Probablement un trojan ou autre..

Question

Bonjour, 

Ce matin en surfant sur mon site de jeu en réseau favoris j'ai au la surprise de voir l'ordinateur soudainement planter, rebooter par lui même, une fois sous windows; apres quelques messages d'erreur il renouvelais l'opération( plantage, reboot.. plantage, reboot.. )

pour ce qui est des messages d'erreur :

* Mon antivirus (antivir) m'affichais la présence d'un trojan envoyé directement en quarantaine,

* Catalyst controle center host qui plante,

* Ainsi qu'une quainzaine de fenetres d'erreur windows qui m'indiquaient des messages du genre " Failed tou save all the components for the file System32/00004812 - the file is corrupted or unreadable. This errore may be caused by a pc hardware problem, .. etc .. etc..


Suite à ca, j'ai démarré l'ordi en mode sans echec, fais une restauration de systeme à une date la plus antérieur possible

Il a redémaré sans encombre, et je n'ai plus les messages windows d'erreur ansi que les reboots intempestifs,

par contre j'ai toujours celui du catalyst control center qui plante, je sais que ca correspond à ma carte graphique, mais avant de le réinstaler j'aimerai votre avis sur tout ca,( ma config graphique personnalisé à sauté et j'aimerai la retrouver)

j'ai également constaté que firefox, qui etait mon navigateur principal refusais de fonctionner .. je l'ai donc désinstallé et réinstallé, jusqu'ici tout va bien..

Et pour finir, j'ai un soucis pour acceder a mon disque D: (j'ai le systeme sur C: et diverses données sur D: )

quand je passe par "démarrer", "ordinateur" j'ai accès à C: mais lorsque je veut explorer D: ca m'indique que le dossier est vide, pour vérrifier ça j'ai fais fonctionner des programmes qui etaient situés sur D: et dont j'avais les racourcis dans le menu démarrer et ceux ci fonctionnent parfaitement :s

Je veut également préciser que j'ai fait une mise a jour de mon antivirus ainsi qu'un scan et que celui ci n'a rien détecté .

Et j'ajouterai également à ca que je suis sous windows seven edition familiale prémium 64 bits


Merci d'avance à celui ou celle qui aura la patience de m'aider,

Valuu · Accepted Answer

Yop ;)

Peux-tu me communiquer le rapport MBAM stp ?

Pour les dossiers et fichiers qui sont invisibles, tente ça :
--------------------------------------------------------------------------------------
   * Télécharge RogueKiller sur le bureau
   * Quitter tous les programmes en cours
   * Sous Vista/Seven , clic droit -> lancer en tant qu'administrateur
   * Sinon lancer simplement RogueKiller.exe
   * Lorsque demandé, tape 6 et valider
   * Un rapport à dû s'ouvrir (RKreport.txt se trouve également à côté de l'exécutable), donner son contenu à la personne qui vous aide
   * Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois. Si vraiment cela ne passe pas (ça peut arriver), le renommer en winlogon.exe

kqal · Answer

quel qu'un pour m'aider s'il vous plait? 
au moins pour m'assurer que l'ordinateur est sain.

Valuu · Answer

Yop ;)

T'as réussi à récupérer pas mal déjà.

--------------------------------------------------------------------------------------
Utilise ce logiciel de diagnostic : 

    * Télécharge ZHPDiag (de Nicolas Coolman) 
    * Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
    * Sous Vista/Seven, si ça ne se lance pas --> Clic droit/Exécuter en tant qu'administrateur
    * Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
    * Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
    * Héberge le rapport ZHPDiag.txt sur ce site, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

kqal · Answer

bonjour,

voici le rapport : http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111124_q7r7d15g1311p14i5

et merci pour ton aide

kqal · Answer

je tiens également a préciser qu'hier soir j'ai fait un scan avec Malwarebytes' Anti-Malware qui m'a trouvé des annomalies que j'ai supprimé. 
cela à également déclanché des alertes dans mon antivirus (antivir)concernant des trojans, 

mais je n'ai pas fait ces scans en mode sans echec donc je pense que ca n'a rien nettoyé mais je me trompe peut etre

kqal · Answer

ola,

voici le rapport mbam : http://pjjoint.malekal.com/files.php?id=20111125_14j10h5i118

Roguekiller : je testerai ca ce soir on ce weekend =) 

merci d avance

kqal · Answer

j'en profite egalement pour te donner le rapport antivir : http://pjjoint.malekal.com/files.php?id=20111125_b12e15y8u12t8

kqal · Answer

Bonjour, 

j'ai lancé RogueKiller et voici le rapport qu'il m'a fourni : http://pjjoint.malekal.com/files.php?id=20111128_u11g9v15z15u14

Pour info j'ai à nouveau accès à D: et je t'en remercie grandement.

