Piratage de web cam
Utilisateur anonyme
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
Depuis plusieurs semaines, des fenêtres apparaissent sur mon ordinateurs avec des messages divers (parfois porno et parfois non), en même temps apparaissent parfois des pages pornographiques. J'ai remarqué qu'en même temps que je recevais ces messages, me souhaitant parfois un bon appetit quand j'étais en train de manger devant mon ordi, que ma web cam était activée sans raison.
Aujourd'hui, j'étais avec une copine quand c'est arrivé a nouveau. Les messages étaient cette fois beaucoup plus précis. Ils disaient que ça faisait un moment qu'il m'observait, qu'il arrivait aussi a m'entendre, et dans un de ses messages il a même cité mon prénom.
J'ai lancé de multiples scan avec mon antivirus (microsoft security essential) ainsi qu'avec spybot sans succès.
Que dois-je faire maintenant ? Aider moi s'il vous plaît, je commence a avoir un peu peur.
Merci
Audrey
Depuis plusieurs semaines, des fenêtres apparaissent sur mon ordinateurs avec des messages divers (parfois porno et parfois non), en même temps apparaissent parfois des pages pornographiques. J'ai remarqué qu'en même temps que je recevais ces messages, me souhaitant parfois un bon appetit quand j'étais en train de manger devant mon ordi, que ma web cam était activée sans raison.
Aujourd'hui, j'étais avec une copine quand c'est arrivé a nouveau. Les messages étaient cette fois beaucoup plus précis. Ils disaient que ça faisait un moment qu'il m'observait, qu'il arrivait aussi a m'entendre, et dans un de ses messages il a même cité mon prénom.
J'ai lancé de multiples scan avec mon antivirus (microsoft security essential) ainsi qu'avec spybot sans succès.
Que dois-je faire maintenant ? Aider moi s'il vous plaît, je commence a avoir un peu peur.
Merci
Audrey
A voir également:
- Piratage de web cam
- Web office - Guide
- Creation de site web - Guide
- Split cam - Télécharger - Messagerie
- Cam sam - Télécharger - Transports & Cartes
- Many cam - Télécharger - TV & Vidéo
12 réponses
On y est presque.
* Télécharge sur le bureau RogueKiller (par Tigzy)
( https://www.luanagames.com/index.fr.html )
** Sous Windows XP, double clic gauche
*** Sous Vista/Seven, clique droit, lancer en tant qu'administrateur
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Un scan se lance, puis tu verra d'indiqué dans la fenêtre
* 1. Scan (écrit en vert)
* 2. Delete (écrit en rouge)
* 3. Hosts RAZ (écrit en rouge)
* 4. Proxy RAZ (écrit en rouge)
* 5. DNS RAZ (écrit en rouge)
* 6. Raccourcis RAZ (écrit en rouge)
* A ce moment tape 2 et valide
Note: s'il te demande de supprimer le proxy, tape 4
* Un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe
Puis sa:
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge et installe UsbFix de l'équipe TeamXscript.
Ici http://www.teamxscript.org/usbfixTelechargement.html
Tutoriel de la TeamXscript si besoin, merci à eux : http://www.teamxscript.org/usbfixScan.html
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
# Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau.
# Choisi Recherche
# Laisse travailler l outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
* Télécharge sur le bureau RogueKiller (par Tigzy)
( https://www.luanagames.com/index.fr.html )
** Sous Windows XP, double clic gauche
*** Sous Vista/Seven, clique droit, lancer en tant qu'administrateur
* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Un scan se lance, puis tu verra d'indiqué dans la fenêtre
* 1. Scan (écrit en vert)
* 2. Delete (écrit en rouge)
* 3. Hosts RAZ (écrit en rouge)
* 4. Proxy RAZ (écrit en rouge)
* 5. DNS RAZ (écrit en rouge)
* 6. Raccourcis RAZ (écrit en rouge)
* A ce moment tape 2 et valide
Note: s'il te demande de supprimer le proxy, tape 4
* Un rapport (RKreport1.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter à essayer plusieurs fois ou a changer son nom en winlogon.exe
Puis sa:
# Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus.
