Aidez-moi svp, je crois être infecté.

Utilisateur anonyme -  
 Utilisateur anonyme -
Bonjour,

Je vous raconte les faits :
hier soir, j'étais sur on ordinateur portable (sous vista) quand d'un coup des fenêtres s'ouvrent avec des avertissements comme "Enregistrez vos données" ou de choses comme ça je ne me souviens plus. Ensuite avast s'est désactivé, et l'ordi ramait énormément, j'ai du forcé l'arrêt de mon portable. Je le rallume seulement aujourd'hui et constate qu'apparemment rien n'a changé, je dis bien "constate" car je suis directement allé sur ce forum. Mon antivirus n'a rien dectecté, j'aimerai savoir si je suis infecté ou non. Merci de votre aide.

13 réponses

  1. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Deadfou21

    On va vérifier le PC :

    Télécharge OTL (de OldTimer) et enregistre-le sur ton Bureau.
    http://www.geekstogo.com/forum/files/file/398-otl-oldtimers-list-it/

    - Quitte les applications en cours afin de ne pas interrompre le scan.
    - Faire double clique sur OTL.exe présent sur le bureau pour lancer le programme
    Vista/Seven -- Faire un clique droit sur OTL.exe présent sur le bureau et choisir exécuter en tant qu'administrateur pour lancer le programme
    - Une fenêtre apparaît. Dans la section Rapport en haut de cette fenêtre, coche "Rapport standard". Fais de même avec "Tous les utilisateurs" à coté.
    - Coche également les cases à côté de "Recherche LOP" et "Recherche Purity".

    Ne modifie pas les autres paramètres !

    Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

    netsvcs
    msconfig
    safebootminimal
    safebootnetwork
    activex
    drivers32
    %SYSTEMDRIVE%\*.*
    %SYSTEMDRIVE%\*.exe
    %PROGRAMFILES%\*.*
    %PROGRAMFILES%\*.
    /md5start
    consrv.dll
    volsnap.sys
    hidserv.dll
    appmgmts.dll
    eventlog.dll
    winlogon.exe
    scecli.dll
    netlogon.dll
    cngaudit.dll
    sceclt.dll
    ntelogon.dll
    logevent.dll
    iaStor.sys
    nvstor.sys
    atapi.sys
    IdeChnDr.sys
    viasraid.sys
    AGP440.sys
    vaxscsi.sys
    nvatabus.sys
    viamraid.sys
    wininet.dll
    wininit.exe
    nvata.sys
    nvgts.sys
    iastorv.sys
    ViPrt.sys
    eNetHook.dll
    explorer.exe
    svchost.exe
    userinit.exe
    qmgr.dll
    ws2_32.dll
    proquota.exe
    imm32.dll
    kernel32.dll
    ndis.sys
    autochk.exe
    spoolsv.exe
    xmlprov.dll
    ntmssvc.dll
    mswsock.dll
    Beep.SYS
    ntfs.sys
    termsrv.dll
    sfcfiles.dll
    st3shark.sys
    winlogon.exe
    wininit.ini
    /md5stop
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
    SAVEMBR:0
    %systemroot%\*. /mp /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\Tasks\*.job /lockedfiles
    %systemroot%\system32\drivers\*.sys /lockedfiles
    %systemroot%\System32\config\*.sav
    c:\$recycle.bin\*.* /s


    - Clique sur le bouton Analyse.
    - Une fois l'analyse terminée, deux fenêtres vont s'ouvrir dans le Bloc-notes : OTL.txt et Extras.txt. Ils se trouvent au même endroit que OTListIT2 (donc par défaut sur le Bureau).

    Utilise cjoint.com pour poster en lien tes rapports :
    https://www.cjoint.com/

    - Clique sur Parcourir pour aller chercher le rapport OTL.txt sur le bureau
    - Clique sur Ouvrir ensuite sur Créer le lien Cjoint

    - Fais un copier/coller du lien qui est devant Le lien a été créé: dans ta prochaine réponse.

    Après fais de même avec l'autre rapport Extras.txt

    @++ :)
    0
  2. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Deadfou21

    Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
    http://general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/28-adwcleaner

    Lance le, clique sur [Suppression] puis patiente le temps du scan.
    Une fois le scan fini, un rapport s'ouvrira, poste le contenu de ce rapport.
    Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

    -----

    - Télécharge et installe MalwareByte's Anti-Malware
    https://www.commentcamarche.net/telecharger/securite/14361-malwarebytes-anti-malware/

    - Mets le à jour (Important)

    - Double clique sur le raccourci de MalwareByte's Anti-Malware qui est sur le bureau.
    - Sélectionne Exécuter un examen complet si ce n'est pas déjà fait
    - Clique sur Rechercher

    - Une fois le scan terminé, une fenêtre s'ouvre, clique sur sur Ok

    - Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.

