Problème infection

iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   -  
iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,
J'ai été victime ce matin d'un hack de compte, c'est surement dut a un keylogger ou autre virus. Je cherche donc a savoir si je suis infecter, je n'ait rien de suspect dans les processus, j'ai 0 virus sur MBAM,SPybot, et kaspersky...
je viens donc me confier a vous pour faire analyser mon rapport hijackthis.
Le voici : ou rapport ZHPdiag : http://www.cijoint.fr/cjlink.php?file=cj201104/cijEvRBCQQ.txt

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:04:05, on 03/04/2011
Platform: Unknown Windows (WinNT 6.01.3505 SP1)
MSIE: Internet Explorer v8.00 (8.00.7601.17514)
Boot mode: Normal

Running processes:
C:\Program Files (x86)\ASUS\Wireless Console 3\wcourier.exe
C:\Program Files (x86)\Creative\SB Audigy\Volume Panel\VolPanlu.exe
C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe
C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Users\Quentin\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = https://www.msn.com/fr-fr/?ocid=iehp
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = https://www.bing.com/?toHttps=1&redig=5FC791212101479BAFBE1A679848B1AF
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = https://www.msn.com/fr-fr/?ocid=iehp
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm
F2 - REG:system.ini: UserInit=userinit.exe,
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\ievkbd.dll
O2 - BHO: Programme d'aide de l'Assistant de connexion Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll
O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files (x86)\Creative\SB Audigy\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [HControlUser] C:\Program Files (x86)\ASUS\ATK Hotkey\HControlUser.exe
O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe"
O4 - HKLM\..\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files (x86)\ASUS\ATK Media\DMedia.exe
O4 - HKLM\..\Run: [ATKOSD2] C:\Program Files (x86)\ASUS\ATKOSD2\ATKOSD2.exe
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE LOCAL')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'SERVICE RÉSEAU')
O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'SERVICE RÉSEAU')
O8 - Extra context menu item: Ajouter à l'Anti-bannière - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\ie_banner_deny.htm
O8 - Extra context menu item: E&xporter vers Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Clavier &virtuel - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Analyse des &liens - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\klwtbbho.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll
O13 - Gopher Prefix:
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files (x86)\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll, C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll
O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files (x86)\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: ASLDR Service (ASLDRService) - ASUS - C:\Program Files (x86)\ASUS\ATK Hotkey\ASLDRSrv.exe
O23 - Service: ATKGFNEX Service (ATKGFNEXSrv) - Unknown owner - C:\Program Files\ATKGFNEX\GFNEXSrv.exe
O23 - Service: Kaspersky Anti-Virus Service (AVP) - Kaspersky Lab ZAO - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2011\avp.exe
O23 - Service: Creative ALchemy AL6 Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\AL6Licensing.exe
O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe
O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)
O23 - Service: LogMeIn Hamachi 2.0 Tunneling Engine (Hamachi2Svc) - LogMeIn Inc. - C:\Program Files (x86)\LogMeIn Hamachi\hamachi-2.exe
O23 - Service: Intel(R) Rapid Storage Technology (IAStorDataMgrSvc) - Intel Corporation - C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
O23 - Service: Service de l'iPod (iPod Service) - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Ma-Config Service (maconfservice) - CybelSoft - C:\Program Files\ma-config.com\x64\maconfservice.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)
O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (nvsvc) - Unknown owner - C:\Windows\system32\nvvsvc.exe (file missing)
O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)
O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: Sandboxie Service (SbieSvc) - SANDBOXIE L.T.D - C:\Program Files\Sandboxie\SbieSvc.exe
O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)
O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)
O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)
O23 - Service: NVIDIA Stereoscopic 3D Driver Service (Stereo Service) - NVIDIA Corporation - C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files (x86)\TuneUp Utilities 2011\TuneUpUtilitiesService64.exe
O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)
O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)
O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)
O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)
O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)
O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)
O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

End of file - 10370 bytes

Voila je vous remercie d'avance pour votre aide !

20 réponses

Résumé de la discussion

Une suspicion de piratage de compte, évoquant un possible keylogger ou virus, motive la demande d’interprétation d’un rapport HijackThis fourni afin d’évaluer les risques réels. Plusieurs réponses suggèrent d’utiliser des outils spécialisés et de vérifier les résultats des analyses antivirus, tout en notant que certains éléments du rapport peuvent être sans lien avec une infection active. Des échanges évoquent aussi la prudence face à des tutoriels douteux et à des conseils non vérifiés, et soulignent que des symptômes peuvent être invisibles malgré des scans apparemment propres. En cas de doute persistant, le consensus demeure qu’un diagnostic approfondi et une sécurité renforcée passent par des vérifications systématiques et l’élimination des vecteurs potentiels avant de tirer des conclusions.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    lol n importe quoi.
    kaspersky est excellent.

    spybot = tu jette. sert à rien ce truc.

    Rien de visible sur HJT.

    DÉSACTIVE TON ANTIVIRUS ET TON PARE-FEU SI PRÉSENTS !!!!! (car l'outil est détecté a tort comme infection contenant un module qui sert à arrêter des processus , et un autre servant à prendre des droits dans le registre pour effectuer des suppressions)

    ▶ Télécharge ici :List_Kill'em de gen-hackman

    et télécharge Pre_scan de gen-hackman

    et enregistre les sur ton bureau

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."


    sur Pre_Scan.exe. Laisse le travailler et poste le contenu du rapport rapport.txt sur ton bureau ici directement.

