PC lent + trojans détectés
Résolu
girpeh
Messages postés
84
Statut
Membre
-
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 184347 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Salut tout le monde,
On m'a confié un PC (voir config en bas) qui soit disant ne démarrait plus (écran noir). Il s'est avéré qu'en fait il était extrêmement long au démarrage (+ de 10 minutes pour arriver sur le bureau) et effectivement avant l'authentification, puis avant l'affichage du bureau, c'est le noir total avec une diode de HD qui semble bossait mais très lentement.
J'ai commencé par une dégragmentation, puis une mise à jour, et un petit coup de Ccleaner.
Après ce petit nettoyage le PC redémarre un petit peu plus vite (5 minutes pour arriver au Bureau).
J'ai fini par faire un scan (Avast) qui m' a trouvé et mis en quarantaine :
- Win32:MalOb-FE (x3)
- Win32:SwizDrop (x1)
Capture d'écran du rapport
Je m'en remets donc à vous pour savoir ce que je dois entreprendre par la suite.
En vous remerciant par avance ;-)
On m'a confié un PC (voir config en bas) qui soit disant ne démarrait plus (écran noir). Il s'est avéré qu'en fait il était extrêmement long au démarrage (+ de 10 minutes pour arriver sur le bureau) et effectivement avant l'authentification, puis avant l'affichage du bureau, c'est le noir total avec une diode de HD qui semble bossait mais très lentement.
J'ai commencé par une dégragmentation, puis une mise à jour, et un petit coup de Ccleaner.
Après ce petit nettoyage le PC redémarre un petit peu plus vite (5 minutes pour arriver au Bureau).
J'ai fini par faire un scan (Avast) qui m' a trouvé et mis en quarantaine :
- Win32:MalOb-FE (x3)
- Win32:SwizDrop (x1)
Capture d'écran du rapport
Je m'en remets donc à vous pour savoir ce que je dois entreprendre par la suite.
En vous remerciant par avance ;-)
A voir également:
- PC lent + trojans détectés
- Pc lent - Guide
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Downloader for pc - Télécharger - Téléchargement & Transfert
- Forcer demarrage pc - Guide
3 réponses
Salut,
Sur ta capture, les deux premiers fichiers 0.XXX.exe - ce sont des droppers suite à des infections par exploit sur site WEB.
=> https://www.malekal.com/java-exploit-en-augmentation-tdss-hiloti/
Ca signifie que Java est pas à jour et contient des vulnérabilités et à la simple visite d'un site hacké, le PC peux être infecté, là les droppers ont été arretés par Avast!
mais peux-être que d'autres sont passés et que le PC est infecté.
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
S'il détecte des choses règles bien comme c'est expliqué sur la page
ETAPE 2 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
ETAPE 3 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Sur ta capture, les deux premiers fichiers 0.XXX.exe - ce sont des droppers suite à des infections par exploit sur site WEB.
=> https://www.malekal.com/java-exploit-en-augmentation-tdss-hiloti/
Ca signifie que Java est pas à jour et contient des vulnérabilités et à la simple visite d'un site hacké, le PC peux être infecté, là les droppers ont été arretés par Avast!
mais peux-être que d'autres sont passés et que le PC est infecté.
Passe un coup de TDSSKiller : https://forum.malekal.com/viewtopic.php?t=28637&start=
Lire ce qui est écrit au niveau des suppressions/réparation (delete et cure), ne pas supprimer n'importe quoi.
Poste le rapport ici.
S'il détecte des choses règles bien comme c'est expliqué sur la page
ETAPE 2 :
Télécharge et installe Malwarebyte : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Mets le à jour, fais un scan rapide, supprime tout et poste le rapport ici.
!!! Malwarebyte doit être à jour avant de faire le scan !!!
Supprime bien ce qui est détecté : bouton supprimer sélection.
ETAPE 3 :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/ sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
* Lance OTL
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
consrv.dll
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Ok, voilà le résultat de MBAM :
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 8010
Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421
24/10/2011 15:50:33
mbam-log-2011-10-24 (15-50-33).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 477886
Temps écoulé: 1 heure(s), 18 minute(s), 47 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 8
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Winsudate (Adware.GibMedia) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
c:\programdata\30954728 (Rogue.Multiple) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\Users\laury-anne\AppData\Local\Temp\TMP3F0F.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Local\Temp\TMP8A26.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Local\Temp\TMPC6D1.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Local\Temp\TMPE940.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Local\Temp\TMPF5C1.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\jp\AppData\Roaming\Icones\icones_pa.ico (Adware.GibMedia) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Roaming\microsoft\Windows\start menu\Programs\security tool.lnk (Rogue.SecurityTool) -> Quarantined and deleted successfully.
Je redémarre et je lance OTL...
Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org
Version de la base de données: 8010
Windows 6.0.6002 Service Pack 2
Internet Explorer 9.0.8112.16421
24/10/2011 15:50:33
mbam-log-2011-10-24 (15-50-33).txt
Type d'examen: Examen complet (C:\|D:\|)
Elément(s) analysé(s): 477886
Temps écoulé: 1 heure(s), 18 minute(s), 47 seconde(s)
Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 1
Fichier(s) infecté(s): 8
Processus mémoire infecté(s):
(Aucun élément nuisible détecté)
Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)
Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\Software\Winsudate (Adware.GibMedia) -> Quarantined and deleted successfully.
Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)
Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)
Dossier(s) infecté(s):
c:\programdata\30954728 (Rogue.Multiple) -> Quarantined and deleted successfully.
