Mon anti-virus ne détecte pas de fichus virus Résolu

Question

Bonjour à tous !

 Alors voilà, j'ai un virus ( des fenêtres de publicités intempestives pour divers jeux s'ouvrent sans que je ne le demande ) mais mon anti-virus ( Avast dernier du nom ) me signale qu'il n'y a, justement, rien à signaler. Le même diagnostic m'a été donné par Malwarebytes et Spybot.

On m'a parlé d'un logiciel, "Hijack this", mais j'ignore s'il est vraiment fiable. De plus, même s'il l'était, on m'a dit qu'il fallait s'y connaître pour pouvoir comprendre le résultat final !

Je me demandais donc si quelqu'un pouvait se porter garant de ma personne et m'aider jusqu'à ce que ce foutu virus soit parti polluer quelqu'un d'autre !

J'espère que vous me répondrez rapidement et c'est dans cette optique que je vous dis " Merci d'avance ! :D "

Bonne journée à tous :O

naruto-84 · Answer

Ca vient quand tu est sur une page internet ?

kalimusic · Answer

Bonjour et Bienvenue sur CCM 

Nous allons utiliser cet outil de diagnostic afin d'identifier les problèmes de ton ordinateur.  

Télécharge OTL  (de OldTimer) sur ton Bureau. 

 Ferme toutes tes applications en cours 

&#x25CF;  Lance OTL.exe  
- Sous XP double-clic sur l'icône pour lancer l'outil. 
- Sous Vista/Seven  clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel. 
&#x25CF;  L'interface principale s'ouvre : 
&#x25CF;  Dans la section Rapport en haut à droite de la fenêtre, coche Rapport minimal 
&#x25CF;  Laisse tous les autres paramètres par défaut 
&#x25CF;  Dans la partie du bas "Personnalisation", copie/colle la liste en citation : 

netsvcs 
SAVEMBR:0 
/md5start
volsnap.*
explorer.exe
winlogon.exe
Userinit.exe
svchost.exe
/md5stop
%temp%\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.exe /s 
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s 
%APPDATA%\*.
%SYSTEMDRIVE%\*.exe 
%systemroot%\*. /mp /s 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\Tasks\*.job /lockedfiles 
%systemroot%\system32\drivers\*.sys /lockedfiles 
hklm\system\CurrentControlSet\Control\Session Manager\SubSystems /s 
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
CREATERESTOREPOINT 
&#x25CF;  Clique sur le bouton Analyse rapide, patiente pendant le balayage du système.   
&#x25CF;  2 rapports vont s'ouvrir au format bloc-note : 
OTL.txt (qui sera affiché) ainsi que Extras.txt (réduit dans la barre des tâches)  
&#x25CF;  Ne les poste pas sur le forum, ils seraient trop long  
&#x25CF;  Héberge les sur http://www.cijoint.fr/ 
&#x25CF;  Tu obtiendras 2 liens de ce type http://www.cijoint.fr/cjlink.php?file=cj200906/XcijvLjYL5L.txt que tu me donneras dans ton prochain message. 

A +

Trioss · Answer

Ah ! Merci pour ton aide !

Pour te répondre ... " naruto 84 ", non les fenêtres peuvent s'ouvrir même lorsque je n'ai pas lancé Firefox.

Malheureusement Kali_music, j'ai un problème avec le lien " Extras.txt " que je n'arrive plus à mettre dans le programme "Cijoint" ! Je l'ai mit une fois, mais ensuite j'ai cliqué dessus par inadvertance et je suis revenu en arrière. Je n'ai pas eu le temps de noter le lien et je n'arrive étrangement plus à le remettre dans le programme :/

Voilà pour le OTL.Txt par contre ! http://www.cijoint.fr/cjlink.php?file=cj201108/cijGdGW1cE.txt

J'espère qu'il suffira :S

kalimusic · Answer

Bonsoir,

Aucune infection à proprement parlé sur ton pc. 
En installant des logiciels de la société pctuto, tu acceptes de recevoir ces publicités, et tu autorises cette société a vendre les informations collectées à des société tiers. Il faut lire attentivement les conditions d'utilisations quand on installe un programme. Regarde ici : https://forum.malekal.com/viewtopic.php?t=33439&start= 

Commence par désinstaller les deux programmes PCTuto 2.0 (le logiciel et le tutoriel)

Désinstalle également Spybot S&D, logiciel dépassé. 
  
