Je crois être infecté par un Malware/Trojan..

jhihkhah -  
 g3n-h@ckm@n -
Bonjour,

Si vous voulez bien m'aider, je vais vous expliquer mon problème et comment j'ai fait jusqu'à présent pour le résoudre en partie. J'ai vu qu'ici (http://www.commentcamarche.net/forum/affich-23722928-probablement-un-trojan-ou-autre) le membre Valuu avait aidé quelqu'un à résoudre un problème vraiment similaire au mien, mais je ne sais pas si toute la procédure doit être la même.

Mon portable tourne sur Windows 7 Familial et mon navigateur principal est Firefox. Hier, en naviguant, ma fenêtre Firefox s'est fermée, et une fenêtre de type UAC (User Account Control) pour DirectX s'est ouverte. Je me doutais bien que cela avait l'air d'être un malware, donc je n'ai pas donné mon autorisation. Seulement chaque fois que je cliquais sur "Non", ça réapparaissait. J'ai réussi à fermer ma session avec un "Ctrl+Alt+Del", mais en la rouvrant ça foirait bien. J'ai éteint la machine, je l'ai rallumée, et là, je me suis retrouvé avec un fond d'écran noir et une ouverture de fenêtres en cascade (je ne sais plus à propos de quoi). J'ai voulu lancer la restauration du système à partir du menu "Outils système", mais l'option ne s'y trouvait pas contrairement à d'habitude. J'ai donc redémarré en mode sans échec, mais là encore l'outil était masqué. J'ai cherché dans la zone de recherche du menu "Démarrer", j'ai trouvé l'outil et j'ai restauré ma machine à un point antérieur. Après ça, les "Outils système" étaient retourné à la normale.

Seulement maintenant à chaque démarrage, j'ai droit à une fenêtre disant "Catalyst Control Centre: Host application a cessé de fonctionner - Windows recueille d'autres informations sur ce problème. Ceci peut durer plusieurs minutes...". Je ne sais pas si c'est grave, je ne sais même pas vraiment ce que cela signifie. Donc si quelqu'un pouvait m'aider ce serait cool.

Sinon j'aimerais aussi m'assurer que mon ordinateur est sain (niveau sécurité)... Des suggestions? J'aimerais ne prendre aucun risque en entrant des mots de passes, etc.

Merci d'avance! (Valuu si tu lis ce message ;-) ...)

jhihkhah

20 réponses

  1. jhihkhah
     
    Ah oui, j'ai oublié de le préciser, mais j'ai "McAfee Total Protection" comme protection. Et je viens de télécharger et faire tourner "Malwarebytes Anti-Malware" et jusqu'à présent il m'a déjà trouvé une infection...
    0
  2. jhihkhah
     
    Voici le rapport:

    Malwarebytes Anti-Malware 1.60.0.1800
    www.malwarebytes.org

    Version de la base de données: v2012.01.09.07

    Windows 7 x64 NTFS
    Internet Explorer 8.0.7600.16385
    Joachin :: JOACHIN-PC [administrateur]

    9/01/2012 13:48:30
    mbam-log-2012-01-09 (13-48-30).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 381680
    Temps écoulé: 1 heure(s), 25 minute(s), 56 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 1
    C:\Recycle.Bin (Trojan.Spyeyes) -> Mis en quarantaine et supprimé avec succès.

    Fichier(s) détecté(s): 1
    C:\Users\Joachin\AppData\Local\Temp\fVdRkmqimq9lbC.exe.tmp (Rogue.FakeHDD) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  3. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  4. g3n-h@ckm@n
     
    telecharge et enregistre ceci sur ton bureau :

    Pre_Scan

    Avertissement: tous les processus non-vitaux de windows seront coupés --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition du rapport sur le bureau.

    si 'outil est bloqué par l'infection utilise cette version : Version .pif

    ou encore cette version renommée : Winlogon.exe

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan après redemarrage

    ▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

    heberge le rapport sur http://pjjoint.malekal.com et donne le lien obtenu
    0
  5. jhihkhah
     
