Suis-je infecté ? Résolu/Fermé

Question

Bonjour, 

je suis désolé de vous déranger, mais depuis quelque temps, mon ordinateur bug tout le temps. Je n'ai presque plus de connexion (je télécharge mes fichiers à 10 ko/s) alors que j'ai pourtant procédé à une réinstallation complète de windows il y a pas longtemps. Alors je me demandais si je serais pas infecté. J'ai pourtant fais des tonnes de scan anti-virus, mais rien.

D'ailleurs, savez-vous si avira est fiable, car j'utilisais avast, puis j'ai changé quand ma license a expiré, et avira a l'air un peu inutile. Quand au pare-feu, j'utilise ZoneAlarm, mais lui, au contraire, il est un peu collant... Hônettement, me demander si je veux laisser firefox accéder à internet, c'est pas que c'est un peu con comme question, mais... Donc savez-vous comment le faire passer en uni-directionnel, puisque, honnêtement, j'appuie sur autoriser à chaque fois, ca me fait juste perdre du temps.


J'ai fait un scan hijacthis :

https://pjjoint.malekal.com/files.php?id=HijackThis_d6q12k15p6q11x5d5w6y10j12h8q9z11d7t14r9t5w6c11e8

Et un scan ZPHdiag : 

https://pjjoint.malekal.com/files.php?id=ZHPDiag_c14i7l8e5m11p8q9v1311m15m1112c10p8r57l6u10b13h14


Avira, qui est en cours de scan, m'a trouvé le virus GEN/pwdZIP, mais je suis pas sûr qu'il trouve tout...



Configuration: Windows 7 / Firefox 7.0

juju666 · Answer

Salut :)

https://forums.commentcamarche.net/forum/affich-21916200-connexion-de-plus-en-plus-etrange

^^

Faudrait que tu lise un peu les CGU quand tu installe un programme gratuit.
Tous les trucs pas nets sur ton ordi viennent de ce genre de programmes.
Ceux-ci installent des adwares ou toolbars pas nettes qui ont la facheuse tendance de t'afficher des pub ou tracer ta navigation ...

Envoie ce fichier sur virustotal.com : C:\Users\Henri D'andria\Prey\platform\windows\cronsvc.exe    
poste le lien de l'analyse ici.

A+

gasasaaa · Answer

Salut juju ! désolé, je suis déjà de retour. En plus j'avais pas touché aux cracks et à tous ca cette fois, je comprends même pas quand c'est arrivé...

Et si c'est prey le virus, je suis vraiment naïf, puisque c'était un logiciel pour retrouver mon ordi en cas de perte par triangulation, donc j'aurais l'air vraiment con que ce soit un virus...

Voilà le résultat, apparement, il a pas trouver de virus : 
http://www.virustotal.com/file-scan/report.html?id=ddc74d477af725f04c10cc56ef4e6cc3e68fe644d64ab2a76fdfabe4dfc14e67-1317412557

juju666 · Answer

Re,

Bah non en fait des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel par éditeurs.
L'éditeur touche de l'argent à chaque installation réussie de ces additionnels tiers (un genre de sponsoring).
Seulement certains éditeurs, abusent, pour gagner plus d'argent, ils redistribuent des logiciels libres développés par des bénévoles en y ajoutant ces logiciels additionnels.
Des pubs trompeuses peuvent aussi être utilisés pour faire installer ces logiciels.

Outre le fait que les procédés sont discutables, l'accumulation de ces programmes additionnels non essentiels concourent à ralentir considérablement l'ordinateur (peux aussi faire planter les navigateurs WEB).
Certains font aussi du tracking anonymes (récupérations des thématiques de sites visités).

Tu as la même chose avec les barres d'outils :
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Lire :
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

~~

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du nettoyage.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

gasasaaa · Answer

Les adwares, ce sont les programmes que tu veux pas qui s'installent quand même, du genre quicktime qui vient avec itunes, google chrome qui vient avec avast, et toutes les barres de recherches du genre babylon ou ask toolbar ?

Parce que générallement, j'y fais attention, mais bon...

Voilà le rapport : 
https://pjjoint.malekal.com/files.php?id=m11e5x8v7b14r13p8i14l15t7p11y14y6c10b6r6o15m7g6u6


Et désolé de te déranger encore une fois, c'est vraiment sympa de ta part de m'aider.

juju666 · Answer

Bah QuickTime c'est pas un adware.