1. Désactive le module Tea Timer  
2. Dé-vaccine  
3. Désinstalle  

A +

Trioss · Answer

Très bien, merci beaucoup je vais donc désinstaller Spy Bot et les autres logiciels demandés. 

Si tu le souhaites, j'ai tout de même réussi à récupérer la transition de " Extras.Txt " ! -> http://www.cijoint.fr/cjlink.php?file=cj201108/cij3xgA4KF.txt 

Merci de ton aide, à bientôt.


Edit : J'ai trouvé les PC Tutos et les ai désinstallés, comme convenu ! Reste à voir si ces pages vont oui ou non cessées de poper ! 

( Je n'ai pas fait l'étape de " Dé-Vaccination " de Spybot avant la désinstallation car je ne savais pas comment m'y prendre. Est-ce grave ? )

kalimusic · Answer

re,

Oui, c'est utile car il y a 3 applications à désinstaller de cette société :

PCTuto Avast 2.0
PCTuto 2.0
UpdatePCTuto 2.0
Victimes de Tuto4pc : faites-vous entendre

Normalement après plus de pubs, tiens moi informé, je te dirai ensuite comment désinstaller OTL proprement.

A +

Trioss · Answer

Bon visiblement plus de pubs ! Super ! C'est étonnant qu'Avast soit d'accord avec ça. Je ne vois vraiment pas l'intérêt.

Par contre, Malware Bytes continue de m'indiquer que des " pages potentiellement dangereuses ont été fermées " sans jamais parvenir à détecter la source si je lui demande d'analyser le PC :/ Il le faisait déjà avant que j'installe Avast !

kalimusic · Answer

La raison est simple, un adware est considéré comme malveillant uniquement si la société n'indique pas pas que son logiciel affichera de la publicité lors de l'utilisation de celui-ci.
C'est toi qui a accepter les conditions d'utilisation en l'occurrence.
Si tu estimes être victime de cette société et que ce procédé te semble abusif, tu peux te faire entendre (voir lien donné plus haut).

1. Lance OTL
- Sous Vista/Seven clic-droit sur l'icône et choisir "Exécuter en tant qu'administrateur" dans le menu contextuel.
&#x25CF; Dans la partie du bas "Personnalisation", copie/colle:

clearallrestorepoints&#x25CF; Clique sur le bouton Correction. 

2. Relance OTL en tant qu'administrateur  
&#x25CF; Clique sur le bouton Purge outils
&#x25CF; Clique ensuite sur OK dans la boite de dialogue qui t'invite à redémarrer le système.

Bonne continuation 

«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

Trioss · Answer

Pourquoi désinstaller OTL après utlisation ? :O

Et aurais tu une solution pour mon problème de Malware Bytes m'indiquant régulièrement qu'un site potentiellement malveillant a été bloqué ? Sinon, ce n'est pas bien grave puisqu'ils les bloquent mais tout de même , c'est étrange.

Merci énormément pour tes précédents conseils.

kalimusic · Answer

Pourquoi désinstaller OTL après utlisation ? :O C'est un outil de diagnostic qui est régulièrement mis à jour par son auteur.
Il faut savoir interpréter ses rapports et rédiger des scripts.

Pour MalwareBytes, tu as la version Pro, je dirai qu'elle fait son travail. Cela ne veut pas nécessairement dire qu'il y a une infection.

C'est toujours la même adresse ? 

A +

Trioss · Answer

Hey ! Excuse moi du retard !