    Salut, j'ai utilisé ton logiciel, et pendant qu il tournait McAfee m'a détecté un cheval de Troie et me demandait de redémarrer mais j'ai laissé tourner et ca a redémarré tout seul. A propos de McAfee, c'est bizarre mais dans le rapport qui est sorti il est écrit que j'utilise le pare-feu Windows alors qu'il me semble que j'utilise celui de McAfee...
    Et justement à propos du rapport, je vois qu'il y a des infos sur mon Windows, c'est une bonne idée de mettre ce rapport sur un forum public?
    0
  6. g3n-h@ckm@n
     
    c'est quoi les infos qui t'inquietent ?
    0
  7. jhihkhah
     
    Justement je ne suis pas bien sûr si c'est sécuritaire... Si tu me dis que oui, ok, puisque c'est toit qui a créé le logiciel... Qu'est-ce que mon SID?
    0
  8. g3n-h@ckm@n
     
    mdr !!!

    c'est ton identifiant dans le registre chaque personne a un SID propre à son ordi

    si tu veux le mien :

    ~ Utilisateur : g3n-h@ckm@n (Administrateurs) | SID = S-1-5-21-2228307501-2655431350-2180259790-1000
    ~ Ordinateur : G3N-HCKMN-PC
    0
  9. jhihkhah
     
    http://pjjoint.malekal.com/files.php?id=20120111_g6h6b6g9d15
    0
  10. g3n-h@ckm@n
     
    mets windows à jour
    mets internet explorer à jour
    mets firefox à jour

    =====================

    desinstalle java update 22
    desinstalle popcapgames

    =====================

    fais glisser une icone n'importe quel fichier sur Pre_scan , pre_script va apparaitre

    Lance Pre_script , une page vierge va s'ouvrir.

    selectionne tout le texte en gras ci-dessous, puis (clic droit/copier ou ctrl+c) :
    ___________________________________________________
    Kill::

    Registry::
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    "QuickTime Task"=-
    "HP Software Update"=-
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar]
    "Locked"=-
    [-HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA}]

    folder::
    C:\bf4e4fb1775930863900dbb797f5c332
    C:\ProgramData\Microsoft\Windows\Start Menu\Programs\PopCap Games
    C:\Users\Joachin\AppData\Roaming\xpce
    C:\ProgramData\PopCap Games
    C:\Users\Joachin\AppData\Local\PopCap Games
    C:\Program Files (x86)\PopCap Games

    MBR::

    clean::

    Reboot::

    ___________________________________________________

    colle-le ensuite (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

    ¤¤¤¤¤¤¤¤¤¤_g3n-h@ckm@n_Developpement_¤¤¤¤¤¤¤¤¤¤
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    _Pre_Scan_¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
    0
  11. jhihkhah
     
    Les fichiers PopCap Games ça vient peut être du jeu Bejeweld3 installé à partir d'un cd rom? C'est bizarre, mais c'est possible que Pre_scan ait désisntallé le jeu?
    Si oui, il est pourtant inoffensif il me semble...
    0
  12. g3n-h@ckm@n
     
    popcap est un adware qui s'installe avec d autre programmes
    0
  13. jhihkhah
     
    Tu es sûr de ça? Parce que j'avais installé un jeu développé par popcap (acheté en magasin), et après un coup de Pre_scan il a été désinstallé...
    0
  14. jhihkhah
     
    Ok peut-être que c'était MBAM...
    Bon je continue ce que tu m'as dit de faire et je poste le résultat bientôt.
    0
  15. jhihkhah
     
    Je ne peux pas encore faire les MAJ mais je m'en occupe demain! :-)
    Merci encore pour ton aide!
    0
  16. jhihkhah
     
    Excuse-moi pour les quelques jours d'absence mais je n'avais pas accès à internet. J'ai réussi à désinstaller l'update22 mais je ne trouve pas popcapgames dans la liste de mes programmes... Sais-tu pourquoi?
    0