    - Si MalwareByte's a détecté des infections, clique sur Afficher les résultats ensuite sur Supprimer la sélection

    - Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

    Note : Si MalwareByte's a besoin de redémarrer pour terminer la suppression, accepte en cliquant sur Ok

    Tutoriel pour MalwareByte's ici :
    https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

    @++ :)
    0
  3. Utilisateur anonyme
     
    Désolé j'ai mal copié, voici le rapport de adwcleaner, je continue la procedure ?

    # AdwCleaner v1.606 - Rapport créé le 17/05/2012 à 02:48:17
    # Mis à jour le 10/05/2012 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Lucas - LUCAS-PC
    # Exécuté depuis : C:\Users\Lucas\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Users\Lucas\AppData\Local\Temp\OpenCandy
    Dossier Supprimé : C:\ProgramData\SweetIM
    Supprimé au redémarrage : C:\Program Files (x86)\SweetIM

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\Headlight
    Clé Supprimée : HKCU\Software\SweetIm
    Clé Supprimée : HKLM\SOFTWARE\SweetIM
    Clé Supprimée : HKLM\SOFTWARE\Classes\MediaPlayer.GraphicsUtils
    Clé Supprimée : HKLM\SOFTWARE\Classes\MgMediaPlayer.GifAnimator
    Clé Supprimée : HKLM\SOFTWARE\Classes\sim-packages
    Clé Supprimée : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar
    Clé Supprimée : HKLM\SOFTWARE\Classes\SWEETIE.IEToolbar.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook
    Clé Supprimée : HKLM\SOFTWARE\Classes\sweetim_urlsearchhook.toolbarurlsearchhook.1
    Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.sweetie
    Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar3.sweetie.1
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Paths\SweetIM.exe
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{A81A974F-8A22-43E6-9243-5198FF758DA1}
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SweetIM]

    ***** [Registre - GUID] *****

    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{82AC53B4-164C-4B07-A016-437A8388B81A}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{A4A0CB15-8465-4F58-A7E5-73084EA2A064}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35B-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35C-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{EEE6C35D-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{A439801C-961D-452C-AB42-7848E9CBD289}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{F4EBB1E2-21F3-4786-8CF4-16EC5925867F}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{4D3B167E-5FD8-4276-8FD7-9DF19C1E4D19}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35E-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{EEE6C35F-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{EEE6C367-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{EEE6C360-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{EEE6C35C-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35B-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{EEE6C35C-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35B-6118-11DC-9C72-001320C79847}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{EEE6C35C-6118-11DC-9C72-001320C79847}
    Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{EEE6C35B-6118-11DC-9C72-001320C79847}]
    [x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C358-6118-11DC-9C72-001320C79847}
    [x64] Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{EEE6C35A-6118-11DC-9C72-001320C79847}

    ***** [Navigateurs] *****

    -\\ Internet Explorer v9.0.8112.16421

    Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\Main - Start Page] = hxxp://home.sweetim.com --> hxxp://www.google.fr

    -\\ Google Chrome v18.0.1025.168

    Fichier : C:\Users\Lucas\AppData\Local\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [302 octets] - [17/05/2012 02:47:20]
    AdwCleaner[S2].txt - [4313 octets] - [17/05/2012 02:48:17]

    ########## EOF - C:\AdwCleaner[S2].txt - [4441 octets] ##########
    0
  4. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Deadfou21

    Oui continu avec MBAM et poste le rapport...

    @++ :)
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Utilisateur anonyme
     
    Voici le rapport de MBAM, je l'ai copié juste avant de redémarrer l'ordinateur :

    Malwarebytes Anti-Malware 1.61.0.1400
    www.malwarebytes.org

    Version de la base de données: v2012.05.17.02

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 9.0.8112.16421
    Lucas :: LUCAS-PC [administrateur]

    17/05/2012 11:44:01
    mbam-log-2012-05-17 (11-44-01).txt

    Type d'examen: Examen complet
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 484668
    Temps écoulé: 1 heure(s), 35 minute(s), 1 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 1
    C:\Program Files (x86)\Dll-Files.com Fixer\Dll-Files.com.FIXER.v2.0.72.1862-patch.exe (PUP.Hacktool.Patcher) -> Mis en quarantaine et supprimé avec succès.

    (fin)
    0
  7. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Deadfou21

    Refais un scan avec OTL comme la première fois(mode Analyse) avec les mêmes paramètres et la même liste sous personnalisation, tu auras seulement un rapport(OTL.txt) a me poster, voir a utilisé cjoint pour poster le rapport.

    @++ :)
    0
  8. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Deadfou21

    Double clic sur OTL.exe pour le lancer.
    (Vista/Seven --> Faire un clique droit sur OTL.exe pour lancer le programme et choisi "Exécuter en tant qu'administrateur".

