Spyware - Pas complétement disparu... Résolu

Question

Bonjour à tous, 

Hier soir en navigant sur le web, un logiciel s'est installé sans mon autorisation, un virus ou spyware donc.

Il s'agit du type de logiciel copiant windows security, et il s'appelait "Anti-spyware ...".
Un icône de lancement avait été rajouté sur mon bureau, alors j'ai pu trouver le chemin d'accès au fichier .exe --> dans application data - un dossier tu type "AADIIFIE..." - et là un .exe écrit en Russe qui commençait par "Form-tel"l il me semble (désolé de ne plus me souvenir de tout, j'ai voulu tout supprimer rapidement). 

J'ai pu stopper le processus. 
Désinstaller le logiciel anti-spyware. 
Et supprimer le .exe --> J'ai fait ensuite un nettoyage complet avec Ccleaner.

Depuis je ne sais pas trop quoi faire : 
- le démarrage de mon ordinateur ne fonctionne plus très bien (très long, et la barre des tâches reste invisible plusieurs minutes).
- Je ne peux pas utiliser les navigateurs chrome ou ie, et firefox ne marche qu'en mode sans échec
- J'ai eu pendant la rédaction de ce poste des onglets qui se sont ouverts dans firefox, dirigeants vers des sites malveillants...

Je pense donc qu'il y a des traces du spyware mais je ne sais pas où. Spyware doctor ne m'a rien trouvé, pareil pour ma version de McCafee (j'ai d'ailleurs tout fait planté en essayant d'installer Avast! pour lancer un scan) 

J'espère avoir donné assez d'informations. 
Je vous remercie d'avance de l'aide que vous pourriez m'apporter.

Bonne soirée

CornerCeD




Configuration: Windows XP / Firefox 3.6.3

Valuu · Answer

Bonjour,

Utilise ce logiciel de diagnostic :

* Télécharge https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html ZHPDiag (de Nicolas Coolman)
* Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin.
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

cornerced · Answer

Bonsoir Valuu,  

Je n'ai pas réussi à uploader le lien sur cijoint.fr alors voici un autre lien :  


Merci d'avance si vous arriver à trouver le problème. 
Pour info: dans la liste des bugs, j'ai eu le thème de Windows qui est passé à Windows classique (la vielle version des boutons, en gris), plutôt que le thème Windows XP. 

Bonne soirée 
Merci pour votre aide :-)

Valuu · Answer

Bonjour,

En effet, quelques infections...

    * Télécharge http://www.teamxscript.org/adremoverTelechargement.html (AD-Remover) (de C_XX) sur ton Bureau.
    [b] :!: Déconnecte toi et ferme toutes les applications en cours :!: [/b]
    * Double-clique sur l'icône AD-Remover
    * Au menu principal, clique sur "Nettoyer"
    * Confirme le lancement de l'analyse et laisse l'outil travailler
    * Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

    (CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

**********************************************

    * Télécharge https://www.androidworld.fr/ (Malwarebytes)

    * Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.

    * Fais la mise à jour du logiciel (elle se fait normalement à l'installation)

    * Lance une analyse complète en cliquant sur "Exécuter un examen complet"

    * Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"

    * L'analyse peut durer un bon moment.....

    * Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"

    * Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"

    * Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
    
    * Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée

cornerced · Answer

Bonsoir Valuu, 

J'ai trouvé le temps de faire les manipulations et voici ce que j'ai comme rapports (en 1. Ad Remouver, en 2. Malwerbyte):  

Dans l'ensemble mon ordi semble fonctionner, je vous remercie. 
Si il y a d'autres procédures à faire, dites les moi,et je transformerai ensuite le post comme Résolu. 

Encore Merci, 

CornerCeD

Valuu · Answer

Salut,

Reposte un rapport ZHP voir si il reste quelques petits trucs stp.

Et va faire un tour sur Windows Update mettre ton système à jour également.
https://www.malekal.com/mises-a-jour-windows-update/#mozTocId693601

cornerced · Answer

Bonjour,  

J'ai encore des onglets intempestif qui s'ouvrent sur Firefox + le style windows XP parfoit change pour Windows classique + les script ne marche pas bien sur internet.  