    Puis:

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."


    sur sur List_Kill'em_Instal.exe sur ton bureau pour lancer l'installation

    Laisse coché :

    ♦ Exécuter List_Kill'em

    une fois terminée , clic sur "terminer"

    lance-le via le raccourci apparu sur ton bureau comme précité au début

    choisis l'option Search

    ▶ laisse travailler l'outil

    à l'apparition de la fenêtre blanche , c'est un peu long , c'est normal , il se peut que l'outil bloque anormalement longtemps arrivé à 95% , relance-le avec le raccourci sur le bureau sans l'arreter , puis clique sur le tout petit "X" en bas de la fenetre d'accueil du programme, ca le debloquera pour finir son scan

    ▶ Poste le contenu du rapport qui s'ouvre aux 100 % du scan à l'écran "COMPLETED"

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM

    Pour me le transmettre clique sur ce lien : http://www.cijoint.fr/

    ▶ Clique sur Parcourir et cherche le fichier C:\List'em.txt

    ▶ Clique sur Ouvrir.

    ▶ Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.fr/cjlink.php?file=265368/cijSKAP5fU.txt

    est ajouté dans la page.

    ▶ Fais de même avec more.txt qui se trouve sur ton bureau

    ▶ Copie ces liens dans ta réponse.
    0
  2. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
     
    re et merci de ta réponse je post tout ca, sinon tu as pas regarder le rapport zhpdiag ?
    rapport.txt :

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Process_Killer by g3n-h@ckm@n 1.0.0.3 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Mis à jour le 01/04/2011 | 15.05 par g3n-h@ckm@n
    Utilisateur : Quentin (Administrateurs)
    Ordinateur : QUENTIN-PC

    Système d'exploitation : Windows 7 Home Premium (64 bits)
    Internet Explorer : 8.0.7601.17514
    Mozilla Firefox : 4.0 (fr)

    Scan : 21:21:52 | 03/04/2011

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Winlogon] | Shell -> Aucune modification : explorer.exe -> explorer.exe
    [HKLM\..\..\Winlogon] | AutoRestartShell -> Modification apportée : -> 1
    [HKLM\..\..\Winlogon] | userinit -> Modification apportée : userinit.exe, -> C:\Windows\SysWOW64\userinit.exe,
    [HKLM\..\..\Winlogon] | PowerDownAfterShutdown -> Modification apportée : -> 1

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Associations ¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    [HKCR\exefile\..\..\command] : "%1" %*
    [HKCR\comfile\..\..\command] : "%1" %*
    [HKCR\scrfile\..\..\command] : "%1" /S
    [HKCR\batfile\..\..\command] : "%1" %*
    [HKCR\piffile\..\..\command] : "%1" %*

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Processus ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    explorer.exe -> Processus stoppé

    ¤¤¤¤¤¤¤¤¤¤ Clés supprimées et Fichier mis en quarantaine ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
    [HKLM\..\..\Services\EapHost] | Start -> Modification apportée : 3 -> 2
    [HKLM\..\..\Services\Wlansvc] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\SharedAccess] | Start -> Modification apportée : 4 -> 2
    [HKLM\..\..\Services\windefend] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

    ¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    scanning jobs ...

    scanning processes ...

    scanning threads ...

    scanning modules in svchost.exe...
    scanning modules in services.exe...
    scanning modules in explorer.exe...

    restoring services BITS, wuauserv, ERSvc, WerSvc
    Service BITS autorun restored
    Service BITS started
    Service wuauserv autorun restored
    Service WerSvc autorun restored
    Service WerSvc started

    restoring show hidden and system files

    restoring SafeBoot registry node

    scanning C:\Windows\system32 ...
    scanning C:\Program Files (x86)\Internet Explorer\ ...
    scanning C:\Program Files (x86)\Movie Maker\ ...
    scanning C:\Program Files (x86)\Windows Media Player\ ...
    scanning C:\Program Files (x86)\Windows NT\ ...
    scanning C:\Users\Quentin\AppData\Roaming ...
    scanning C:\Users\Quentin\AppData\Local\Temp\ ...
    scanning C:\ ...
    scanning D:\ ...

    completed
    Infected jobs: 0
    Infected files: 0
    Infected threads: 0
    Splices functions: 0
    Cured files: 0
    Fixed registry keys: 0

    Fin : 21:33:29

    ¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤

    list'em :
    http://www.cijoint.fr/cjlink.php?file=cj201104/cijCPkWLF0.txt

    more :
    http://www.cijoint.fr/cjlink.php?file=cj201104/cijFHIM4SN.txt

    encore merci
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    pas besoin de zhpdiag, et tu m'as pas donné list'em mais zhpdiag justement

    on y reviendra plus tard

    0
  4. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
     
    tromper désolé voila listem : http://www.cijoint.fr/cjlink.php?file=cj201104/cijN7Bg4Cl.txt
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Juste un tout piti truc :P

    si tu as XP => double clique
    si tu as Vista ou windows 7 => clic droit "exécuter en tant que...."


    ▶ Relance List_Kill'em,avec le raccourci sur ton bureau.

    mais cette fois-ci :

    ▶ choisis l'Option Suppression

    ▶▶▶ Ne clique qu'une seule fois sur le bouton !!

    laisse travailler l'outil.

    en fin de scan la fenêtre se ferme , et tu as un rapport du nom de Kill'em.txt sur ton bureau ,

    ▶ colle le contenu dans ta réponse

    ========================

    ▶ Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

    ▶ Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
    (Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

    ▶ Lance OTL
    ▶ Sous Personnalisation, copie-colle ce qu'il y a dans le cadre ci-dessous :
    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %ALLUSERSPROFILE%\Application Data\*.
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %APPDATA%\*.
    %APPDATA%\*.exe /s
    %temp%\.exe /s
    %SYSTEMDRIVE%\*.exe
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    /md5start
    explorer.exe
    winlogon.exe
    wininit.exe
    /md5stop
    CREATERESTOREPOINT
    nslookup www.google.fr /c 

    ▶ Clique sur le bouton Analyse.
    ▶ Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
    Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.
    0
  7. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
     
    kill'em :
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Kill'em by g3n-h@ckm@n 2.1.3.7 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Mis à jour le 03/04/2011 | 20.20 par g3n-h@ckm@n
    Utilisateur : Quentin (Administrateurs)
    Ordinateur : QUENTIN-PC