Télécharge et installe UsbFix de l'équipe TeamXscript.
Ici http://www.teamxscript.org/usbfixTelechargement.html
Tutoriel de la TeamXscript si besoin, merci à eux : http://www.teamxscript.org/usbfixScan.html
Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) susceptible d avoir été infectés sans les ouvrir
# Clic droit "Exécuter en tant qu'administrateur" sur le raccourci UsbFix présent sur ton bureau.
# Choisi Recherche
# Laisse travailler l outil.
# Ensuite post le rapport UsbFix.txt qui apparaîtra.
# Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque. (C:\UsbFix.txt)
(CTRL+A Pour tout sélectionner, CTRL+C pour copier et CTRL+V pour coller)
Tu est officielement infecté par un spy-net.
MBAM <-- Clique sur MBAM pour le télécharger
* Télécharge Malwarebytes' Anti-Malware
* Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
* Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
* Lance une analyse complète en cliquant sur "Exécuter un examen complet"
* Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
* L'analyse peut durer un bon moment.....
* Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
* Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
* Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
MBAM <-- Clique sur MBAM pour le télécharger
* Télécharge Malwarebytes' Anti-Malware
* Tu auras un tutoriel à ta disposition pour l'installer et l'utiliser correctement.
* Fais la mise à jour du logiciel (elle se fait normalement à l'installation)
* Lance une analyse complète en cliquant sur "Exécuter un examen complet"
* Sélectionne les disques que tu veux analyser et clique sur "Lancer l'examen"
* L'analyse peut durer un bon moment.....
* Une fois l'analyse terminée, clique sur "OK" puis sur "Afficher les résultats"
* Vérifie que tout est bien coché et clique sur "Supprimer la sélection" => et ensuite sur "OK"
* Il se pourrait que certains fichiers devront être supprimés au redémarrage du PC... Fais le en cliquant sur "oui" à la question posée
* Un rapport va s'ouvrir dans le bloc note... Fais un copié/collé du rapport dans ta prochaine réponse sur le forum
Bonsoir,
Donc j'ai fais ce que vous m'avez dit et le logiciel a trouvé 10 fichiers infectés.
Voici le rapport :
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Version de la base de données: 6506
Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421
04/05/2011 21:46:33
mbam-log-2011-05-04 (21-46-33).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 357331
Temps écoulé: 1 heure(s), 6 minute(s), 29 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{80Y1Y1VD-73AF-LXK3-8S2A-PUW3X4QTR21S} (Trojan.VirTool) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{80Y1Y1VD-73AF-LXK3-8S2A-PUW3X4QTR21S} (Trojan.VirTool) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (http://www.helpmeopen.com/?n=app&ext=%s) Good: (http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\Audrey\AppData\Roaming\microsoft\Windows\templates\aclui.dll (Trojan.FakeMS) -> Quarantined and deleted successfully.
d:\documents\aclui.dll (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\Windows\Windows\svchost.exe (Trojan.VirTool) -> Quarantined and deleted successfully.
c:\Windows\System32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\SysWOW64\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
Dois-je faire autre chose ensuite ?
Merci de votre aide
Donc j'ai fais ce que vous m'avez dit et le logiciel a trouvé 10 fichiers infectés.
Voici le rapport :
Malwarebytes' Anti-Malware 1.50
www.malwarebytes.org
Version de la base de données: 6506
Windows 6.1.7601 Service Pack 1
Internet Explorer 9.0.8112.16421
04/05/2011 21:46:33
mbam-log-2011-05-04 (21-46-33).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 357331
Temps écoulé: 1 heure(s), 6 minute(s), 29 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 3
Valeur(s) du Registre infectée(s): 1
Elément(s) de données du Registre infecté(s): 1
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 5
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{A078F691-9C07-4AF2-BF43-35E79EECF8B7} (Adware.Softomate) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{80Y1Y1VD-73AF-LXK3-8S2A-PUW3X4QTR21S} (Trojan.VirTool) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{80Y1Y1VD-73AF-LXK3-8S2A-PUW3X4QTR21S} (Trojan.VirTool) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\bak_Application (Hijacker.Application) -> Value: bak_Application -> Quarantined and deleted successfully.