Il doit y avoir encore quelque traces de sspyware ...  

Voici le rapport :  


Merci d'avance pour encore un peu d'aide !

Valuu · Answer

Bonjour,

Pense à mettre ton système à jour ;)

Je suis un peu occupé en ce moment, je te reprend dans 2 -3 jours,
Mets ton système à jour en attendant.

Désolé.

Valuu

cornerced · Answer

Pas de problème ! 
C'est déjà très gentil de m'aider.

Je vais lancer les Mise à jour et on verra dans quelques jours ...
Merci encore et bon week-end.

Valuu · Answer

Bonjour,  

Alors, j'ai un petit moment, donc j'en profite :  

    /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

    * Rends toi sur http://www.gmer.net/  et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)  
    * Lance Gmer (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en temps qu'administrateur)  
    * Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.  
    * A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau au format .txt  
    * Héberge le rapport sur http://www.cijoint.fr/ puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.  

Puis repasses un coup de MBAM et poste son rapport stp.  

A bientôt

cornerced · Answer

Bonjour, 

Je vais faire cela ... mais avant, en passant à la SP3 de XP j'ai eu pleins de problèmes.

J'ai perdu mes favoris Firefox, je dois maintenant re donner ma clé WINDOWS XP ... 

J'ai aussi eu plusieurs fois depuis le début du problème la pop-up avec le problème suivant : "generic host process system 32 services" à renconter un problème et va devoir être fermé ! 

Voilà donc pour ajouter aux problèmes existants.

Je vais donc publier de nouveaux rapports !
Merci d'avance !

cornerced · Answer

Bonsoir,  

Voici les rapports :  



Peut-être cela peut aider à trouver l'origine du problème :  
- Au démarrage, tout se déroule normalement pendant quelques secondes, mon bureau est affiché, puis la barre des tâches disparait et il devient impossible d'y accéder. 
- Après quelques minutes, la barre revient, et il semblerait que les programmes se lançant au démarrage se lancent à ce moment (antivirus, connexions). 

- J'ai aussi l'impression qu'en éteignant Windows il y a un problème avec le processus explorer.exe (je le vois souvent agir sans que cela soit nécessaire). 

-Sinon toujours les mêmes problèmes (changement de style de Windows, onglets de pubs dans firefox) 
- Je ne sais pas si cela est en rapport avec le "spyware/virus" ou la mise à niveau vers SP3, mais j'ai perdu tous les éléments se trouvant sur mon bureau ...  

Je vous remercie d'avance pour votre aide, et les solutions que vous pourrez m'apporter. 
Bonne fin de week-end.

moment de grace · Answer

bonjour pour avancer Valuu Attention, avant de commencer, lit attentivement la procédure, et imprime la Aide à l'utilisation https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix Télécharge ComboFix de sUBs sur ton Bureau : http://download.bleepingcomputer.com/sUBs/ComboFix.exe /!\ Déconnecte-toi du net et DESACTIVES TOUTES LES DEFENSES, antivirus et antispyware y compris /!\ ---> Double-clique sur ComboFix.exe Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter SURTOUT INSTALLES LA CONSOLE DE RECUPERATION (si il te propose de l'installer remets internet) ---> Mets-le en langue française F Tape sur la touche 1 (Yes) pour démarrer le scan. Ne touche à rien(souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire. Une fois le scan achevé, un rapport va s'afficher : Poste son contenu /!\ Réactive la protection en temps réel de ton antivirus et de ton antispyware avant de te reconnecter à Internet. /!\ Note : Le rapport se trouve également là : C:\ComboFix.txt

Valuu · Answer

Bonjour cornerced,
Je viens aux nouvelles ?

cornerced · Answer

Bonjour Valuu et Moment de grace, 

Je n'ai finalement fait le scan qu'hier. 
J'ai eu des problèmes car McAfee du fait de problèmes au démarrage ne s'éteignait pas correctement. 

J'ai finalement réussi à lancer Combo Fix, et il semblerai qu'il ai fait du bon travail. 
Voici le rapport pour voir si il y a encore des problèmes :  


Je n'ai plus réussi à réutilisé McAfee (périmé de toute façon) donc j'ai du le désinstaller et j'ai installer Avast maintenant !  