    Système d'exploitation : Windows 7 Home Premium HomePremium (32 bits)

    c:\ -> [Fixed] | [OS] | Total : 238470 Mo | Free : 182030 Mo -> NTFS
    d:\ -> [Fixed] | [DATA] | Total : 223470 Mo | Free : 104760 Mo -> NTFS
    e:\ -> [CDROM] | [] | Total : 0 Mo | Free : 0 Mo ->

    Scan : 22:24:40 | 03/04/2011

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Winlogon ¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Winlogon] | AutoRestartShell = 1
    [HKLM\..\..\Winlogon] | Shell = Explorer.exe
    [HKLM\..\..\Winlogon] | Userinit = C:\Windows\SysWOW64\Userinit.exe,
    [HKLM\..\..\Winlogon] | System =
    [HKLM\..\..\Winlogon] | PowerdownAfterShutdown = 1

    ¤¤¤¤¤¤¤¤¤¤ Internet Explorer ¤¤¤¤¤¤¤¤¤¤

    [HKCU\..\..\Internet Explorer\Main] | Start Page=https://www.google.com/?gws_rd=ssl
    [HKCU\..\..\Internet Explorer\Main] | Local Page=C:\WINDOWS\system32\blank.htm
    [HKCU\..\..\Internet Explorer\Main] | Search Page=http://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch

    [HKLM\..\..\Internet Explorer\Main] | Start Page=http://go.microsoft.com/fwlink/?LinkId=69157
    [HKLM\..\..\Internet Explorer\Main] | Local Page=C:\WINDOWS\system32\blank.htm
    [HKLM\..\..\Internet Explorer\Main] | Default_Search_URL=http://go.microsoft.com/fwlink/?LinkId=54896
    [HKLM\..\..\Internet Explorer\Main] | Default_Page_URL=http://go.microsoft.com/fwlink/?LinkId=69157
    [HKLM\..\..\Internet Explorer\Main] | Search Page=http://go.microsoft.com/fwlink/?LinkId=54896

    ¤¤¤¤¤¤¤¤¤¤ IFEO ¤¤¤¤¤¤¤¤¤¤

    Supprimé : [excel.exe] -> "C:\Program Files (x86)\TuneUp Utilities 2011\TUAutoReactivator64.exe"
    Supprimé : [infopath.exe] -> "C:\Program Files (x86)\TuneUp Utilities 2011\TUAutoReactivator64.exe"
    Supprimé : [msoxmled.exe] -> "C:\Program Files (x86)\TuneUp Utilities 2011\TUAutoReactivator64.exe"
    Supprimé : [mstore.exe] -> "C:\Program Files (x86)\TuneUp Utilities 2011\TUAutoReactivator64.exe"
    Supprimé : [pictureviewer.exe] -> "C:\Program Files (x86)\TuneUp Utilities 2011\TUAutoReactivator64.exe"
    Supprimé : [quicktimeplayer.exe] -> "C:\Program Files (x86)\TuneUp Utilities 2011\TUAutoReactivator64.exe"
    Supprimé : [winword.exe] -> "C:\Program Files (x86)\TuneUp Utilities 2011\TUAutoReactivator64.exe"

    ¤¤¤¤¤¤¤¤¤¤ Mountpoints2 ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Services ¤¤¤¤¤¤¤¤¤¤

    [HKLM\..\..\Services\Ndisuio] | Start -> Aucune modification : 3 -> 3
    [HKLM\..\..\Services\EapHost] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\Wlansvc] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\SharedAccess] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\windefend] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\wuauserv] | Start -> Aucune modification : 2 -> 2
    [HKLM\..\..\Services\wscsvc] | Start -> Aucune modification : 2 -> 2

    ¤¤¤¤¤¤¤¤¤¤ Hosts ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Supression Fichiers | Dossiers ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Suppression Clés ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤¤ Services néfastes ¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ Suppression Valeurs ¤¤¤¤¤¤¤¤¤¤

    Valeur Supprimée : [HKLM\..\..\Policies\Explorer] | NoActiveDesktop
    Valeur Supprimée : [HKLM\..\..\Policies\Explorer] | NoActiveDesktopChanges

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    Fin : 22:28:35

    ¤¤¤¤¤¤¤¤¤¤¤¤¤( EOF )¤¤¤¤¤¤¤¤¤¤¤¤

    OTL :
    https://pjjoint.malekal.com/files.php?id=7e6bb356596109

    Il y a aussi un extra.txt, je te le poste si ca peut t'etre utile :
    https://pjjoint.malekal.com/files.php?id=8fd601f4ea8715
    0
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    t'as viré spybot ?

    ▶ Télécharge Malwarebytes' Anti-Malware et enregistre le sur ton bureau.

    ▶ ▶ Miroir 1 si inaccessible

    ▶ ▶ Miroir 2 si inaccessible

    ▶ ▶ /!\ Utilisateur de Vista et Windows 7 : Clique droit sur le logo de Malwarebytes' Anti-Malware, « exécuter en tant qu'Administrateur »

    ▶ Double clique sur le fichier téléchargé pour lancer le processus d'installation.
    ▶ Dans l'onglet "mise à jour", clique sur le bouton Recherche de mise à jour
    ▶ si le pare-feu demande l'autorisation de se connecter pour Malwarebytes, accepte
    Une fois la mise à jour terminée
    ▶ rends-toi dans l'onglet Recherche
    ▶ Sélectionne Exécuter un examen complet
    ▶ Clique sur Rechercher
    ▶ ▶ Le scan démarre.
    ▶ A la fin de l'analyse, un message s'affiche : L'examen s'est terminé normalement. Cliquez sur 'Afficher les résultats' pour afficher tous les objets trouvés.
    ▶ Clique sur Ok pour poursuivre.
    ▶ Si des malwares ont été détectés, cliques sur Afficher les résultats
    ▶ Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection . Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.
    ▶ Malwarebytes va ouvrir le bloc-notes et y copier le rapport d'analyse. Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