Adware = publiciel = logiciel qui s'installe via un autre et qui t'inonde de pubs.

~~

&#9654  Télécharge AD-Remover sur ton Bureau : (TeamXScript) 

http://www.teamxscript.org/adremoverTelechargement.html ( Lien officiel ) 
OU 
https://www.androidworld.fr/ ( Miroir ) 

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Nettoyer » 
&#9654 Confirme le lancement du scan 
&#9654 Laisse travailler l'outil. 
&#9654 Quand il a fini, un rapport s'ouvrira : ferme le.

&#9830 Pour me transmettre le rapport

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Ad-Report-CLEAN[1].txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

gasasaaa · Answer

Voilà le lien : http://www.cijoint.fr/cjlink.php?file=cj201110/cijMl5o8FO.txt

Mais c'est pas bien comme site, pjjoint comme site d'hébergement ?

juju666 · Answer

sisi mais pjjoint est arrivé après ad-remover et j'ai pas encore modifié mes tutoriels \o/

~~

&#9654 Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
&#9654 Effectue la mise à jour et lance Malwarebytes' Anti-Malware

&#9654 &#9654 Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

&#9654 Clique dans l'onglet du haut "Recherche"
&#9654 Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
&#9654 Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#9654 Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#9654 Clique sur OK puis "Afficher les résultats"
&#9654 Choisis l'option "Supprimer la sélection"
&#9654 Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#9654 Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#9654 Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

gasasaaa · Answer

Le rapport s'est fini, MBAM n'a trouvé aucun virus.
Voilà le rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201110/cijwUvM2Dd.txt

juju666 · Answer

Bien, refais un diagnostic avec ZHPDiag pour contrôler le tout :-)

gasasaaa · Answer

https://pjjoint.malekal.com/files.php?id=ZHPDiag_m6l11l10s15s9q12h7x14z15q14f13n15h6u7f9x6n13o13s11h11

juju666 · Answer

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )    