Pense tu que mon ordinateur est sain à présent?

Valuu · Answer

Yop !
Nan il est pas encore sain :)

Tu avais un rogue (faux logiciel de sécurité) qui masquait tes disques. Si jmais ça t'arrive à nouveau (ça ou une disparition de fichiers/dossiers) pense à ne surtout pas vider tes fichiers temporaires (donc pas de CCleaner et autre).

Il te reste des adwares : des logiciel publicitaires, qui doivent t'afficher de la publicité (quand ils ne sont pas jumelé avec du spyware qui t'espionne).

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau. 
Lance le, clique sur [Recherche] puis patiente le temps du scan. 
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse. 
Note : Le rapport est également sauvegardé sous C:\AdwCleaner[R1].txt

kqal · Answer

Ola!

Merci du conseil =) 

Voici le rapport de AdwCleaner : http://pjjoint.malekal.com/files.php?id=20111128_r8k6u7x7u14

Valuu · Answer

Bien,
Repasse le en mode Suppression puis poste moi le rapport.

Ensuite :
--------------------------------------------------------------------------------------
* Télécharge AD-Remover(de la TeamXscript) sur ton Bureau. 
Déconnecte toi et ferme toutes les applications en cours 
* Double-clique sur l'icône AD-Remover 
* Au menu principal, clique sur Scanner
* Confirme le lancement de l'analyse et laisse l'outil travailler 
* Poste le rapport qui apparait à la fin (il est aussi sauvegardé sous C:\Ad-report-CLEAN.txt )

kqal · Answer

Voici le rapport de adwcleaner : 

http://pjjoint.malekal.com/files.php?id=20111128_m14h9u915w8

Je fais un scan AD-Remover dans la nuit et te tiens le rapport à disposition pour demain.

Merci =)

kqal · Answer

Bonjour, 

Voici le scan AD-Remover : 

http://pjjoint.malekal.com/files.php?id=20111129_q9u9f5u10q5



Bonne lecture ^^

Valuu · Answer

Nickel :)

Refais-moi un ZHPDiag en le mettant à jour via la flèche verte en haut à droite ;)
Puis héberge le aussi.

kqal · Answer

re, 

Voici la suite  : 

http://pjjoint.malekal.com/files.php?id=ZHPDiag_20111129_m14p10q5o8x12

Valuu · Answer

Re,

Les toolbars sont presques toujours inutiles car le moteur de recherche est désormais intégré à tous les navigateurs.
Je te conseille de désinstaller ces deux là via le panneau de configuration :
 - DAEMON Tools Toolbar 
 - Google Toolbar for Internet Explorer 

Ensuite, il reste un trace de Bandoo que tu as peut-être installé pour avoir plus d'émoticônes sur WLMess, mais c'est aussi un logiciel publicitaire qui t'affiche de la pub.
Supprime l'extension qu'il reste sous Chrome :
   - Clique sur l'icône représentant une clé à molette icône clé à molette située dans la barre d'outils du navigateur.
   -  Clique ensuite sur Outils.
   -  Sélectionne Extensions.
   -  Clique sur Désinstaller à côté de l'extension Bandoo 

Le peer2peer est un vecteur d'infections assez grandiose, de plus si c'est pour des choses illégal, sache qu'Hadopi surveille ces réseaux. Je te conseille donc de désinstaller BitComet.