    ▶ ▶ Il se peut que MBAM ait besoin de redémarrer le pc pour finaliser la suppression, donc pas de panique, redémarre ton pc !!!
    ▶ Une fois le PC redémarré, rends toi dans l'onglet rapport/log
    ▶ Tu clique dessus pour l'afficher, une fois affiché
    ▶ Copie/colle le ici (ctrl+a pour tout sélectionner, ctrl+c pour copier, ctrl+v pour coller)

    Si tu as besoin d'aide regarde ce tutoriel :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    ▶ ▶ Si tu n'arrive pas à le mettre à jour, télécharge ce fichier
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Infecté avec Kaspersky Internet Security 2011 ??Je vais suivre ça .

      Salut juju

      Al.
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      salut al,

      qu'est ce qui te fait dire ça? :-)
      0
    3. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Je réfute qu'un PC soit infecté dès lors qu'il est protégé par Kis2011.

      Il doit y avoir d'autres lacunes.
      ==> Cit « J'ai été victime ce matin d'un hack de compte »
      Kaspersky détecte un enregistreur de frappe, détecte keylogger.

      Un keylogger bien conçu:
      - n'apparaîtra pas dans la liste des programmes lancés au démarrage
      - n'apparaîtra pas dans la liste des programmes en cours d'exécution
      - ne créera aucun fichier supplémentaire visible sur le disque dur.
      En d'autres termes, un keylogger bien conçu peut être totalement indétectable (s'il est basé sur le principe des rootkits).
      Lire https://forums.spybot.info/showthread.php?18476-I-am-infected-Cannot-Load-Spy-Bot-S-amp-D pour info.

      On s'est mal compris, je pense.
      Amicalement.
      0
    4. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
       
      afideg, Ca veut dire que si j'ai un keylogger il peut bien être indétectable ? donc c'est ce que je disais que suis dans la me*** ^^ Merci de ton explication
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      re Al,

      Pas de soucis j'avais compris ce que tu voulais dire :-)

      Mais aucune trace de keylogger sur l'ordi (tu peux vérifier l'OTL si tu veux :P)
      0
  9. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
     
    Ok je lancerais le scan demain la je dois partir mais j'ai déjà fais plusieurs scan avec mbam cette semaine et je trouve rien, si j'ai un virus c'est un truc indétectable je pense. Le seul moyen de le trouver serait en regardant les ports ouvert ou les processus donc je sais pas ^^ mais par contre tu peux me dire si tu as trouver des trucs suspects dans tout les scans que j'ai fait stp ?
    Encore merci de ton aide
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      justement j'ai rien vu :P
      0
    2. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
       
      ah ^^ Mais après je sais pas tu peux pas voir les port ouvert par exemple ? En tout cas c'est sur que je me suis fait hacker et pas par phishing tu vois ^^
      Ah oui et j'avais des trucs bizarre aussi récemment ! Des fois mon ordi commençait a lager a mort et la je veux ouvrir le gestionnaire des taches pour voir ce qui lag et ça me mettais un message : " Windows ne parvient pas à accéder au périphérique, au chemin d'accès ou au fichier spécifié. Vous ne disposez peut-être pas des autorisations appropriées pour avoir accès à l'élément."
      Et la je pouvais plus rien ouvrir alors je reboot je me faisait spammer de message d'erreur et après redémarrage plus rien... ça me l'a fait 3-4 fois quand même donc je sais pas
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      aucun port ouvert (voir list'em)

      ça me fait penser à un problème de lecture/écriture sur le disque.
      faudra penser à chckdsk /r
      0
    4. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
       
      C'est vérifier les erreurs système ? deja fait 30 fois ^^
      Sinon une autre chose, je compte formater je pense pour être sur
      Mais j'ai mon disque dur partitionner en 2 parties, et en général je formate que le disque C ou se trouve l'OS. Mais est-ce possible d'avoir des virus dans mon disque D de données ?
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ouais c est possible.

      c est pas vérifier les erreurs système mais les erreurs sur le disque.
      0
  10. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
     
    voila rapport mbam : Malwarebytes' Anti-Malware 1.50.1.1100
    www.malwarebytes.org

    Version de la base de données: 6268

    Windows 6.1.7601 Service Pack 1
    Internet Explorer 8.0.7601.17514

    04/04/2011 19:54:43
    mbam-log-2011-04-04 (19-54-43).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Elément(s) analysé(s): 356821
    Temps écoulé: 36 minute(s), 45 seconde(s)

    Processus mémoire infecté(s): 0
    Module(s) mémoire infecté(s): 0
    Clé(s) du Registre infectée(s): 0
    Valeur(s) du Registre infectée(s): 0
    Elément(s) de données du Registre infecté(s): 0
    Dossier(s) infecté(s): 0
    Fichier(s) infecté(s): 0

    Processus mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Module(s) mémoire infecté(s):
    (Aucun élément nuisible détecté)

    Clé(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre infectée(s):
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre infecté(s):
    (Aucun élément nuisible détecté)

    Dossier(s) infecté(s):
    (Aucun élément nuisible détecté)

    Fichier(s) infecté(s):
    (Aucun élément nuisible détecté)
    il y a rien
    Tu sais si il y a un moyen de savoir si mon disque de donnée est infecter par un ver ?
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    tu es clean de chez clean mais si ça peut te rassurer :P

    ▶ Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.

    Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir

    Vista/Seven : Clic droit sur UsbFix > Exécuter en tant qu'administrateur, l'installation se fera automatiquement
    XP : double clic sur UsbFix

    ▶ Clique sur "Suppression"

    ▶ Laisse travailler l'outil

    ▶ Ton Bureau va disparaitre: c'est normal

    ▶ A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi sauvegardé a la racine du disque dur)

    ▶ Aide en images : Tutoriel "Nettoyage"
    0
    1. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
       
      OK je vais faire ça pour mes clés USB mais enfaite je te parlais de la 2eme partition de mon hdd que je ne formate pas puisqu'il y a toutes mes données dessus ^^
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      oui mais t inquiète usbfix s'en charge :P
      mbam aussi normalement ;)
      0
  12. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
     
    rapport usbfix : ############################## | UsbFix 7.043 | [Suppression]

    Utilisateur: Quentin (Administrateur) # QUENTIN-PC [ASUSTeK Computer Inc. G60VX]
    Mis à jour le 02/04/2011 par TeamXscript
    Lancé à 17:31:09 | 05/04/2011
    Site Web: http://www.teamxscript.org
    Submit your sample: http://www.teamxscript.org/Upload.php
    Contact: TeamXscript.ElDesaparecido@gmail.com

    CPU: Intel(R) Core(TM)2 Duo CPU P7450 @ 2.13GHz
    CPU 2: Intel(R) Core(TM)2 Duo CPU P7450 @ 2.13GHz
    Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-Bit) # Service Pack 1
    Internet Explorer 8.0.7601.17514

    Pare-feu Windows: Désactivé /!\
    RAM -> 4095 Mo
    C:\ (%systemdrive%) -> Disque fixe # 233 Go (171 Go libre(s) - 73%) [OS] # NTFS
    D:\ -> Disque fixe # 218 Go (108 Go libre(s) - 49%) [DATA] # NTFS
    E:\ -> CD-ROM
    F:\ -> Disque amovible # 15 Go (14 Go libre(s) - 95%) [STORE N GO] # FAT32

    ################## | Éléments infectieux |

    Supprimé! C:\$RECYCLE.BIN\S-1-5-21-2858281748-3945677066-3737244386-1000
    Supprimé! D:\$RECYCLE.BIN\S-1-5-21-2858281748-3945677066-3737244386-1000

    ################## | Registre |

    Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\msaccess.exe
    Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\mspub.exe
    Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\outlook.exe
    Supprimé! HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\powerpnt.exe
    Supprimé! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman

    ################## | Mountpoints2 |

    ################## | Listing |

    [05/04/2011 - 17:39:32 | SHD ] C:\$Recycle.Bin
    [22/03/2011 - 09:10:53 | D ] C:\73cdf75ab3e6c2fe5d7f7781
    [22/03/2011 - 21:30:53 | D ] C:\Boot
    [20/11/2010 - 14:40:07 | RASH | 383786] C:\bootmgr
    [29/07/2009 - 08:03:37 | N | 8192] C:\BOOTSECT.BAK
    [04/04/2011 - 19:06:41 | N | 3544] C:\bootsqm.dat
    [05/04/2011 - 17:26:04 | D ] C:\Config.Msi
    [14/07/2009 - 07:08:56 | SHD ] C:\Documents and Settings
    [05/04/2011 - 17:01:09 | ASH | 3220672512] C:\hiberfil.sys
    [20/03/2011 - 23:56:23 | D ] C:\Intel
    [03/04/2011 - 21:40:02 | D ] C:\Kill'em
    [20/03/2011 - 23:18:12 | RHD ] C:\MSOCache
    [21/03/2011 - 00:07:06 | D ] C:\NVIDIA
    [05/04/2011 - 17:01:18 | ASH | 4294234112] C:\pagefile.sys
    [14/07/2009 - 05:20:08 | D ] C:\PerfLogs
    [03/04/2011 - 21:14:45 | N | 0] C:\PhysicalDisk0_MBR.bin
    [22/03/2011 - 19:35:31 | D ] C:\Program Files
    [05/04/2011 - 17:25:54 | D ] C:\Program Files (x86)
    [26/03/2011 - 17:49:42 | HD ] C:\ProgramData
    [20/03/2011 - 22:42:07 | SHD ] C:\Recovery
    [20/03/2011 - 22:49:56 | N | 2074] C:\RHDSetup.log
    [21/03/2011 - 00:04:04 | D ] C:\Sandbox
    [21/03/2011 - 19:00:16 | N | 179] C:\setup.log
    [05/04/2011 - 17:24:36 | SHD ] C:\System Volume Information
    [05/04/2011 - 17:39:32 | D ] C:\UsbFix
    [05/04/2011 - 17:31:10 | A | 2914] C:\UsbFix.txt
    [22/03/2011 - 20:05:44 | D ] C:\Users
    [04/04/2011 - 17:52:47 | D ] C:\Windows
    [05/04/2011 - 17:39:32 | SHD ] D:\$RECYCLE.BIN
    [03/04/2011 - 20:14:18 | D ] D:\Mes Documents
    [25/01/2010 - 02:49:01 | SHD ] D:\System Volume Information
    [30/03/2011 - 19:43:06 | D ] F:\BT3
    [30/03/2011 - 19:43:06 | D ] F:\boot
    [30/03/2011 - 19:43:06 | N | 128] F:\ubnpathl.txt
    [30/03/2011 - 19:45:38 | N | 1028] F:\ubnfilel.txt
    [30/03/2011 - 19:45:42 | N | 15086] F:\ldlinux.sys
    [11/03/2011 - 12:46:58 | N | 5040256] F:\03 Walk.mp3
    [11/03/2011 - 12:46:56 | N | 3786880] F:\01 Mouth For War.mp3
    [01/04/2011 - 08:41:22 | N | 15489097] F:\Cemetery Gates 1.m4a
    [01/04/2011 - 08:40:52 | N | 8891832] F:\Cowboys From Hell 1.m4a

    ################## | Vaccin |

    C:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    D:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    F:\Autorun.inf -> Vaccin créé par UsbFix (TeamXscript)
    0
  13. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Salut,

    juju666 est actuellement en congé.

    As-tu encore des soucis avec ton PC ?