C'est vrai que je n'aurais pas eu plus besoin d'OTL :p

Non, ce n'est pas toujours la même adresse mais certaines reviennent toutefois régulièrement :O

kalimusic · Answer

Bonsoir,

Tu peux me donner un exemple qui revient souvent ?

A +

Trioss · Answer

Bonsoir clixdu84 ! Alors non, j'ai bien regardé mais je n'ai pas de " Offerbox " :/ 

Kalimusic, je vais attendre demain et relever les adresses à chaque fois qu'elles apparaîtront pour te donner des informations précises !

Bonne nuit à vous deux :D

kalimusic · Answer

Trioss,

Ok, au cas où elles seraient néfastes, par précaution change le préfixe afin de désactiver le lien => hxxp://

Laisse tomber l'adware Offerbox n'est pas présent sur ton système, je l'aurais vu ;)

A +

kalimusic · Answer

re,

Le journal se trouve dans ce répertoire :
 C:\ProgramData\Malwarebytes\Malwarebytes 'Anti-Malware\Logs

A+

Trioss · Answer

Hey !

Oui, 34, excuse moi XD

Bon, kalimusic, finalement les liens sont tous assez différents. Enfin ce ne sont pas des liens en soit, ce sont juste des séries de chiffre commençant telles que  83.128.125.124.

Malwarebytes me dit que les genres sont parfois " sortant " ou " entrant ". 

Et d'ailleurs, au moment où j'écris ce message, la même fenêtre vient de s'ouvrir ! Malwarebyte me donne donc le nom du port : 56160. Ainsi que le nom du processus ! "pmb.exe".

kalimusic · Answer

Bonsoir,

Cela provient de l'utilisation de ce logiciel Pando Networks\Media Booster
http://www.pandonetworks.com/pmb-faq_fr

A +

Trioss · Answer

Oh ? Pourtant dans ce que je lis je ne vois pas pourquoi Malwarebytes pourrait trouver une raison pour bloquer l'accès de ce logiciel et de l'appeler " Logicel potentiellement malveillant "  :O

kalimusic · Answer

Peux tu me communiquer le contenu du journal des alertes ?

C:\ProgramData\Malwarebytes\Malwarebytes 'Anti-Malware\Logs 

Utilises tu l'application Media Booster ?

A +

Trioss · Answer

Par contenu du journal des alertes, tu veux dire chaque dossier ? Car il y en a plusieurs ! Des " mbam-log " et des " protection-log ".

Oui, je viens de vérifier pour Media Booster. Il se trouve bien dans mes fichiers, même si je ne l'ai jamais installé de mon plein gré.

kalimusic · Answer

Dans le dossier mbam-log  se trouvent les rapports de scan.
Dans protection-log doit le trouver les rapports concernant les intrusions, le dernier me suffit. 

Media Booster s'installe en général en "partenariat" avec d'autres logiciels. Désinstalle le si tu ne l'utilises pas. 

A +

Trioss · Answer

Hey ! Donc voilà le dernier " Protection-log "  :