Elément(s) de données du Registre infecté(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Associations\Application (Hijacker.Application) -> Bad: (http://www.helpmeopen.com/?n=app&ext=%s) Good: (http://shell.windows.com/fileassoc/%04x/xml/redir.asp?Ext=%s) -> Quarantined and deleted successfully.
Dossier(s) infecté(s):
(Aucun élément nuisible détecté)
Fichier(s) infecté(s):
c:\Users\Audrey\AppData\Roaming\microsoft\Windows\templates\aclui.dll (Trojan.FakeMS) -> Quarantined and deleted successfully.
d:\documents\aclui.dll (Trojan.FakeMS) -> Quarantined and deleted successfully.
c:\Windows\Windows\svchost.exe (Trojan.VirTool) -> Quarantined and deleted successfully.
c:\Windows\System32\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
c:\Windows\SysWOW64\h@tkeysh@@k.dll (Trojan.Agent) -> Quarantined and deleted successfully.
Dois-je faire autre chose ensuite ?
Merci de votre aide
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Bonjour,
J'ai donc fais ce que vous m'avez dit
Voici le rapport de RogueKiller :
RogueKiller V4.3.12 [30/04/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Audrey [Droits d'admin]
Mode: Suppression -- Date : 05/05/2011 21:02:40
Processus malicieux: 2
[APPDT/TMP/DESKTOP] cacaoweb.exe -- c:\users\audrey\appdata\roaming\cacaoweb\cacaoweb.exe -> KILLED
[APPDATA/TEMP/DESKTOP] gcswf32.dll -- C:\Users\Audrey\AppData\Local\Google\Chrome\APPLIC~1\110696~1.60\gcswf32.dll -> KILLED
Entrees de registre: 4
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : OEjstrwhahMZYorumLaTElnIkpDNivjVwTStbseiJjuoHEavVN (C:\Users\Audrey\AppData\Roaming\Microsoft\Windows\Templates\ClientJava.exe) -> DELETED
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : cacaoweb ("C:\Users\Audrey\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
Fichier HOSTS:
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
Termine : << RKreport[1].txt >>
RKreport[1].txt
Et le rapport de UsbFix :
############################## | UsbFix 7.044 | [Recherche]
Utilisateur: Audrey (Administrateur) # ASUS-K52 [ASUSTeK Computer Inc. K52Jc]
Mis à jour le 25/04/2011 par TeamXscript
Lancé à 21:07:45 | 05/05/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Intel(R) Core(TM) i3 CPU M 350 @ 2.27GHz
CPU 2: Intel(R) Core(TM) i3 CPU M 350 @ 2.27GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-Bit) # Service Pack 1
Internet Explorer 9.0.8112.16421
Pare-feu Windows: Activé
RAM -> 3878 Mo
A:\ -> Disque amovible # 1 Mo (0 Mo libre(s) - 4%) [] # FAT
C:\ (%systemdrive%) -> Disque fixe # 116 Go (42 Go libre(s) - 36%) [OS] # NTFS
D:\ -> Disque fixe # 333 Go (31 Go libre(s) - 9%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
H:\ -> Disque amovible # 974 Mo (958 Mo libre(s) - 98%) [ABMI KEY] # FAT32
################## | Éléments infectieux |
Présent! A:\sys
Présent! C:\windows.bat
Présent! E:\autorun.inf
Présent! E:\autorun.exe
Présent! H:\FDSFDS
################## | Registre |
Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|google update
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{14ff66c3-3125-11e0-8be6-bb8562dd62f6}
Shell\AutoRun\Command = G:\AutoRun.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{14ff66d3-3125-11e0-8be6-bb8562dd62f6}
Shell\AutoRun\Command = G:\AutoRun.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{6eaeab6d-67c4-11df-8331-806e6f6e6963}
Shell\AutoRun\Command = E:\AutoRun.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{aa4f8cfc-c3d3-11df-91de-485b398127c6}
Shell\AutoRun\Command = F:\Autorun.exe
################## | Vaccin |
E:\Autorun.inf -> Vaccin créé par Panda USB Vaccine
################## | E.O.F |
La situation s'améliore-t-elle ?
