux fichiers détectés : http://users.telenet.be/bluepatchy/miekiemoes/images/check.gif
* Si oui, alors clique dessus et ensuite clique sur l'icône "Suivant", au dessous, et choisis Déplacer en quarantaine l'objet indésirable sauf pour les fichiers de C:\Windows et c:\Windows\System32
* Du menu principal de l'outil, au haut à gauche, clique sur le menu Fichier et choisis Enregistrer le rapport
* Sauvegarde le rapport sur ton Bureau. Ce dernier se nommera DrWeb.csv
* Ferme Dr.Web Cureit
*
* Redémarre ton ordi (*très important*), car certains fichiers peuvent être déplacés/réparés au redémarrage.
* Suite au redémarrage, poste (Copie/Colle) le contenu du rapport de l'outil Dr.Web dans ta prochaine réponse. 

===

Refais tourner ZHPDiag et poste le nouveau rapport obtenu dans un lien cijoint

Lyonnais92 · Answer

Re,

je verrai les résultats au jour (on a 6 h de décalage).

provenchda · Answer

Salut, hier j'ai fais un formatage de mon ordinateur.
J'crois que c'étais la seul solution malgré mon orgueil.
Mais je suis contente, mon frère a retrouvé window 7, j'ai un ordinateur
tout propre. Comment évité un éventuel piratage ?

J'ai téléchargé Avast.

Lyonnais92 · Answer

Bonsoir,

c'était effectivement la seule solution raisonnable.

J'étais bien convaincu que une partie seulement pourrait être éradiquée.

Mais je ne pouvais pas décider à ta place.

===

Il n'y a pas de certitude totale, seulement des mesures qui réduisent (fortement) les risques :

- système à jour

- logiciels à jour (dont navigateurs, console java, adobe reader, ...)

- pas de cracks, keygens et équivalents

- logiciels de sécurité avec garde résidente (antivirus, parefeu) à jour et réglés

- un logiciel antimalwares comme MBAM utilisés "de temps en temps" et en cas de soupçon

- surfer avec un compte limité et non les droits d'administrateur

- pas de logiciels à risques sauf nécessité

- pas de comportement à risques

- réfléchir avant de cliquer

===

Je te suggère de vérifier la situation de départ en faisant une analyse :

- avec ton antivirus

- avec MBAM

- avec ZHPDiag

Poste le rapport de ZHPDiag dans un lien cijoint.

Piratage EXTREME de mon ordinateur

30 réponses

Discussions similaires