Si vous me dites que pour le rapport tout est bon, je mettrai le sujet en Résolu. 
Merci en tout cas pour l'aide que vous m'avez apporté.

moment de grace · Answer

message précédent édité

il y a encore des infections

1)

supprime les restes McAffee (infectés)

https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#mcafee-virusscan-8-ou-9

................

2)
/!\ ATTENTION /!\ Le script qui suit a été écrit spécialement pour cet utilisateur, il n'est pas transposable sur un autre ordinateur ! 

crées un sur ton bureau un nouveau fichier bloc note que tu nommeras CFScript
Copies y ce texte dedans et enregistres le

texte ici : https://www.cjoint.com/?0lenpWiyJq



* Désactive tes logiciels de protection 
* Fais un glisser/déposer de ce fichier CFScript.txt sur le fichier Combofix.exe (comme le lien suivant) 
http://sd-2.archive-host.com/membres/images/135518691112296573/cfscriptop0.gif

* Patiente le temps du scan. Le Bureau va disparaître à plusieurs reprises : c'est normal ! Ne touche à rien tant que le scan n'est pas terminé. 
* Une fois le scan achevé, un rapport va s'afficher: poste son contenu. 
* Si le fichier ne s'ouvre pas, il se trouve ici ? C:\ComboFix.txt







CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

cornerced · Answer

Bonsoir, 

Voici le rapport :  


J'ai eu un plantage lors du redémarage ... j'ai du éteindre mon ordi, puis relancer Combo Fix. 

Je ne suis pas certain que tout est bien fonctionné... j'attends votre expertise. 

Merci d'avance, et bonne soirée.

moment de grace · Answer

ok

1)

même manip avec ce texte

https://www.cjoint.com/?0levdoYiOCV

............

2)

Téléchargez USBFIX de El Desaparecido, C_xx

http://www.teamxscript.org/usbfixTelechargement.html

ou

http://teamxscript.changelog.fr/UsbFix.html

/!\ Utilisateur de vista et windows 7 :
ne pas oublier de désactiver Le contrôle des comptes utilisateurs 
https://www.commentcamarche.net/faq/8343-vista-desactiver-l-uac 

/!\ Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d'avoir été infectées sans les ouvrir 

Double clic sur le raccourci UsbFix présent sur le bureau . 

 Choisir l'option suppression
(d'autres options disponibles, voir le tutoriel). 
 Laissez travailler l'outil.
Le menu démarrer et les icônes vont disparaître.. c'est normal. 

Si un message te demande de redémarrer l'ordinateur fais le ... 

 Au redémarrage, le fix se relance... laisses l'opération s'effectuer. 

Le bloc note s'ouvre avec un rapport, envoies le dans la prochaine réponse

 
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. ( C:\UsbFix.txt ) 

( CTRL+A Pour tout sélectionner , CTRL+C pour copier et CTRL+V pour coller ) 

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool. 
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus. 
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus. 


* Tuto : http://pagesperso-orange.fr/NosTools/usbfix.html


UsbFix peut te demander d'uploader un dossier compressé à cette adresse : http://www.teamxscript.org/Sample/Upload.php

 Il est enregistré sur ton bureau. 

Merci de l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.

cornerced · Answer

Bonsoir, 

Voici les rapports: 

Que pensez vous ? encore des infections ? 
(peut-être pourriez vous me dire si tout est fini, si je peux supprimer tout les fichier créer dans C:\) 

Bonne soirée en tout cas et Merci encore.

moment de grace · Answer

bonjour 

cela va beaucoup mieux... 

..................

utilise tu un proxy ?
................... 

Fais un nouveau rapport ZHPdiag stp 

Rend toi sur Cjoint : http://www.cijoint.fr/  

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "  

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau  

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message 

.................. 

pour les outils, gardes les  , Valuu va reprendre la main pour terminer à bien ton sujet 

@+ 

CONTRIBUTEUR SECURITE 

Désinfection = diagnostic + traitement + finalisation 
"Restez" jusqu'au bout...merci

cornerced · Answer

Bonjour, 

Voilà le dernier rapport ZHP 

J'espère qu'il n'y a plus rien. 