Merci énormément pour votre aide
J'ai donc fais ce que vous m'avez dit
Voici le rapport de RogueKiller :
RogueKiller V4.3.12 [30/04/2011] par Tigzy
contact sur https://www.luanagames.com/index.fr.html
mail: tigzyRK<at>gmail<dot>com
Remontees: https://www.luanagames.com/index.fr.html
Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: Audrey [Droits d'admin]
Mode: Suppression -- Date : 05/05/2011 21:02:40
Processus malicieux: 2
[APPDT/TMP/DESKTOP] cacaoweb.exe -- c:\users\audrey\appdata\roaming\cacaoweb\cacaoweb.exe -> KILLED
[APPDATA/TEMP/DESKTOP] gcswf32.dll -- C:\Users\Audrey\AppData\Local\Google\Chrome\APPLIC~1\110696~1.60\gcswf32.dll -> KILLED
Entrees de registre: 4
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : OEjstrwhahMZYorumLaTElnIkpDNivjVwTStbseiJjuoHEavVN (C:\Users\Audrey\AppData\Roaming\Microsoft\Windows\Templates\ClientJava.exe) -> DELETED
[APPDT/TMP/DESKTOP] HKCU\[...]\Run : cacaoweb ("C:\Users\Audrey\AppData\Roaming\cacaoweb\cacaoweb.exe" -noplayer) -> DELETED
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> REPLACED (2)
[HJ] HKLM\[...]\System : EnableLUA (0) -> REPLACED (1)
Fichier HOSTS:
127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 1000gratisproben.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]
Termine : << RKreport[1].txt >>
RKreport[1].txt
Et le rapport de UsbFix :
############################## | UsbFix 7.044 | [Recherche]
Utilisateur: Audrey (Administrateur) # ASUS-K52 [ASUSTeK Computer Inc. K52Jc]
Mis à jour le 25/04/2011 par TeamXscript
Lancé à 21:07:45 | 05/05/2011
Site Web: http://www.teamxscript.org
Submit your sample: http://www.teamxscript.org/Upload.php
Contact: TeamXscript.ElDesaparecido@gmail.com
CPU: Intel(R) Core(TM) i3 CPU M 350 @ 2.27GHz
CPU 2: Intel(R) Core(TM) i3 CPU M 350 @ 2.27GHz
Microsoft Windows 7 Édition Familiale Premium (6.1.7601 64-Bit) # Service Pack 1
Internet Explorer 9.0.8112.16421
Pare-feu Windows: Activé
RAM -> 3878 Mo
A:\ -> Disque amovible # 1 Mo (0 Mo libre(s) - 4%) [] # FAT
C:\ (%systemdrive%) -> Disque fixe # 116 Go (42 Go libre(s) - 36%) [OS] # NTFS
D:\ -> Disque fixe # 333 Go (31 Go libre(s) - 9%) [DATA] # NTFS
E:\ -> CD-ROM
F:\ -> CD-ROM
H:\ -> Disque amovible # 974 Mo (958 Mo libre(s) - 98%) [ABMI KEY] # FAT32
################## | Éléments infectieux |
Présent! A:\sys
Présent! C:\windows.bat
Présent! E:\autorun.inf
Présent! E:\autorun.exe
Présent! H:\FDSFDS
################## | Registre |
Présent! HKLM\software\microsoft\windows nt\currentversion\winlogon|Taskman
Présent! HKCU\Software\Microsoft\Windows\CurrentVersion\Run|google update
################## | Mountpoints2 |
HKCU\.\.\.\.\Explorer\MountPoints2\{14ff66c3-3125-11e0-8be6-bb8562dd62f6}
Shell\AutoRun\Command = G:\AutoRun.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{14ff66d3-3125-11e0-8be6-bb8562dd62f6}
Shell\AutoRun\Command = G:\AutoRun.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{6eaeab6d-67c4-11df-8331-806e6f6e6963}
Shell\AutoRun\Command = E:\AutoRun.exe
HKCU\.\.\.\.\Explorer\MountPoints2\{aa4f8cfc-c3d3-11df-91de-485b398127c6}
Shell\AutoRun\Command = F:\Autorun.exe
################## | Vaccin |
E:\Autorun.inf -> Vaccin créé par Panda USB Vaccine
################## | E.O.F |
La situation s'améliore-t-elle ?