00:01:46	Florian	MESSAGE	Protection started successfully
00:01:50	Florian	MESSAGE	IP Protection started successfully
00:21:05	Florian	IP-BLOCK	89.28.82.230 (Type: outgoing, Port: 53915, Process: pmb.exe)
00:31:52	Florian	IP-BLOCK	62.45.148.37 (Type: outgoing, Port: 63070, Process: pmb.exe)
00:33:05	Florian	IP-BLOCK	77.78.218.91 (Type: outgoing, Port: 59019, Process: pmb.exe)
00:35:38	Florian	IP-BLOCK	89.28.3.153 (Type: outgoing, Port: 60100, Process: pmb.exe)
00:36:51	Florian	IP-BLOCK	83.128.125.24 (Type: incoming, Port: 56160, Process: pmb.exe)
00:36:59	Florian	IP-BLOCK	83.128.125.24 (Type: incoming, Port: 56160, Process: pmb.exe)
00:37:07	Florian	IP-BLOCK	83.128.125.24 (Type: incoming, Port: 56160, Process: pmb.exe)
00:39:48	Florian	IP-BLOCK	62.45.251.1 (Type: incoming, Port: 56160, Process: pmb.exe)
00:39:48	Florian	IP-BLOCK	62.45.251.1 (Type: incoming, Port: 56160, Process: pmb.exe)
00:39:57	Florian	IP-BLOCK	62.45.251.1 (Type: incoming, Port: 56160, Process: pmb.exe)
00:40:21	Florian	IP-BLOCK	77.78.250.136 (Type: outgoing, Port: 61635, Process: pmb.exe)
00:42:46	Florian	IP-BLOCK	62.45.148.37 (Type: outgoing, Port: 62799, Process: pmb.exe)
00:44:48	Florian	IP-BLOCK	62.45.148.222 (Type: outgoing, Port: 63991, Process: pmb.exe)
00:47:21	Florian	IP-BLOCK	62.45.130.211 (Type: incoming, Port: 56160, Process: pmb.exe)
00:47:29	Florian	IP-BLOCK	62.45.130.211 (Type: incoming, Port: 56160, Process: pmb.exe)
00:47:37	Florian	IP-BLOCK	62.45.130.211 (Type: incoming, Port: 56160, Process: pmb.exe)
00:52:52	Florian	IP-BLOCK	62.45.148.37 (Type: outgoing, Port: 63424, Process: pmb.exe)
00:53:24	Florian	IP-BLOCK	62.45.148.222 (Type: outgoing, Port: 51017, Process: pmb.exe)
01:01:13	Florian	IP-BLOCK	62.45.148.37 (Type: outgoing, Port: 61250, Process: pmb.exe)
01:05:24	Florian	IP-BLOCK	62.45.148.222 (Type: outgoing, Port: 57172, Process: pmb.exe)
01:11:11	Florian	IP-BLOCK	83.128.74.169 (Type: incoming, Port: 56160, Process: pmb.exe)
01:11:11	Florian	IP-BLOCK	83.128.74.169 (Type: incoming, Port: 56160, Process: pmb.exe)
01:11:19	Florian	IP-BLOCK	83.128.74.169 (Type: incoming, Port: 56160, Process: pmb.exe)
01:11:27	Florian	IP-BLOCK	62.45.251.104 (Type: outgoing, Port: 60155, Process: pmb.exe)
01:11:43	Florian	IP-BLOCK	77.78.250.136 (Type: incoming, Port: 56160, Process: pmb.exe)
01:11:51	Florian	IP-BLOCK	77.78.250.136 (Type: incoming, Port: 56160, Process: pmb.exe)
01:11:59	Florian	IP-BLOCK	77.78.250.136 (Type: incoming, Port: 56160, Process: pmb.exe)
01:16:01	Florian	IP-BLOCK	62.45.89.132 (Type: outgoing, Port: 62606, Process: pmb.exe)
01:16:50	Florian	IP-BLOCK	62.45.148.222 (Type: outgoing, Port: 63070, Process: pmb.exe)
01:18:11	Florian	IP-BLOCK	62.45.251.104 (Type: outgoing, Port: 63683, Process: pmb.exe)
01:18:11	Florian	IP-BLOCK	77.78.219.5 (Type: incoming, Port: 56160, Process: pmb.exe)
01:18:19	Florian	IP-BLOCK	77.78.219.5 (Type: incoming, Port: 56160, Process: pmb.exe)
01:18:27	Florian	IP-BLOCK	77.78.219.5 (Type: incoming, Port: 56160, Process: pmb.exe)
01:19:31	Florian	IP-BLOCK	83.128.74.169 (Type: incoming, Port: 56160, Process: pmb.exe)
01:19:40	Florian	IP-BLOCK	83.128.74.169 (Type: incoming, Port: 56160, Process: pmb.exe)
01:19:48	Florian	IP-BLOCK	83.128.74.169 (Type: incoming, Port: 56160, Process: pmb.exe)
01:22:53	Florian	IP-BLOCK	83.128.74.169 (Type: incoming, Port: 56160, Process: pmb.exe)
01:23:01	Florian	IP-BLOCK	83.128.74.169 (Type: incoming, Port: 56160, Process: pmb.exe)
01:23:01	Florian	IP-BLOCK	83.128.74.169 (Type: incoming, Port: 56160, Process: pmb.exe)
01:25:02	Florian	IP-BLOCK	62.45.89.132 (Type: outgoing, Port: 51367, Process: pmb.exe)
01:32:19	Florian	IP-BLOCK	89.28.79.72 (Type: outgoing, Port: 55371, Process: pmb.exe)