    Al.
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Eh non encore là ! mais pas longtemps ! continue Al', t'as bien fait ! :-)

      A+ merci
      0
  14. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
     
    Salut, ok merci de prendre la relève ^^ eh bien des soucis apparemment d'après les test non mais j'aimerais quand même comprendre pourquoi j'ai été hacker ^^
    donc je pourrais te demander de refaire tout ces test sur mon ordi fixe stp ?
    Je commence par quoi ?
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Re,

      C'est quoi ce second PC ?
      Merde alors ! Moi qui croyais me tourner les pouces ...
      ;)
      Euh ! Que crains-tu sur ce second PC ?

      On va d'abord en terminer avec le premier PC.
      Je passe à l'examen complet du topic; puis je reviens avec les procédures de fin de topic.

      À tout à l'heure.
      Al.
      0
  15. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    (suite et fin premier PC)

    Système d'exploitation : Windows 7 Home Premium (64 bits)
    Internet Explorer : 8.0.7601.17514
    Mozilla Firefox : 4.0 (fr)
    Java
    Kaspersky Internet Security 2011

    A)- Si l'UAC est désactivée, tu peux la réactiver.
    De l'aide ici

    B)- Télécharger DelFixsur le bureau à partir de ce lien

    1- L'exécuter ; une page d'activation de l'outil s'affiche sur le bureau.
    - Enfoncer alors le bouton radio [Suppression].
    2- Au terme de l'étape [Suppression], il faudra : Copier/Coller le contenu du rapport (Il est enregistré en C:\DelFixSuppr.txt) dans la prochaine réponse de la discussion en cours.

    3- Puis, redémarrer le PC.

    4- Ensuite, désinstaller DelFix en enfonçant le bouton radio [Désinstallation]

    Un tutoriel de l'auteur ici

    C)- Télécharger OneClick2RestorePoint
    http://www.multifa7.be/Laddy/OneClick2RP.exe
    Miroirs ci-après, si le précédent n'est pas accessible:
    http://batchdhelus.open-web.fr/Laddy/OneClick2RP.exe
    ou https://app.box.com/s/cqcsz5m0oz

    1°- Double-clic sur OneClick2RP pour ensuite [Exécuter]
    (Note : Sous Vista/Seven , faire un clic-droit et, dans le menu contextuel, choisir [Exécuter en tant qu'administrateur])
    Cliquer sur le bouton "Purger", l'outil de nettoyage de Windows va s'ouvrir. Patienter pendant le scan ... Cette première étape donne ceci: https://imageshack.com/

    2°- Ensuite:
    Sur la fenêtre qui s'affiche à la fin du scan, ouvrir l'onglet "Autres options".
    - Une page s'affiche.
    - Dans la zone "Restauration système" (en bas), cliquer sur le bouton "Nettoyer", puis sur le bouton "Supprimer" > [OK] https://imageshack.com/
    - Cela terminera la mise à blanc du répertoire "Restauration Système" .

    Note</gras></souligne> : Les points de restauration système seront purgés sauf le dernier créé.

    D)- Pour Mettre à jour la console JAVA, c'est ici:
    - Aller sur le site href= http://www.java.com/fr/download/manual.jsp' target='_blank'>Java Sun</a>;
    - cliquer sur VÉRIFIER MAINTENANT et suivre les instructions de téléchargement.
    - Ensuite retourner sur le site JAVA, et cliquer sur [Supprimer les anciennes versions]

    E)- Connaître et éviter les infections :
    - http://assiste.com.free.fr/p/abc/a/zombies_et_botnets.html
    - http://www.libellules.ch/...
    - https://www.malekal.com/projet-antimalware-2/

    Re-Question: ==> Euh ! Que crains-tu sur ce second PC ?

    Merci
    Al.

    Patience-Vigilance-Amour.
    0
  16. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
     
    Salut, Bon j'ai tout fait mais pour l'etape B, avec delfix j'ai fais desinstaller et ca m'a supprimer le .txt ^^ enfin je l'ai lu il y avait rien de special a part un OLD time ? et 2-3 autre truc
    Sinon j'ai fais tout le reste et donc pour répondre a ta question, je crains une infection aussi sur mon 2eme ordi donc je souhaiterai faire verifier comme pour cet ordi la
    Un derniere chose, j'ai installer VirtualBox pour tester des applications peu fiable sans risque je sais pas si tu connais ? Tu sais si c'est efficace ?
    Merci bien encore
    0
  17. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
     
    Bonsoir,
    Je ne pourrai d'aider ce soir; désolé.

    A)- Pour DelFix, c'est normal.
    Il suffisait de respecter la procédure qui stipulait :
    « 2- Au terme de l'étape [Suppression], il faudra : Copier/Coller le contenu du rapport (Il est enregistré en C:\DelFixSuppr.txt) dans la prochaine réponse de la discussion en cours.
    3- Puis, redémarrer le PC.
    4- Ensuite, désinstaller DelFix en enfonçant le bouton radio [Désinstallation]
    + un tutoriel
    »

    B)- Pour l'utilisation d'une machine virtuelle avec VirtualBox, il y a sur CCM des habitués à cette application. Pour les tests, j'ai un second PC avec XP-Pro et Ubuntu. Ouvre un nouveau fil de discussion pour cela (bon courage). ;)

    C)- En attendant, pour le second PC "fantôme", tu pourrais déjà avancer comme ceci:

    1°- Faire une analyse complète avec son antivirus actif ... et poster le rapport.

    2°- Supprimer les outils qu'il contient avec DelFix ... et poster le rapport (avant de le désinstaller).