Fichier(s) infecté(s):
c:\Users\laury-anne\AppData\Local\Temp\TMP3F0F.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Local\Temp\TMP8A26.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Local\Temp\TMPC6D1.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Local\Temp\TMPE940.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Local\Temp\TMPF5C1.tmp (Trojan.Dropper) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
c:\Users\jp\AppData\Roaming\Icones\icones_pa.ico (Adware.GibMedia) -> Quarantined and deleted successfully.
c:\Users\laury-anne\AppData\Roaming\microsoft\Windows\start menu\Programs\security tool.lnk (Rogue.SecurityTool) -> Quarantined and deleted successfully.
Je redémarre et je lance OTL...
ça semble correct, qq remarques
A virer :
[2009/08/13 08:55:51 | 000,000,000 | ---D | M] -- C:\Users\jp\AppData\Roaming\Babylon
AVG Antispyware est dépassé.
Un antispyware ne sert à rien maintenant.
Malwarebyte suffit.
c:\Users\laury-anne\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
Possible que ses mots de passe (facebook, mail etc) ont été récupérés.
Faut les changer.
Je pense qu'il faut un peu brieffer la personne, notamment sur le fait qu'il faut maintenir ses logiciels à jour, c'est important.
Fais plus attention à l'avenir....
Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.
Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.
Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/
Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
- Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese
Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Exemple de ce qu'il ne faut pas faire :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1
Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus
Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.
A virer :
[2009/08/13 08:55:51 | 000,000,000 | ---D | M] -- C:\Users\jp\AppData\Roaming\Babylon
AVG Antispyware est dépassé.
Un antispyware ne sert à rien maintenant.
Malwarebyte suffit.
c:\Users\laury-anne\AppData\Roaming\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.
Possible que ses mots de passe (facebook, mail etc) ont été récupérés.
Faut les changer.
Je pense qu'il faut un peu brieffer la personne, notamment sur le fait qu'il faut maintenir ses logiciels à jour, c'est important.
Fais plus attention à l'avenir....
Maintiens tes logiciels à jour c'est important, utilise ce programme : /faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.
Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter.
Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/
Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html et https://www.commentcamarche.net/faq/8934-securisation-de-son-pc
- Si tu utilises Avast! ou AVG, pense à activer les détections PUPs/LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese
Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Exemple de ce qu'il ne faut pas faire :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1
Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus
Si tu as des questions sur le fonctionement des malwares.
N'hésite pas.
Merci pour la synthèse et l'aide.
A virer :
[2009/08/13 08:55:51 | 000,000,000 | ---D | M] -- C:\Users\jp\AppData\Roaming\Babylon
Désinstallation ou le dossier ?
AVG Antispyware est dépassé.
Un antispyware ne sert à rien maintenant.
Malwarebyte suffit.
J'avais installé ça lors d'une désinfection (ici même) il y a déjà un bon bout de termps ;-\
En ce qui concerne le PC, c'est celui de mes petites nièces (15 et 19 ans), qui habitent à la cambrouze (campagne) avec une connexion RTC et un débit plus que moyen ;-(
Je les ai déjà brieffé concernant la sécurité et les mise à jours, mais c'est très difficile de sensibiliser les jeunes (surtout que je ne les vois pas souvent) et de leur faire appliquer tout, surtout avec une connexion foireuse ;-(
J'essaierai quand même de leur faire lire ce post et de leur faire prendre quelques habitudes.
Merci encore et bonne fin de journée.
A virer :
[2009/08/13 08:55:51 | 000,000,000 | ---D | M] -- C:\Users\jp\AppData\Roaming\Babylon
Désinstallation ou le dossier ?
AVG Antispyware est dépassé.
Un antispyware ne sert à rien maintenant.
Malwarebyte suffit.
J'avais installé ça lors d'une désinfection (ici même) il y a déjà un bon bout de termps ;-\
En ce qui concerne le PC, c'est celui de mes petites nièces (15 et 19 ans), qui habitent à la cambrouze (campagne) avec une connexion RTC et un débit plus que moyen ;-(
Je les ai déjà brieffé concernant la sécurité et les mise à jours, mais c'est très difficile de sensibiliser les jeunes (surtout que je ne les vois pas souvent) et de leur faire appliquer tout, surtout avec une connexion foireuse ;-(
J'essaierai quand même de leur faire lire ce post et de leur faire prendre quelques habitudes.
Merci encore et bonne fin de journée.
Tu veux me faire lyncher ???
En plus c'est les vacances ;-\
Difficile de faire adhérer les gens à ses principes, je ne parle pas que pour l'informatique et pour la sécurité, c'est aussi vrai pour tous les domaines, chacun met des priorités sur certaines choses et beaucoup moins sur d'autres et c'est humain...
Bon courage et merci pour tous ceux que vous aider ;-)
En plus c'est les vacances ;-\
Difficile de faire adhérer les gens à ses principes, je ne parle pas que pour l'informatique et pour la sécurité, c'est aussi vrai pour tous les domaines, chacun met des priorités sur certaines choses et beaucoup moins sur d'autres et c'est humain...
Bon courage et merci pour tous ceux que vous aider ;-)
Merci déjà pour la prise en main.
Bon le scan avec TDSSKILLER n'a rien donné ;-) (Voir capture).
Actuellement le scan avec MBAM est en train de se faire.
Petite question : Est-ce que le scan avec oldtimer doit être fait dans la foulée ou je dois avant redémarrer le PC comme il est demandé dans le tuto de mbam ?
Merci encore ;-)