--------------------------------------------------------------------------------------
* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes :

---------------------------------------------------
[MD5.00000000000000000000000000000000] [APT] [Ad-Aware Update (Weekly)] (...) -- C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{1070BB31-AC9B-4FCB-BA0D-8F4CBB69634F}] (...) -- C:\Users\Kqal-\Desktop\logitech_logitech_webcam_1.1_4219.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{1E3042E8-787F-4373-A1B7-AA0CDC2CD7A9}] (...) -- C:\Users\Kqal-\Desktop\qc1180.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{421A51E3-1057-4686-9994-02EC0E475EEA}] (...) -- C:\Users\Kqal-\Desktop\qc1180.exe (.not file.)
[MD5.00000000000000000000000000000000] [APT] [{6C32B59E-4650-4150-BE30-E2B4E620BDA6}] (...) -- C:\Users\Kqal-\Desktop\logitech_logitech_webcam_1.1_4219.exe (.not file.) 
[MD5.00000000000000000000000000000000] [APT] [{CF9A6831-7157-4E5F-AD1D-29CB0C386901}] (...) -- C:\Users\Kqal-\Desktop\logitech_logitech_webcam_1.1_4219.exe (.not file.)  
O43 - CFD: 18/09/2011 - 09:47:46 - [34,213] ----D- C:\Program Files (x86)\iLivid    
---------------------------------------------------

* Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Colle le contenu du rapport dans ta prochaine réponse.

--------------------------------------------------------------------------------------
* Désinstalle toutes les versions de Adobe Reader présentes dans l'ajout/suppression de programme
* Télécharge la nouvelle version ici en prenant soin de décocher la case du téléchargement de McAfee ou d'une barre d'outil google.
* Installe là

--------------------------------------------------------------------------------------
  * Télécharge RegistryTool de Xplode sur ton bureau 
  * Double-clique sur l'icône pour exécuter l'outil (Vista/7 --> clic droit et "exécuter en tant qu'administrateur")
  * Copie la clé ci-dessous en gras

[HKCU\Software\5805b1c2]      

  * Colle-la dans la zone de saisie située au regard de RegExport
  * Puis clique sur Exporter
  * Dans la fenêtre qui s'ouvre, choisis le bureau comme emplacement d'enregistrement
  * A "nom de fichier", indique : ExportReg
  * Clique sur Enregistrer
  * Un message de bonne fin va apparaître "Clé exportée avec succès"
  * La clé ainsi exportée se trouvera sur le bureau
  * Héberge moi la clé sur cjoint et passe moi le lien fourni.

Si tu le souhaites, on peut faire un peu de ménage dans ton ordinateur, afin d'optimiser Internet, ou la vitesse de démarrage, ce genre de chose. Un seul mot de toi et on s'y met (par contre ça nécessitera quelques messages supplémentaires).

Désolé il y en as long, et encore j'ai pas tout mis :D

kqal · Answer

BOnsoir ^^

j'ai désinstalé : 

- DAEMON Tools Toolbar
- Google Toolbar for Internet Explorer  
- BitComet

- Bandoo :  Il n'apparait pas dans  mes éxtensions de chrome :/


Voici ce que donne le rapport ZHPFix : 

http://cjoint.com/?AKDwWCZqOrx 


et voici pour le rapport RegistryTool : 

http://cjoint.com/?AKDwYrFycaU 



Adobe reader est mis à jour, 


Je suis partant pour un peu plus d'aide et te remercie d'avance

Valuu · Answer

Yop :)

Pour bandoo on va le supprimer autrement alors, plus tard :)

Voila ce qu'on peut supprimer :
  - Les BHO D'internet explorer, ce sont des objets qui sont sur internet explorer, généralement cachés et donc tu ne te sers pas. On peut sans problème virer : Partner BHO Class, Windows Lve Sign in ID Server, adobe (en BHO seulement), Assistant de connexion windows Live, BHO de skype.

 - Les programmes qui se lancent au démarrage (tu pourras les lancer manuellement si tu veux t'en servir) :
MyWinlocker
Gestionnaire audio Realtek (si tu configures ton son de manière spéciale)
les programmes Logitech
SuiteTray (my winlocker)
les autres programme Egis Technology (comme mywinlocker, suitetray, egis update,  )
Adobe Reader Speed Launcher
Hotkey Utility (seulement si tu ne te sers pas des touches préconfigurées de ton clavier)
StartCCC (gestionnaire de la carte graphique, si tu n'y as jamais touché, on peut virer)
GRegService (le programme d'enregistrement Acer)
Updater Service (le programme de mise à jour des prduits Acer)
USBS3S4Detection (a ne virer que si tu n'utilises pas de configuration spécial de tes composants matériels)

Dit moi si tu souhaites en conserver certains surtout !

Refais moi un ZHPDiag afin de voir s'il reste des morceaux/dossiers de bitcomet qui trainent par ci par là ;)

kqal · Answer

Salut, 

ok pour la suppression des bho d'iE, a vrais dire je ne me sert quasiment exclusivement que de firefox, alors autant virer ie ..