    3°- Réaliser ce diagnostic comme ceci:

    Télécharger ZHPDiag (de Nicolas Coolman) sur le bureau .
    Dérouler la page et cliquer sur [Télécharger] ([ https://imageshack.com/ le bouton radio inférieur]).
    Une [ https://imageshack.com/ barre jaune apparaît] en haut de page > cliquer sur "Cliquer ici pour afficher plus d'options..." > "Télécharger le ficher ..." > [Enregistrer] (accepter l'alerte éventuelle de l'antivirus) > choisir le Bureau > [Enregistrer] ZHPDiag2.exe > [Exécuter] > [Exécuter] > lancer l'assistant d'installation par [Suivant].
    Ne pas oublier de cocher le bouton ratio en face de "Créer une icône sur le bureau".
    Se laisser guider lors de l'installation, ZHPDiag.exe se lancera automatiquement à la fin.
    ( /!\ L'outil a créé 4 icônes , dont ZHPDiag (pour lancer l'application ultérieurement) et ZHPFix (pour le traitement du rapport) sur le bureau ) .

    /!\Utilisateur de Vista et Seven : Clic-droit sur le logo ZHPDiag2.exe > choisir, dans le menu contextuel qui s'affiche, l'option [Exécuter en tant qu'Administrateur]/!\
    - Cliquer sur le raccourci ZHPDiag du Bureau pour l'ouvrir.

    Cliquer sur l'icône représentant une loupe pour "Lancer le diagnostic".
    NOTES:
    - Enregistrer le rapport sur le Bureau à l'aide de l'icône représentant une "Disquette"
    - Héberger le rapport sur ce site http://pjjoint.malekal.com/ afin de le poster en entier > puis copier/coller le lien fourni dans la prochaine réponse vers le forum en cours.

    Bonne soirée
    À demain.
    Al.
    Patience-Vigilance-Amour.
    0
    1. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Up ?
      0
    2. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
       
      Je suis pas chez moi je fais ca demain ou dans le week end
      merci encore ^^
      0
    3. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Pas de souci
      Merci d'avoir prévenu

      Virtualbox 3.0.4 est sortie.
      https://www.virtualbox.org/wiki/Downloads

      Al.
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Salut AL merci pour ce travail :-)
      Salut iron maiden j espère que tout c est bien déroulé

      A+
      0
    5. afideg Messages postés 10466 Date d'inscription   Statut Contributeur sécurité Dernière intervention   602
       
      Hello juju,
      Tout le plaisir fut pour moi; je n'ai rien eu à faire.
      Les convoyeurs attendent le lâcher de pigeons de Momignies pour demain 10H30 (ciel dégagé, léger vent de S-O).
      Je serai dans mon jardin.
      Le congé s'est-il agréablement passé ?
      Amicalement.
      Al.
      0
  18. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
     
    Salut al et juju ^^ donc j'ai fait les scans sur le 2eme pc voila les rapport :
    rapport antivirus : ca a bugé a la fin ca m'a pas sauvegarder le rapport encore....
    mais ca a trouver 4 virus je te post les virus trouvé qui sont maintenant en quarantaine :

    Le fichier 'C:\Users\Quentin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\25\26d5c5d9-541b3ced'
    contenait un virus ou un programme indésirable 'JAVA/Runner.1458' [virus].
    Action(s) exécutée(s) :
    Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '679bb7ca.qua' !

    Le fichier 'C:\Users\Quentin\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\50\16266cb2-5c1670cb'
    contenait un virus ou un programme indésirable 'TR/Spy.Gen2' [trojan].
    Action(s) exécutée(s) :
    Le fichier a été déplacé dans le répertoire de quarantaine sous le nom '027af80f.qua' !

    Je refais un scan avira la

    rapport delfix : # DelFix v7.6 - Rapport créé le 09/04/2011 à 11:54
    # Mis à jour le 31/03/11 à 16h par Xplode
    # Système d'exploitation : Windows Vista (TM) Home Premium (32 bits) [version 6.0.6002] Service Pack 2
    # Nom d'utilisateur : Quentin - PC-DE-QUENTIN (Administrateur)
    # Exécuté depuis : C:\Users\Quentin\Downloads\DelFix.exe
    # Option [Suppression]

    ~~~~~~ Dossier(s) ~~~~~~

    ~~~~~~ Fichier(s) ~~~~~~

    ~~~~~~ Registre ~~~~~~

    ~~~~~~ Autre ~~~~~~

    -> Prefetch vidé

    ########## EOF - "C:\DelFixSuppr.txt" - [591 octets] ##########

    rapport zhpdiag : https://pjjoint.malekal.com/files.php?id=0a451d012d757
    0
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    salut refais un scan avec antivir stp

    puis

    Télécharge de AD-Remover sur ton Bureau. (Merci à C_XX)

    http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel )
    OU
    https://www.androidworld.fr/ ( Miroir )

    /!\ Ferme toutes applications en cours /!\

    ▶ Double-clique sur l'icône Ad-remover située sur ton Bureau.
    ▶ Sur la page, clique sur le bouton « Nettoyer »
    ▶ Confirme lancement du scan
    ▶ Laisse travailler l'outil.
    ▶ Poste le rapport qui apparaît à la fin.

    (Le rapport est sauvegardé aussi sous C:\Ad-Report-CLEAN[1].txt)

    (CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)

    .::. Contributeur Sécurité .::.
    0
  20. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
     
    Salut ! alors voici le rapport ad remover :
    ======= RAPPORT D'AD-REMOVER 2.0.0.2,G | UNIQUEMENT XP/VISTA/7 =======

    Mis à jour par TeamXscript le 12/04/11
    Contact: AdRemover[DOT]contact[AT]gmail[DOT]com
    Site web: http://www.teamxscript.org

    C:\Program Files\Ad-Remover\main.exe (CLEAN [1]) -> Lancé à 20:44:33 le 12/04/2011, Mode normal

    Microsoft® Windows Vista(TM) Édition Familiale Premium Service Pack 2 (X86)
    Quentin@PC-DE-QUENTIN (Dell Inc. Dell XPS420)

    ============== ACTION(S) ==============

    Dossier supprimé: C:\Users\Quentin\AppData\Roaming\Mozilla\FireFox\Profiles\1yv4fwzo.default\conduit
    Dossier supprimé: C:\Users\Quentin\AppData\LocalLow\Conduit
    Dossier supprimé: C:\Program Files\Conduit

    (!) -- Fichiers temporaires supprimés.