Merci énormément pour votre aide
Oui, oui c'est presque fini ;)
Relance roguekiller en 3.
Puis sa:
* Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/
Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/
* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur pjjoint.malekal.com
* Rends toi sur pjjoint.malekal.com
* Clique sur le bouton Parcourir
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
* Clique sur le bouton Envoyer
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/index.php*********) Copie le lien dans ta prochaine réponse.
Relance roguekiller en 3.
Puis sa:
* Télécharge ZHPDiag sur ton bureau :
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
ou :
https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/
* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"
/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/
Si indispo:
http://www.cijoint.fr/
ou :
http://ww38.toofiles.com/fr/documents-upload.html
ou :
https://www.cjoint.com/
ou :
https://www.casimages.com/
* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html
Hébergement de rapport sur pjjoint.malekal.com
* Rends toi sur pjjoint.malekal.com
* Clique sur le bouton Parcourir
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
* Clique sur le bouton Envoyer
* Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/index.php*********) Copie le lien dans ta prochaine réponse.
Bonsoir,
Voici le lien pour le rapport de RogueKiller :
https://pjjoint.malekal.com/files.php?id=d44042d0e01156
Et l'autre rapport :
https://pjjoint.malekal.com/files.php?id=6f944ef3b291114
Je me répète mais encore merci
Voici le lien pour le rapport de RogueKiller :
https://pjjoint.malekal.com/files.php?id=d44042d0e01156
Et l'autre rapport :
https://pjjoint.malekal.com/files.php?id=6f944ef3b291114
Je me répète mais encore merci
Alors lance zhpfix et met ses lignes:
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe (.not file.)
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe (.not file.)
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe (.not file.)
[HKCU\Software\AppDataLow\Software\toolbar]
[HKCU\Software\AppDataLow\Toolbar]
[HKCU\Software\AppDataLow\Software\Conduit]
O43 - CFD: 21/12/2010 - 18:38:14 - [17290] ----D- C:\Users\Audrey\AppData\Roaming\CrazyLoader
O87 - FAEL: {6E908246-4013-428A-889E-351597B3F72B} |In - Public - P6 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.) [Rules 7]
O87 - FAEL: {9CD83E25-CEF5-4FCC-AA17-0DAFD001FB84} |In - Public - P17 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.)
O87 - FAEL: {AC7E00CF-3AB7-45CB-94AB-CC3984986A08} | In - Public - P6 - TRUE | .(.Musiccity Co.Ltd. - MUZAoDApp Module.) -- C:\Windows\SysWOW64\muzapp.exe
O87 - FAEL: {14FBE4FA-8D6A-425C-8BDF-F2DB700043C7} | In - Public - P17 - TRUE | .(.Musiccity Co.Ltd. - MUZAoDApp Module.) -- C:\Windows\SysWOW64\muzapp.exe
O87 - FAEL: {3CCC7470-97A9-4DEA-9971-1041383EEAC8} | In - Private - P6 - TRUE | .(.Musiccity Co.Ltd. - MUZAoDApp Module.) -- C:\Windows\SysWOW64\muzapp.exe
O87 - FAEL: {1ECE1451-8E36-422F-B57C-69DEAE06C843} | In - Private - P17 - TRUE | .(.Musiccity Co.Ltd. - MUZAoDApp Module.) -- C:\Windows\SysWOW64\muzapp.exe
[HKLM\Software\Classes\Toolbar.CT2613520] =>Adware.Hotbar
[HKLM\Software\Wow6432Node\Classes\Toolbar.CT2613520] =>Adware.Hotbar
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO
[HKCU\Software\cacaoweb] =>Adware.Agent
[HKCU\Software\AppDataLow\Software\Conduit] =>Toolbar.Conduit
[HKLM\Software\Conduit] =>Toolbar.Conduit
[HKLM\Software\Wow6432Node\Conduit] =>Toolbar.Conduit