Pour tout les autres que tu cite je ne vois pas d'inconvénient à les supprimer.

Jusqu'a présent je me servais de catalyste (ati) pour un réglage personnalisé, plus de gamma, mais si je peut régler ça d'une autre manière alors autant le supprimer lui aussi, 


voici le lien pour le rapport zhpdiag : http://cjoint.com/?AKEvf1AMRDg

kqal · Answer

ola, 

j'ai rentré aucun racourci dans ce programme, j'en connais peut etre mal l'utilité, dommage pour IE mais c'est mieux que rien.

Valuu · Answer

--------------------------------------------------------------------------------------
* Lance ZHPFix (si tu es sous Windows Vista ou Windows 7, lance le par un clic-droit dessus --> exécuter en temps qu'administrateur).
* Copie les lignes suivantes comprises dans le document texte ici : http://dl.dropbox.com/u/46887373/ZHPDiag%20.txt
(Sélectionne tout avec les touches Ctrl + A )

* Clique sur l'icône représentant la lettre H (« coller les lignes Helper »)
* Les lignes se collent automatiquement dans ZHPFix.
* Clique sur le bouton « GO » pour lancer le nettoyage,
* Colle le contenu du rapport dans ta prochaine réponse.

kqal · Answer

Bonjour, 

je viens de faire la manip et j'ai pu lire ceci dans des boites de dialogue, 

clé : ++HKEY_LOCAL_MACHINE\software\mozillaplugins\@java.com/javaplugins++


clé : ++HKEY_LOCAL_MACHINE\software\mozillaplugins\@ma-config.com/hardwardetection++

clé : ++HKEY_LOCAL_MACHINE\software\mozillaplugins\@microsoft.com/officeauthz,version=14.0++


suivi de ce message d'erreur : 

"echec à l'obtention des données pour "autoconfigproxy""

à ce moment là zhpfix est planté à environ mi parcours avec le symbole de la souris en fonrme de sablier,

Valuu · Answer

Merde !
Regarde si tu as un fichier "ZHPFix.txt" dans C:\ZHP\
Fourni moi le plus récent en date,celui avec le [R...] le plus grand.

J'ai une boulette, mais il est temps de rattraper :)

kqal · Answer

Salut, 

le voila : 	http://cjoint.com/?ALdqIPTJHcq

Valuu · Answer

Nickel, rien n'a bougé :)

Donc refait la manip du dessus avec ce qu'il y a la dedans : http://dl.dropbox.com/u/46887373/scriptZHP.txt

C'est le bon ce coup ci :)

kqal · Answer

ola, 

j'ai eu un message qui me disais " impossible de positionner le debut du point de restauration"

ensuite quelques autres du genre : 

CLE ++ HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curent version\Explorer\browserHelperObject\{9030d464-e8ad-4283-a596-fa578c2ebdc3}++

puis le scan s'est effectué sans encombres et voici le rapport, 

http://cjoint.com/?ALdrNo5NE9R

Valuu · Answer

Bien,
Est-ce que tu trouves que c'est plus rapide ?

kqal · Answer

oui merci je pense qu'il démarre plus vite, 

enfin jusqu'a présent j'ai eu peu a me plaindre de sa vitesse d'execution,

Valuu · Answer

Okay ^^
Donc pas tellement de changement, mais ça sera ça de gagné pour plus tard au pire ;)

Plus de soucis, on finalise (désinstallation des outils, finition, etc...) ?

kqal · Answer

ok vendu!

kqal · Answer

tu est dans le coin?

j'aimerai savoir ce que je dois faire ensuite, 

merci,

kqal · Answer

tu es la.?

Valuu · Answer

Mince... mon message n'était pas passé apparemment ?
Désolé.

--------------------------------------------------------------------------------------
Télécharge OneClick2RestorePoint de Laddy sur ton Bureau

    * Double clic dessus pour l'exécuter (Sous Vista/Seven, fais un clic droit et choisir Exécuter en tant qu'administrateur)
    * Entre la description suivante :Post-désinfection
    * Clic sur le bouton Créer, puis sur le bouton OK.
    * Clic sur le bouton quitter pour fermer l'application

Purger les points de restauration système:

    * Double clic sur OneClick2RP pour l'exécuter (Clic-droit choisir Exécuter en tant qu'administrateur sous Vista/Seven)
    * Clic sur le bouton "Purger", l'outil de nettoyage de Windows va s'ouvrir
    * Choisis ton disque dur principal en général (C:\) ... Patiente pendant le scan...
    * Rends toi dans l'onglet "Autres options"
    * Dans la zone restauration système, clic sur le bouton nettoyer puis sur le bouton Supprimer.
    * Les points de restauration système seront purgés sauf le dernier créé.