    -- Fichier ouvert: C:\Users\Quentin\AppData\Roaming\Mozilla\FireFox\Profiles\1yv4fwzo.default\Prefs.js --
    Ligne supprimée: user_pref("CT2611275.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_SEARCH_TER...
    Ligne supprimée: user_pref("CT2611275.SearchFromAddressBarUrl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT261...
    Ligne supprimée: user_pref("CT2611275.ct2611275.SearchEngine", "Search||hxxp://search.conduit.com/Results.aspx?q=UCM_...
    Ligne supprimée: user_pref("CommunityToolbar.SearchFromAddressBarSavedUrl", "chrome://browser-region/locale/region.pr...
    Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList", "CT2611275");
    Ligne supprimée: user_pref("CommunityToolbar.ToolbarsList2", "CT2611275");
    Ligne supprimée: user_pref("CommunityToolbar.facebook.settingsLastCheckTime", "Thu Oct 21 2010 14:48:12 GMT+0200");
    Ligne supprimée: user_pref("CommunityToolbar.keywordURLSelectedCTID", "CT2611275");
    -- Fichier Fermé --

    Clé supprimée: HKLM\Software\Classes\Toolbar.CT2611275
    Clé supprimée: HKLM\Software\Conduit
    Clé supprimée: HKCU\Software\AppDataLow\Software\Conduit
    Clé supprimée: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé supprimée: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
    Clé supprimée: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E312764E-7706-43F1-8DAB-FCDD2B1E416D}

    ============== SCAN ADDITIONNEL ==============

    **** Mozilla Firefox Version [3.6.16 (fr)] ****

    HKLM_MozillaPlugins\@checkpoint.com/FFApi (x)
    HKLM_MozillaPlugins\@nvidia.com/3DVision (x)

    -- C:\Users\Quentin\AppData\Roaming\Mozilla\FireFox\Profiles\1yv4fwzo.default --
    Extensions\{DDC359D1-844A-42a7-9AA1-88A850A938A8} (DownThemAll!)
    Prefs.js - browser.download.dir, C:\\Users\\Quentin\\Downloads
    Prefs.js - browser.download.lastDir, E:\\Marie-christine
    Prefs.js - browser.search.defaultenginename, Bing
    Prefs.js - browser.search.defaulturl, hxxp://www.bing.com/search?FORM=WLETDF&PC=WLEM&q=
    Prefs.js - browser.startup.homepage, hxxp://fr.start3.mozilla.com/firefox?client=firefox-a&rls=org.mozilla:fr:official
    Prefs.js - browser.startup.homepage_override.mstone, rv:1.9.2.16
    Prefs.js - keyword.URL, hxxp://www.bing.com/search?FORM=WLETDF&PC=WLEM&q=

    ========================================

    **** Internet Explorer Version [7.0.6002.18005] ****

    HKCU_Main|Default_Page_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&pver=6&ar=msnhome
    HKCU_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKCU_Main|Search bar - hxxp://go.microsoft.com/fwlink/?linkid=54896
    HKCU_Main|Start Page - hxxp://fr.msn.com/
    HKLM_Main|Default_Page_URL - hxxp://go.microsoft.com/fwlink/?LinkId=54896
    HKLM_Main|Default_Search_URL - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Search bar - hxxp://search.msn.com/spbasic.htm
    HKLM_Main|Search Page - hxxp://www.microsoft.com/isapi/redir.dll?prd=ie&ar=iesearch
    HKLM_Main|Start Page - hxxp://fr.msn.com/
    HKLM_ElevationPolicy\6d29d274-9632-4911-be6b-2fe15cbdca47 - C:\Program Files\ZoneAlarm\ZoneAlarmToolbarHelper.exe (x)
    HKLM_Extensions\{CCA281CA-C863-46ef-9331-5C8D4460577F} - "@btrez.dll,-4015" (C:\Program Files\WIDCOMM\Bluetooth Software\bt_cold_icon.ico)

    ========================================

    C:\Program Files\Ad-Remover\Quarantine: 6 Fichier(s)
    C:\Program Files\Ad-Remover\Backup: 16 Fichier(s)

    C:\Ad-Report-CLEAN[1].txt - 12/04/2011 20:44:43 (4231 Octet(s))
    C:\Ad-Report-SCAN[1].txt - 12/04/2011 20:34:13 (4366 Octet(s))

    Fin à: 20:45:26, 12/04/2011

    ============== E.O.F ==============

    le scan avira est en cours sinon mais il y a rien en principe
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ok :-)
      0
    2. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
       
      Tu peux regarder les port ouverts ou les trace de keylogger stp ?
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      pas de ports ouverts et pas de keyloggers no stress :-)))))
      0
    4. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
       
      Tu vois ca ou ^^ j'ai presque rien fait comme scan sur cet ordi
      0
  21. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    sur list'em :

    ¤¤¤¤¤¤¤¤¤¤ Ports ¤¤¤¤¤¤¤¤¤¤

    y'a rien, ça veut dire que tout est fermé !
    0
    1. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
       
      Oui je suis d'accord ^^
      Sauf que la je parle de mon 2eme pc et liste'em on la fait sur le 1er pc uniquement ^^
      relis la discussion tu comprendra
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      arfff ouvre un autre sujet ... je me perds moi ...
      0
    3. iron-maiden Messages postés 48 Date d'inscription   Statut Membre Dernière intervention   5
       
      Ok j'ouvre un nouveau mais c'est toi qui t'occupe de moi alors ^^
      a tte
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      si je le vois !
      0