[HKCU\Software\Spointer] =>Adware.SPointer
[HKCU\Software\AppDataLow\Toolbar] =>Toolbar.Conduit
[HKCU\Software\AppDataLow\Software\Toolbar] =>Toolbar.Conduit
C:\Users\Audrey\AppData\Roaming\cacaoweb =>Adware.Agent
C:\Users\Audrey\AppData\Roaming\Crazyloader =>Adware.SPointer
C:\Users\Audrey\Appdata\Local\Conduit =>Toolbar.Conduit
C:\Documents and Settings\Audrey\Local Settings\Application Data\Conduit =>Toolbar.Conduit
C:\Program Files (x86)\Conduit =>Toolbar.Conduit
C:\Program Files (x86)\Common Files\Nosibay =>Adware.SPointer
clique sur tous, puis nettoyer si tu y arrive pas regarde ici:
http://www.premiumorange.com/zeb-help-process/zhpfix.html
Puis sa:
* Télécharge AD-Remover (de la TeamXscript) sur ton Bureau. <--- Clique sur AD-Remover pour le télécharger
* Ou là http://www.teamxscript.org/adremoverTelechargement.html
Déconnecte toi et ferme toutes les applications en cours
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur Nettoyer
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
Puis encore sa:
* Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau
https://support.kaspersky.com/downloads/utils/tdsskiller.exe
* Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit
dessus, et sur exécuter en tant qu'administrateur)
* Clique sur Start Scan
* # Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
* # Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
* # Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
* # Si Suspicious file est indiqué, laisse l'option cochée sur Skip
? A la fin clique sur Reboot Now
? Le PC va redémarrer, et un rapport va s'ouvrir
? Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer
N° de version_Date_Heure_log.txt)
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe (.not file.)
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe (.not file.)
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe (.not file.)
[HKCU\Software\AppDataLow\Software\toolbar]
[HKCU\Software\AppDataLow\Toolbar]
[HKCU\Software\AppDataLow\Software\Conduit]
O43 - CFD: 21/12/2010 - 18:38:14 - [17290] ----D- C:\Users\Audrey\AppData\Roaming\CrazyLoader
O87 - FAEL: {6E908246-4013-428A-889E-351597B3F72B} |In - Public - P6 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.) [Rules 7]
O87 - FAEL: {9CD83E25-CEF5-4FCC-AA17-0DAFD001FB84} |In - Public - P17 - TRUE | .(...) -- C:\Program Files (x86)\CrazyLoader\crazyloader.exe (.not file.)
O87 - FAEL: {AC7E00CF-3AB7-45CB-94AB-CC3984986A08} | In - Public - P6 - TRUE | .(.Musiccity Co.Ltd. - MUZAoDApp Module.) -- C:\Windows\SysWOW64\muzapp.exe
O87 - FAEL: {14FBE4FA-8D6A-425C-8BDF-F2DB700043C7} | In - Public - P17 - TRUE | .(.Musiccity Co.Ltd. - MUZAoDApp Module.) -- C:\Windows\SysWOW64\muzapp.exe
O87 - FAEL: {3CCC7470-97A9-4DEA-9971-1041383EEAC8} | In - Private - P6 - TRUE | .(.Musiccity Co.Ltd. - MUZAoDApp Module.) -- C:\Windows\SysWOW64\muzapp.exe
O87 - FAEL: {1ECE1451-8E36-422F-B57C-69DEAE06C843} | In - Private - P17 - TRUE | .(.Musiccity Co.Ltd. - MUZAoDApp Module.) -- C:\Windows\SysWOW64\muzapp.exe
[HKLM\Software\Classes\Toolbar.CT2613520] =>Adware.Hotbar
[HKLM\Software\Wow6432Node\Classes\Toolbar.CT2613520] =>Adware.Hotbar
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{83ff80f4-8c74-4b80-b5ba-c8ddd434e5c4}] =>Spyware.BHO
[HKCU\Software\cacaoweb] =>Adware.Agent
[HKCU\Software\AppDataLow\Software\Conduit] =>Toolbar.Conduit
[HKLM\Software\Conduit] =>Toolbar.Conduit
[HKLM\Software\Wow6432Node\Conduit] =>Toolbar.Conduit
[HKCU\Software\Spointer] =>Adware.SPointer