01:35:16	Florian	IP-BLOCK	89.28.79.72 (Type: outgoing, Port: 56836, Process: pmb.exe)
01:40:15	Florian	IP-BLOCK	62.45.150.88 (Type: outgoing, Port: 59373, Process: pmb.exe)
01:43:29	Florian	IP-BLOCK	83.128.94.88 (Type: outgoing, Port: 60599, Process: pmb.exe)
01:52:54	Florian	IP-BLOCK	83.128.94.88 (Type: incoming, Port: 56160, Process: pmb.exe)
01:52:54	Florian	IP-BLOCK	83.128.94.88 (Type: incoming, Port: 56160, Process: pmb.exe)
01:52:54	Florian	IP-BLOCK	62.45.89.132 (Type: outgoing, Port: 50595, Process: pmb.exe)
01:53:03	Florian	IP-BLOCK	83.128.94.88 (Type: incoming, Port: 56160, Process: pmb.exe)
01:54:31	Florian	IP-BLOCK	77.78.219.5 (Type: incoming, Port: 56160, Process: pmb.exe)
01:54:31	Florian	IP-BLOCK	77.78.219.5 (Type: incoming, Port: 56160, Process: pmb.exe)
01:54:39	Florian	IP-BLOCK	77.78.219.5 (Type: incoming, Port: 56160, Process: pmb.exe)
01:57:13	Florian	IP-BLOCK	62.45.89.132 (Type: outgoing, Port: 53280, Process: pmb.exe)
02:02:36	Florian	IP-BLOCK	62.45.244.165 (Type: outgoing, Port: 59054, Process: pmb.exe)
02:03:48	Florian	IP-BLOCK	62.45.244.165 (Type: outgoing, Port: 59106, Process: pmb.exe)
02:05:26	Florian	IP-BLOCK	62.45.244.165 (Type: outgoing, Port: 51249, Process: pmb.exe)
02:10:48	Florian	IP-BLOCK	83.128.94.88 (Type: outgoing, Port: 60176, Process: pmb.exe)
02:11:45	Florian	IP-BLOCK	62.45.148.222 (Type: outgoing, Port: 60818, Process: pmb.exe)
02:14:18	Florian	IP-BLOCK	62.45.148.37 (Type: outgoing, Port: 56417, Process: pmb.exe)
02:14:59	Florian	IP-BLOCK	83.128.94.88 (Type: outgoing, Port: 62912, Process: pmb.exe)
02:14:59	Florian	IP-BLOCK	62.45.148.222 (Type: outgoing, Port: 62913, Process: pmb.exe)
02:15:23	Florian	IP-BLOCK	83.128.94.88 (Type: outgoing, Port: 63213, Process: pmb.exe)
02:15:31	Florian	IP-BLOCK	62.45.89.132 (Type: outgoing, Port: 63365, Process: pmb.exe)
02:18:29	Florian	IP-BLOCK	83.128.74.169 (Type: outgoing, Port: 49285, Process: pmb.exe)
02:24:24	Florian	IP-BLOCK	62.45.89.132 (Type: outgoing, Port: 53139, Process: pmb.exe)
02:27:54	Florian	IP-BLOCK	62.45.89.132 (Type: outgoing, Port: 55443, Process: pmb.exe)
02:33:33	Florian	IP-BLOCK	83.128.74.169 (Type: outgoing, Port: 58747, Process: pmb.exe)
02:34:46	Florian	IP-BLOCK	62.45.150.88 (Type: outgoing, Port: 59418, Process: pmb.exe)
02:35:42	Florian	IP-BLOCK	77.78.234.27 (Type: incoming, Port: 56160, Process: pmb.exe)
02:35:42	Florian	IP-BLOCK	77.78.234.27 (Type: incoming, Port: 56160, Process: pmb.exe)
02:35:51	Florian	IP-BLOCK	77.78.234.27 (Type: incoming, Port: 56160, Process: pmb.exe)
02:36:39	Florian	IP-BLOCK	77.78.218.91 (Type: incoming, Port: 56160, Process: pmb.exe)
02:36:47	Florian	IP-BLOCK	77.78.218.91 (Type: incoming, Port: 56160, Process: pmb.exe)
02:36:55	Florian	IP-BLOCK	77.78.218.91 (Type: incoming, Port: 56160, Process: pmb.exe)
02:37:36	Florian	IP-BLOCK	83.128.74.169 (Type: outgoing, Port: 61238, Process: pmb.exe)
02:40:50	Florian	IP-BLOCK	83.128.74.169 (Type: outgoing, Port: 63187, Process: pmb.exe)
02:47:18	Florian	IP-BLOCK	89.28.82.230 (Type: outgoing, Port: 50375, Process: pmb.exe)
02:47:26	Florian	IP-BLOCK	83.128.94.88 (Type: incoming, Port: 56160, Process: pmb.exe)
02:47:26	Florian	IP-BLOCK	83.128.94.88 (Type: incoming, Port: 56160, Process: pmb.exe)
02:47:34	Florian	IP-BLOCK	83.128.94.88 (Type: incoming, Port: 56160, Process: pmb.exe)
02:48:47	Florian	IP-BLOCK	62.45.250.166 (Type: outgoing, Port: 51435, Process: pmb.exe)
15:21:03	Florian	MESSAGE	Protection started successfully
15:21:07	Florian	MESSAGE	IP Protection started successfully
15:22:18	Florian	MESSAGE	Scheduled update executed successfully
15:23:15	Florian	MESSAGE	IP Protection stopped
15:23:17	Florian	MESSAGE	Database updated successfully
15:23:18	Florian	MESSAGE	IP Protection started successfully

