Sujet Précédent Sujet Suivant

PC lent + trojans détectés

Résolu/Fermé
girpeh Messages postés 82 Date d'inscription lundi 6 octobre 2008 Statut Membre Dernière intervention 24 octobre 2011 - 24 oct. 2011 à 14:05
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 24 oct. 2011 à 17:05
Salut tout le monde,

On m'a confié un PC (voir config en bas) qui soit disant ne démarrait plus (écran noir). Il s'est avéré qu'en fait il était extrêmement long au démarrage (+ de 10 minutes pour arriver sur le bureau) et effectivement avant l'authentification, puis avant l'affichage du bureau, c'est le noir total avec une diode de HD qui semble bossait mais très lentement.

J'ai commencé par une dégragmentation, puis une mise à jour, et un petit coup de Ccleaner.
Après ce petit nettoyage le PC redémarre un petit peu plus vite (5 minutes pour arriver au Bureau).

J'ai fini par faire un scan (Avast) qui m' a trouvé et mis en quarantaine :
- Win32:MalOb-FE (x3)
- Win32:SwizDrop (x1)

Capture d'écran du rapport

Je m'en remets donc à vous pour savoir ce que je dois entreprendre par la suite.

En vous remerciant par avance ;-)



A voir également:

3 réponses

Réponse 1 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
24 oct. 2011 à 14:15
Salut,

Sur ta capture, les deux premiers fichiers 0.XXX.exe - ce sont des droppers suite à des infections par exploit sur site WEB.
=> https://www.malekal.com/java-exploit-en-augmentation-tdss-hiloti/

Ca signifie que Java est pas à jour et contient des vulnérabilités et à la simple visite d'un site hacké, le PC peux être infecté, là les droppers ont été arretés par Avast!
mais peux-être que d'autres sont passés et que le PC est infecté.


Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.

S'il détecte des choses règles bien comme c'est expliqué sur la page

ETAPE 2 :

Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.

ETAPE 3 :

Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/

* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.


1
girpeh Messages postés 82 Date d'inscription lundi 6 octobre 2008 Statut Membre Dernière intervention 24 octobre 2011
24 oct. 2011 à 14:33
Salut,

Merci déjà pour la prise en main.

Bon le scan avec TDSSKILLER n'a rien donné ;-) (Voir capture).

Actuellement le scan avec MBAM est en train de se faire.

Petite question : Est-ce que le scan avec oldtimer doit être fait dans la foulée ou je dois avant redémarrer le PC comme il est demandé dans le tuto de mbam ?

Merci encore ;-)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
24 oct. 2011 à 14:38
d'abord malwarebyte puis OTL ensuite.
0
Réponse 2 / 3
girpeh Messages postés 82 Date d'inscription lundi 6 octobre 2008 Statut Membre Dernière intervention 24 octobre 2011
24 oct. 2011 à 16:02
Ok, voilà le résultat de MBAM :

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8010

Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421

24/10/2011 15:50:33
mbam-log-2011-10-24 (15-50-33).txt

Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 477886
Temps écoulé: 1 heure(s), 18 minute(s), 47 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 8

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Winsudate (Adware.GibMedia) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
c:\programdata\30954728 (Rogue.Multiple) -> Quarantined and deleted successfully.

Fichier(s) infecté(s):
c:\Users\laury-anne\AppData\Local\Temp\TMP3F0F.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Local\Temp\TMP8A26.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Local\Temp\TMPC6D1.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Local\Temp\TMPE940.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Local\Temp\TMPF5C1.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\jp\AppData\Roaming\Icones\icones_pa.ico (Adware.GibMedia) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Roaming\microsoft\Windows\start menu\Programs\security tool.lnk (Rogue.SecurityTool) -> Quarantined and deleted successfully.


Je redémarre et je lance OTL...
0
girpeh Messages postés 82 Date d'inscription lundi 6 octobre 2008 Statut Membre Dernière intervention 24 octobre 2011
24 oct. 2011 à 16:29
Voilà les rapports d'OTL :

OTL.txt
Extra.txt

Merci ;-))
0
Réponse 3 / 3
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
24 oct. 2011 à 16:38
ça semble correct, qq remarques
A virer :
[2009/08/13 08:55:51 | 000,000,000 | ---D | M] -- C:\Users\jp\AppData\Roaming\Babylon

AVG Antispyware est dépassé.
Un antispyware ne sert à rien maintenant.
Malwarebyte suffit.

c:\Users\laury-anne\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

Possible que ses mots de passe (facebook, mail etc) ont été récupérés.
Faut les changer.


Je pense qu'il faut un peu brieffer la personne, notamment sur le fait qu'il faut maintenir ses logiciels à jour, c'est important.

Fais plus attention à l'avenir....

Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.

Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
- Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Exemple de ce qu'il ne faut pas faire :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus

Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.

0
zipe31 Messages postés 36402 Date d'inscription dimanche 7 novembre 2010 Statut Contributeur Dernière intervention 27 janvier 2021 6 407
24 oct. 2011 à 16:53
Merci pour la synthèse et l'aide.

A virer :
[2009/08/13 08:55:51 | 000,000,000 | ---D | M] -- C:\Users\jp\AppData\Roaming\Babylon
Désinstallation ou le dossier ?

AVG Antispyware est dépassé.
Un antispyware ne sert à rien maintenant.
Malwarebyte suffit.
J'avais installé ça lors d'une désinfection (ici même) il y a déjà un bon bout de termps ;-\


En ce qui concerne le PC, c'est celui de mes petites nièces (15 et 19 ans), qui habitent à la cambrouze (campagne) avec une connexion RTC et un débit plus que moyen ;-(

Je les ai déjà brieffé concernant la sécurité et les mise à jours, mais c'est très difficile de sensibiliser les jeunes (surtout que je ne les vois pas souvent) et de leur faire appliquer tout, surtout avec une connexion foireuse ;-(

J'essaierai quand même de leur faire lire ce post et de leur faire prendre quelques habitudes.

Merci encore et bonne fin de journée.
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
24 oct. 2011 à 16:56
ben garde encore le PC une semaine ou deux...
Tu dis que c'set hyper grave et tout et tout.

Plus de Facebook pendant 2 semaines, pitètre que ça les motivera pour faire plus attention les prochaines fois, pour ne pas être privé de PC pendant 2 semaines :D
0
girpeh Messages postés 82 Date d'inscription lundi 6 octobre 2008 Statut Membre Dernière intervention 24 octobre 2011
24 oct. 2011 à 17:02
Tu veux me faire lyncher ???

En plus c'est les vacances ;-\

Difficile de faire adhérer les gens à ses principes, je ne parle pas que pour l'informatique et pour la sécurité, c'est aussi vrai pour tous les domaines, chacun met des priorités sur certaines choses et beaucoup moins sur d'autres et c'est humain...

Bon courage et merci pour tous ceux que vous aider ;-)
0
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 24 627
24 oct. 2011 à 17:05
ok :)

bon courage aussi :)
(pour les prochaines fois au faudra le nettoyer :p)
0