G1 - GCS: Preference [User Data\Default] http://search.imesh.net/    => Infection PUP (PUP.iMesh)
G2 - GCE: Preference [User Data\Default] [bkomkajifikmkfnjgphkjcfeepbnojok] PriceGong v.5.5.0 (Activé)    => Infection BT (Adware.PriceGong)
[MD5.00000000000000000000000000000000] [APT] [{8B9018CE-758E-4DE6-82CA-11A033D68101}] (...) -- C:\Program Files (x86)\PriceGong\uninst.exe (.not file.)    => Infection BT (Adware.PriceGong)
[HKCU\Software\Nosibay]    => Infection PUP (Adware.SPointer)
O43 - CFD: 11/09/2011 - 08:46:56 - [3957] ----D- C:\ProgramData\3631E    => Infection Rogue (Possible)
O43 - CFD: 11/09/2011 - 13:18:10 - [0] ----D- C:\Users\Henri D'andria\AppData\Roaming\Nosibay    => Infection PUP (Adware.SPointer)
C:\ProgramData\3631E    => Infection Rogue (Possible)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{474597C5-AB09-49d6-A4D5-2E8D7341384E}]    => Infection PUP (PUP.iMesh)
[HKCU\Software\Nosibay]    => Infection PUP (Adware.SPointer)
C:\Users\Henri D'andria\AppData\Roaming\Nosibay    => Infection PUP (Adware.SPointer)
O53 - SMSR:HKLM\...\startupreg\PowerSuite  [Key] . (.Uniblue Systems Limited - Uniblue Launcher.) -- C:\PROGRA~2\Uniblue\POWERS~1\launcher.exe    => 
M2 - MFEP: prefs.js [Henri D'andria - axqzmkz6.default\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}] [] Protection ZoneAlarm Community Toolbar v3.7.0.6 (.Conduit Ltd..)    => Toolbar.Conduit
R3 - URLSearchHook: Protection ZoneAlarm Toolbar [64Bits] - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) (6.3.4.1) -- C:\Program Files (x86)\Protection_ZoneAlarm\prxtbProt.dll
O2 - BHO: Protection ZoneAlarm [64Bits] - {d7f26d0e-9801-45c3-a091-8a65e4ed73b5} . (.Conduit Ltd. - Conduit Toolbar.) -- C:\Program Files (x86)\Protection_ZoneAlarm\prxtbProt.dll
O8 - Extra context menu item: Rechercher sur le Web - (.not file.) - C:\Program Files (x86)\SweetIM\Toolbars\Internet Exploreresources\menuext.html    => SweetIM Toolbar
[HKCU\Software\AppDataLow\Software\Protection_ZoneAlarm]    => Toolbar.Conduit
[HKLM\Software\Protection_ZoneAlarm]    => Toolbar.Conduit
O43 - CFD: 22/09/2011 - 19:22:30 - [4855603] ----D- C:\Program Files (x86)\Protection_ZoneAlarm    => Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]    => Toolbar.Conduit
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]    => Toolbar.Conduit
[HKLM\Software\WOW6432Node\Classes\CLSID\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]    => Toolbar.Conduit
[HKLM\Software\WOW6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d7f26d0e-9801-45c3-a091-8a65e4ed73b5}]    => Toolbar.Conduit
C:\Users\Henri D'andria\AppData\LocalLow\Protection_ZoneAlarm    => Toolbar.Conduit
C:\Program Files (x86)\Protection_ZoneAlarm    => Toolbar.Conduit
O42 - Logiciel: Spybot - Search & Destroy - (.Safer Networking Limited.) [HKLM] -- {B4092C6D-E886-4CB2-BA68-FE5A88D31DE6}_is1    => Safer Networking Limited Spybot - S&D
O43 - CFD: 21/09/2011 - 22:03:48 - [962709] ----D- C:\ProgramData\Spybot - Search & Destroy    => Spybot - Search & Destroy
O43 - CFD: 18/09/2011 - 15:06:00 - [0] ----D- C:\Users\Henri D'andria\AppData\Local\{6E263A76-2776-4B69-AAE0-37F3823E69DD}    => Empty Folder not necessary
O43 - CFD: 18/09/2011 - 15:16:18 - [0] ----D- C:\Users\Henri D'andria\AppData\Local\{9502394E-A3C8-402C-899D-EF4F8FE86727}    => Empty Folder not necessary
O43 - CFD: 18/09/2011 - 15:17:10 - [0] ----D- C:\Users\Henri D'andria\AppData\Local\{E5037FE0-8FF8-4928-94AD-2A114518BDFB}    => Empty Folder not necessary
O43 - CFD: 20/09/2011 - 21:22:52 - [54957432] ----D- C:\Program Files (x86)\Spybot - Search & Destroy    => Spybot - Search & Destroy
O44 - LFC:[MD5.DDE48190EEC4F0B8394C9D9E016B497E] - 01/10/2011 - 11:36:11 ---A- . (...) -- C:\Ad-Report-CLEAN[1].txt   [5241]
O87 - FAEL: "{10A742EE-F822-4F34-A308-389581FE1A3C}" |In - Private - P6 - TRUE | .(...) -- C:\Users\Henri D'andria\Desktop	éléchargements\SweetImSetup.exe (.not file.)    => Fichier absent
O87 - FAEL: "{C7D2CB50-38F2-4AA1-85DE-4B39233FE5B3}" |In - Private - P17 - TRUE | .(...) -- C:\Users\Henri D'andria\Desktop	éléchargements\SweetImSetup.exe (.not file.)    => Fichier absent
EMPTYTEMP
EMPTYFLASH


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .   

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).   

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.   

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.   

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage 

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message   

Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)

gasasaaa · Answer

Voilà le rapport de ZHPfix :

https://pjjoint.malekal.com/files.php?id=c10j14g10s107d159r12x10h11l7o5b9b14s8p11x13z12h7i5

Il se trouvait dans le bureau, mais j'ai l'impression que c'était quand même le bon.

juju666 · Answer

Redémarre le PC.

Toujours des soucis ou c'est mieux? :)

gasasaaa · Answer

Non non, effectivement, ca va beaucoup mieux. 
Je télécharge un fichier à 1.5 Mo/secondes... Ca fait du bien la rapidité :D


Merci, encore une fois juju, heureusement qu'il y a des mecs comme toi pour aider tout le monde. T'a résolu mon problème super rapidement, en 1 jour, pour la deuxième fois.

Vraiment merci !

PS : Tu veux que je reposte dans ton fan-club ? :D

juju666 · Answer

Non pas la peine, par contre fais gaffe, et refais :

- Purge restauration système
- Delfix

gasasaaa · Answer

Purger la restauration système, j'imagine que c'est activer et réactiver la protection, mais, delfix, c'est quoi ?

Suis-je infecté ?

16 réponses

Discussions similaires