Ça reprend effectivement tous les messages que je reçois en général.

Sinon, pour Media Booster, il semble qu'il peut tout de même m'être utile ! Sa fonction est d'accélérer le potentiel de mon PC lorsque je suis sur internet non ? :O

kalimusic · Answer

Bonjour,

J'ai raison tous les messages de MalwareBytes proviennent du même logiciel ;)

Pando media booster, sauf erreur de ma part, est sensé accélérer le téléchargement des mises à jour en P2P entre gamers.
.
A +

Trioss · Answer

Ah ! Mais alors pourquoi Malwarebytes le désigne comme potentiellement malveillant ? :O

kalimusic · Answer

A vrai dire je ne sais pas. 
Ma supposition est que bien que ce soit une application en apparence sûre, pmb.exe établit beaucoup de connexions entrantes et sortantes. Cela pourrait être détourné à des fins potentiellement malveillantes. 

A + 
«La raison et la logique ne peuvent rien contre l'entêtement et la sottise.»

Trioss · Answer

Je me suis renseigné et j'ai appris que cette application arrivait en même temps que Leagues of Legend, un jeu en ligne que j'ai effectivement installé. Cependant, beaucoup de joueurs signalent que la désinstallation de Pando Media Booster ne change rien. Je pense donc que je vais le désinstaller sans remords :D

Merci énormément pour toute l'aide fournie kalimusic, bonne continuation à toi et peut être à bientôt, qui sait ! ( Enfin j'espère pas trop ... ça signifierait que j'ai encore d'étranges doutes vis à vis de virus cachés :S )

Mon anti-virus ne détecte pas de fichus virus - Page 2

Discussions similaires

Newsletters