Comment détecter des malwares?Résolu/Fermé

Question

Bonjour, 

Je souhaiterais savoir si mon PC est infecté par des malwares ou non...
Un ami m'a transmis des fichiers par clé USB, et lorsque j'en ai ouvert un, mon antivirus (Avira Antivir) a détecté 3 malwares :

- le troyen Vundo : TR/Vundo.Gen
- le virus Virut : W32/Virut.Gen
- le troyen Crypt : TR/Crypt.ZPACK.Gen

Ce qui est bizarre est que quand je regarde l'historique des évènements, lors des trois premières détections, Avira autorise l'accès aux malwares, puis il y a d'autres évènement avec les mêmes fichiers, mais cette fois-ci avira refuse l'accès.

J'ai tout de suite effacé le dossier contenant les virus, et vidé la corbeille. Puis j'ai relancé avira ainsi que ad aware. Je précise qu'heureusement, je n'avais pas de connexion internet à ce moment là.

Avira ne m'a averti que d'un seul virus :
- JAVA/Agent.KU qui a été mis en quarantaine... (mais je ne pense pas qu'il ait un rapport avec les trois autres,  car il se trouvait dans le dossier SUN, sachant que j'avais fait une mise à jour le matin meme...

Après m'être reconnecté sur internet, j'ai fait quelques recherches sur les virus, et j'ai téléchargé des antivirus spécialisé pour Vundo et Virut. J'ai fait des recherches rapides avec Malwarebyte's antimalware, vundofix, drwebcureit et un programme de kaspersky (je crois que c'était spécialement pour Virut), et ils n'ont rien trouvé. Je compte refaire des analyses totales de mon système ce matin pour m'assurer que les virus sont effectivement parti, mais je voulais avoir l'avis d'un expert pour savoir comment etre sur que tout est bien parti (ou est-ce que mon ordinateur a bien été infecté au départ?)

Merci d'avance!

Configuration: Windows 7

juju666 · Answer

Salut,

Si les utilitaires n'ont rien donné, c'est ok.

Nous allons, quand même, effectuer un diagnostic de ton PC: 

&#9654 Télécharge ZHPDiag 

&#9654 Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et  "Exécuter ZHPDiag" 

&#9654 Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 

&#9654 Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau.

Voici comment procéder

&#9654 Rends toi sur pjjoint.malekal.com 
&#9654 Clique sur le bouton Parcourir 
&#9654 Sélectionne le fichier que tu veux héberger et clique sur Ouvrir 
&#9654 Clique sur le bouton Envoyer 
&#9654 Un message de confirmation s'affiche (L'upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 

&#9654 Copie le lien dans ta prochaine réponse. 

A bientôt.

jp7 · Answer

Merci pour ton aide.

Voici le lien : http://pjjoint.malekal.com/files.php?id=ZHPDiag_h13u13b11t1511n6k7i10u13z8p5j13z5u6u5y15p15u14x5i7

PS : Je n'ai pu lancer que DrWebCureIt, qui n'a détecté que 4 adware dans des installers que j'avais téléchargé il y a longtemps... Je les ais supprimés (je ne me souviens plus du nom des Adwares, mais je peux éventuellement les rechercher si ca t'intéresse).

juju666 · Answer

Hello,

Non, pas nécessaire le nom des adwares.

Mets Firefox à jour, ça comble les failles de sécurité : http://download.cdn.mozilla.net/pub/firefox/releases/7.0.1/win32/fr/Firefox%20Setup%207.0.1.exe

Désinstalle AD-Aware, il est inutile.

On nettoie :
Procédure d'optimisation/d'entretien/de prévention   

&#9654 Télécharge ici : PureRa (par l''editeur de JavaRa) 

&#9654 Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7) 

=> Configuration en vidéo ( merci gen-hackman ) 

&#9654 clique sur "Clean" 

&#9654 L''outil va faire son scan puis son nettoyage 

&#9654 à la fin du rapport tu auras une ligne comme ca : 

Total space cleaned: 8140878 bytes 

&#9654 transmets juste cette ligne , le reste importe peu  

------ 

&#9654 télécharge et installe Ccleaner 

&#9654 double-clique sur le fichier pour lancer l''installation  

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu''administrateur »  

&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé  
&#9654 tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures " 
&#9654 &#9654 cliques sur nettoyeur  
&#9654 cliques sur windows et dans la colonne avancé  
&#9654 coches la première case "vieilles données du perfetch"  
&#9654 cliques sur analyse une fois l''analyse terminé  
&#9654 cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" &#9654 &#9654 cliques maintenant sur registre et puis sur "rechercher les erreurs " 
&#9654 laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"  
&#9654 il te demande de sauvegarder ==> OUI  
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre  
&#9654 cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK  
&#9654 Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs"  
&#9654 tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur  windows, sous avancé, tu décoches la première case "vieilles données du perfetch"  
&#9654 tu peux fermer Ccleaner  

------  

Fais une recherche des erreurs de disque : 
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d''avertissement et redémarrez votre système. 