[HKCU\Software\AppDataLow\Toolbar] =>Toolbar.Conduit
[HKCU\Software\AppDataLow\Software\Toolbar] =>Toolbar.Conduit
C:\Users\Audrey\AppData\Roaming\cacaoweb =>Adware.Agent
C:\Users\Audrey\AppData\Roaming\Crazyloader =>Adware.SPointer
C:\Users\Audrey\Appdata\Local\Conduit =>Toolbar.Conduit
C:\Documents and Settings\Audrey\Local Settings\Application Data\Conduit =>Toolbar.Conduit
C:\Program Files (x86)\Conduit =>Toolbar.Conduit
C:\Program Files (x86)\Common Files\Nosibay =>Adware.SPointer
clique sur tous, puis nettoyer si tu y arrive pas regarde ici:
http://www.premiumorange.com/zeb-help-process/zhpfix.html
Puis sa:
* Télécharge AD-Remover (de la TeamXscript) sur ton Bureau. <--- Clique sur AD-Remover pour le télécharger
* Ou là http://www.teamxscript.org/adremoverTelechargement.html
Déconnecte toi et ferme toutes les applications en cours
* Double-clique sur l'icône AD-Remover
* Au menu principal, clique sur Nettoyer
* Confirme le lancement de l'analyse et laisse l'outil travailler
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )
Puis encore sa:
* Télécharge TDSS Killer (de Kaspersky Labs) sur ton Bureau
https://support.kaspersky.com/downloads/utils/tdsskiller.exe
* Double-clique sur tdsskiller.exe (sous Vista/Seven, clic droit
dessus, et sur exécuter en tant qu'administrateur)
* Clique sur Start Scan
* # Si TDSS.tdl2 est détecté l'option delete sera cochée par défaut.
* # Si TDSS.tdl3 est détecté assure toi que Cure est bien cochée.
* # Si TDSS.tdl4(\HardDisk0\MBR) est détecté assure toi que Cure est bien cochée.
* # Si Suspicious file est indiqué, laisse l'option cochée sur Skip
? A la fin clique sur Reboot Now
? Le PC va redémarrer, et un rapport va s'ouvrir
? Copie/colle le rapport (il est sauvegardé dans C:\TDSS Killer
N° de version_Date_Heure_log.txt)
Bonjour,
Voici le rapport de AD remover :
https://pjjoint.malekal.com/files.php?id=e0db5de1656811
Par contre TDSS Killer n'a rien trouvé du tout, il ne m'a pas proposé reboot, je n'ai donc pas de rapport
Merci
Voici le rapport de AD remover :
https://pjjoint.malekal.com/files.php?id=e0db5de1656811
Par contre TDSS Killer n'a rien trouvé du tout, il ne m'a pas proposé reboot, je n'ai donc pas de rapport
Merci
Bon c'est bon, fais ceci pour finir:
---> Télécharge DelFix sur ton Bureau.
* Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
* Clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.
2/
---> Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
3/
---> Il est nécessaire de supprimer les points de restauration.
( https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/ )
Bon ba normalement c'est fini.
---> Télécharge DelFix sur ton Bureau.
* Clique droit sur DelFix et choisis Exécuter en tant qu'administrateur.
* Clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.
2/
---> Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
3/
---> Il est nécessaire de supprimer les points de restauration.
( https://www.commentcamarche.net/informatique/windows/147-restaurer-windows-avec-les-points-de-restauration/ )
Bon ba normalement c'est fini.
Bonsoir
Voici le rapport delfix :
https://pjjoint.malekal.com/files.php?id=40ee47af336911
Merci pour tout, c'est vraiment très gentil de votre part de m'avoir aidé
J'espère que le problème est bien résolu
Vous êtes mes sauveurs :)
Voici le rapport delfix :
https://pjjoint.malekal.com/files.php?id=40ee47af336911
Merci pour tout, c'est vraiment très gentil de votre part de m'avoir aidé
J'espère que le problème est bien résolu
Vous êtes mes sauveurs :)