Quelle est donc la manip pour supprimer tout les logiciels instalés ? 

Merci d'avance

Valuu · Answer

Bonjour bonjour,   


    * Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).   
    * Copie les lignes suivantes :   

    ---------------------------------------------------   
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} Clé orpheline   
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} Clé orpheline   
[HKCU\Software\Conduit]   
O81 - IFC: Internet Feature Controls [HKUS\.DEFAULT] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS)  
O81 - IFC: Internet Feature Controls [HKUS\S-1-5-18] [FEATURE_BROWSER_EMULATION] -- svchost.exe    => Infection Rootkit (Rootkit.TDSS)  
    ---------------------------------------------------   

    * Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)   
    * Les lignes se collent automatiquement dans ZHPFix.   
    * Clique sur « Ok » puis sur « Tous », puis sur « Nettoyer »   

Puis va faire un tour sur Windows Update pour mettre IE à jour, tu as la version 7.   
https://www.malekal.com/mises-a-jour-windows-update/   

Puis met Java à jour :   
(suis la manip de la partie mise à jour)   

http://www.vista-xp.fr/forum/topic2490.html   

Puis pour supprimer tous les logiciels utilisés : 


    Pour supprimer toutes les traces des logiciels qui ont servi à traiter les infections spécifiques :

    
    [*] Télécharge http://pc-system.fr/ Toolscleaner sur ton Bureau  

    [*] Double-clique sur ToolsCleaner2.exe et laisse le travailler 

    [*] Clique sur Recherche et laisse le scan se terminer. 

    [*] Clique sur Suppression pour finaliser. 

    [*] Tu peux, si tu le souhaites, te servir des Options facultatives. 

    [*] Clique sur Quitter, pour que le rapport puisse se créer. 

    [*] Le rapport (TCleaner.txt) se trouve à la racine de votre disque dur (C:\)...colle le dans ta prochaine réponse 
  

Tu peux garder MBAM et faire une analyse de ton pc régulièrement (toutes les semaines par exemples, ou tous les mois).

cornerced · Answer

Bonsoir, 

Voici le dernier rapport:  

Il y a eu une erreur avec Qoobox ... ! 

Merci beaucoup pour l'aide apporté tout du long. 

Bonne semaine, et merci encore. 

Cornerced

Valuu · Answer

Oui Qoobox pose quelques problèmes, c'est en discussion encore pour la méthode de suppression de ce dossier, si tu peux, supprimes le manuellement, sinon essaie comme ceci :

Télécharge DelFix : http://sd-1.archive-host.com/membres/up/17959594961240255/DelFix.exe
Exécute le, puis clique sur Suppression
Une fois terminé, clique sur Désinstallation pour le désinstaller.


Ça donne quoi ? (t'étonnes pas si ça marche pas :p)

cornerced · Answer

Bonjour,

Merci cela a marché  ! 
Je crois il y a encore des restes d'un autre programme dans la racine C:, des fichier .sqm !

Dans tous les cas merci encore pour l'aide apporté.

Valuu · Answer

Hello,
Le fichiers .sqm ne sont pas du à la désinfection.

Un fichier SQM (traduisez Service Quality Monitor) est un fichier contenant des données permettant à Microsoft d'améliorer ses logiciels. Ces fichiers peuvent être supprimés sans problème. 

Il est possible que ça vienne de msn :
Pour les desactiver, il faut lancer MSN, aller dans l'aide, choisir 'Programme d'amélioration des services' et dire 'Je ne veux pas participer'. Il n'y aura plus de nouveaus fichiers sqm. Il suffit juste d'effacer ceux qui sont présents.

Tu peux marquer ton sujet comme résolu si tu considères que c'est le cas :-)
Bon surf !

cornerced · Answer

Ok merci pour l'astuce avec MSN ! 

Je vais en effet passer le topic en résolu (j'avais oublié).

Merci encore, et peut être à bientôt.

Cornerced

Spyware - Pas complétement disparu... - Page 2

Discussions similaires

Newsletters