------ 

Défragmente tes disques dur : 
Télécharge Deffragler, et défragmente tes disques.  

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :  

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme 
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm 

------  

&#9654 Maintiens tes logiciels à jour c'est important, utilise ce programme : https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

&#9654 idem pour les Mises à jour Windows :  

Il est très important de maintenir son OS à jour car ceci comble les failles de sécurité par lesquelles les malwares ("virus") s'introduisent ... 

&#9654 Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/ 


&#9654 Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat. 

----- 

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp   

&#9654 Lors de l'installation de la nouvelle version, pense à décocher la toolbar Ask !!!

&#9654 Désinstaller les anciennes versions de Java :   

&#9654 Télécharge JavaRa.zip   

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)   

&#9654 Double-clique sur le répertoire JavaRa obtenu.   

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s''afficher)   

&#9654 Clique sur Remove Older Versions.   

&#9654 Clique sur Oui pour confirmer. L''outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.   

&#9654 Un rapport va s''ouvrir, copie-colle le dans ta prochaine réponse.   

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )   

&#9654 Tu peux fermer l''application    

&#9654 &#9654 Met à jour les logiciels Adobe :  

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/ 

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr 

----- 

Si tu utilise FireFox, vérifie que tes plug in sont à jour : https://support.mozilla.org/en-US/kb/npapi-plugins 

----- 

&#9654 &#9654 pour supprimer les outils de désinfection : 

&#9654 Télécharge et exécute Delfix sur ton bureau

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message  
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.  

------  

Tu peux garder Malwarebytes pour un scan de temps à autres  

-----  

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter. 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web  
Et celui ci, sur les logiciels gratuits à éviter  

Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Exemple de ce qu'il ne faut pas faire :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus 
------  

&#9654 &#9654 Pense à marquer le fil comme résolu   

------  

Si tu as d'autres questions,
Sur le fonctionnement des malwares
Ou comment tu t'es fait infecté
N'hésites pas.
On se quitte si le rapport DelFix est ok... 

@+

jp7 · Answer

Merci pour tout!

Je te poste ce que tu m'a demandé



Le rapport PureRa :

Je ne trouve plus le rapport et comme entre temps il y a eu plusieurs redémarrage windows dans ta procédure, je ne sais plus l'espace qui a été libéré...

*****************

JavaRa ne m'a donné aucun rapport : un document bloc note s'est ouvert, mais vide. aucun fichier n'a été créé...

*****************

Raport DelFix :

# DelFix v8.6 - Rapport créé le 28/10/2011 à 01:25:14
# Mis à jour le 13/10/11 à 18h par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : Julien - CHRONIX (Administrateur)
# Exécuté depuis : D:\Users\Julien\Installers\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\VundoFix Backups
Supprimé : C:\ZHP
Supprimé : C:\Users\Julien\DoctorWeb
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : D:\Users\Julien\Desktop\ZHPDiag.txt

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\IDAVLab
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Non Supprimée : HKLM\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_DWPROT

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1004 octets] - [28/10/2011 01:25:14]

########## EOF - C:\DelFix[S1].txt - [1128 octets] ##########

juju666 · Answer

Salut !

Pas grave pour PureRa et JavaRa, ça arrive souvent.

Le rapport Delfix est ok, tous les outils ont été supprimés.

Si tu n'as pas de questions. Pour moi le sujet est résolu.

Bon surf et prudence !

jp7 · Answer

D'accord merci pour tout, mais je n'arrive pas à marquer le sujet comme résolu.
Je ne trouve pas le lien qui est censé apparaître sous mon nom...
J'ai déjà "signaler" le message comme étant résolu, en expliquant ce que je viens de te dire...

juju666 · Answer

Pas de soucis, un modérateur est passé et a indiqué le sujet comme résolu :D

Comment détecter des malwares?

7 réponses

Discussions similaires

Newsletters