Fais une recherche des erreurs de disque : 
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d'avertissement et redémarrez votre système. 

Défragmente tes disque dur : 
Télécharge Deffragler, et défragmente tes 2 disques.

Pour ta navigation, je te conseille d'utiliser Mozilla Firefox par défaut. Internet Explorer est bien, mais Mozilla est plus rapide et plus sécurisé (et plus personnalisable en plus).
Pour le sécuriser tu peux ajouter les modules complémentaires suivant : 
   - WOT : C'est un module qui te permet de savoir l'indice de confiance du site que tu visites. Il t'affiche un message comme quoi le site est indésirable si c'est le cas.

   - AD-Block Plus : ce module te permet de bloquer l'affichage des publicités, te soulageant ainsi la page web, et d'infecter ta machine en suivant ces pubs...

   - NoScript : ce module bloque les applications fonctionnant par script, empêchant ainsi d'infecter ta machine. Tu peux autoriser les pages que tu visites au fur et à mesure si tu es sur qu'elle sont sans risque (en te fiant à l'icône de WOT par exemple)

   - Tu peux également utiliser d'autres module tels que Personas, AnyWeather, Destroy the Web... qui sont plus pour le look, ou le jeu. Tu as tous les modules disponibles ici

Pour sécuriser ton système :
Il te faut au minimum 1 antivirus, 1 pare-feu, 1 antimalware.

Pour l'antivirus, si tu n'en as pas, Je te conseille Antivir. Un très bon antivirus gratuit, simple d'utilisation.
Télécharge le ici
Mais attention, tu ne dois avoir qu'un seul antivirus sur ton ordinateur !

Pour le pare-feu, tu peux garder celui de Windows en vérifiant bien qu'il est activé, ou tu peux en utiliser un autre : Comodo.
Tutoriel, Découvrir Comodo. C'est un pare-feu assez compliqué à utiliser, si tu ne comprends pas tout demande, ou laisse le pare-feu Windows, ou installe un autre pare-feu.

Mais attention, tu ne dois avoir qu'un seul pare-feu actif sur ton ordinateur, si tu en installes un autre, désactive celui de Windows (par le panneau de configuration/Pare-feu)

Puis comme antimalware, je te conseille d'utiliser MBAM, et le mettant à jour avant chaque analyse.
Lance le régulièrement en scan rapide.

Si tu es sous Windows Vista ou 7, active l'UAC : 
Sous Vista
Sous Seven

Vaccine tes disques durs et supports amovibles avec USBFix :
    * Télécharge UsbFix (créé par El Desaparecido & C_XX) sur ton Bureau. Si ton antivirus affiche une alerte, ignore le et désactive le temporairement.
    * Branche tes sources de données externes à ton PC (clé USB, disque dur externe, etc...) sans les ouvrir
    * Double clique sur le raccourci UsbFix sur ton Bureau
    * Clique sur "Vacciner"

Télécharge DelFix sur ton bureau
* Lance le et appuie sur le bouton Suppression
* Copie/colle le contenu du rapport qui s'ouvrira sur le forum qui vous prend en charge.

Note : Le rapport est sauvegardé sous C:\DelFixSuppr.txt

* Tu peux ensuite relancer DelFix et appuyer sur Désinstaller afin de supprimer toute trace de son utilisation.


Utilise ce programme pour optimiser ton ordinateur :

* Télécharge CCleaner.
* Installe le puis lance le.
* Clique sur Nettoyeur / Analyse / Lancer le nettoyage, puis sur OK dans la fenêtre qui s'affiche.
* Enfin, clique sur Registre / corrige toutes les erreurs et recommence jusqu'à ce que CCleaner ne trouve plus d'erreurs.

kqa · Answer

hey ! ;) 
pas de soucis, 

je m'occupe de ça dans les jours à venir.

Passe de bonnes fêtes.

Probablement un trojan ou autre..

34 réponses

Votre réponse

Discussions similaires

Newsletters