    * Copie la liste qui se trouve en gras ci-dessous, et colle-la dans la zone sous " Personnalisation "

    :OTL
    IE - HKLM\..\SearchScopes,DefaultScope = {EEE6C360-6118-11DC-9C72-001320C79847}
    O2 - BHO: (no name) - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O3 - HKLM\..\Toolbar: (no name) - Locked - No CLSID value found.
    O4 - HKLM\..\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd File not found
    O4 - HKU\S-1-5-21-817002322-4057150456-3432127122-1001\..\Run: [Spotify Web Helper] C:\Users\Lucas\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe ()
    [1 C:\Windows\SysWow64\*.tmp files -> C:\Windows\SysWow64\*.tmp -> ]

    :Files
    C:\Users\Lucas\AppData\Roaming\Spotify

    :Commands
    [EMPTYFLASH]
    [Emptytemp]


    * Clique sur " Correction " pour lancer la suppression.

    * Si un fichier ou dossier ne peut pas être supprimé immédiatement, le logiciel te demandera de redémarrer. Accepte en cliquant sur Oui.

    * Au redémarrage , autorise OTL a s'exécuter.

    * Poste le rapport généré par OTL.

    @++ :)
    0
  9. Utilisateur anonyme
     
    Voilà, mais qu'est qu'est-ce que ça a fait ce que tu m'as demandé ?

    All processes killed
    ========== OTL ==========
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\\DefaultScope| /E : value set successfully!
    Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6C680BAE-655C-4E3D-8FC4-E6A520C3D928}\ deleted successfully.
    Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6C680BAE-655C-4E3D-8FC4-E6A520C3D928}\ not found.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked deleted successfully.
    Registry value HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\Toolbar\\Locked not found.
    Registry key HKEY_LOCAL_MACHINE\\Software\Microsoft\Windows\CurrentVersion\Run not found.
    Registry value HKEY_USERS\S-1-5-21-817002322-4057150456-3432127122-1001\\Software\Microsoft\Windows\CurrentVersion\Run\\Spotify Web Helper deleted successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe moved successfully.
    C:\Windows\SysWow64\shoADCF.tmp deleted successfully.
    ========== FILES ==========
    C:\Users\Lucas\AppData\Roaming\Spotify\Users\114228896-user\LocalStorage\Local Storage folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Users\114228896-user\LocalStorage folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Users\114228896-user\Cookies folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Users\114228896-user\Apps\search-header folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Users\114228896-user\Apps\search-dropdown folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Users\114228896-user\Apps\radio folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Users\114228896-user\Apps\profile-header folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Users\114228896-user\Apps\home folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Users\114228896-user\Apps\feed folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Users\114228896-user\Apps folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Users\114228896-user folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Users folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Gracenote folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Data\locales folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify\Data folder moved successfully.
    C:\Users\Lucas\AppData\Roaming\Spotify folder moved successfully.
    ========== COMMANDS ==========

    [EMPTYFLASH]

    User: Administrator

    User: All Users

    User: Default

    User: Default User

    User: Lucas
    ->Flash cache emptied: 4496 bytes

    User: Public

    Total Flash Files Cleaned = 0,00 mb

    [EMPTYTEMP]

    User: Administrator

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    0
  10. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Deadfou21

    Cela est bon, d'autre souci?

    @++ :)
    0
  11. Utilisateur anonyme
     
    Parfait, tout est revenu à la normale, merci énormément à ton aide et ta patience :)

    Par contre, ce que tu m'as demandé de faire m'a supprimé mon logiciel pour écouter la musique qui est "Spotify", or j'y tenais pas mal, était-il en partie responsable des problèmes sur mon ordinateur ?
    0
  12. dédétraqué Messages postés 4522 Statut Contributeur sécurité 286
     
    Salut Deadfou21

    Il appartenais à une famille de chevaux de Troie (Trojan).
    Grâce à l'ouverture d'un port internet, il peut accéder et contrôler à distance un ordinateur à l'insu de son utilisateur.

    Je viens de me rendre compte que MalwareByte's viens de le retiré de la détection, tu pourras le réinstaller...

    On va faire un ménage des outils téléchargés pour la désinfection, télécharge Del Fix (de Xplode), sur ton bureau

    http://www.general-changelog-team.fr/telechargements/logiciels/viewdownload/75-outils-de-xplode/3-delfix

    Double-clique sur l'icône delfix0.exe située sur ton Bureau.
    (Vista/Seven - Faire un clique droit sur l'icône delfix0.exe située sur ton Bureau et choisir exécuter en tant qu'administrateur.)

    Sélectionne Suppression

    Copie/colle le contenu du rapport dans ton prochain message.

    Note : Le rapport est sauvegardé à la racine du disque dur ( C:\DelFixSuppr.txt )

    -----

    Important de mettre à jour Windows et tes logiciels :
    Mettre Windows à jour : http://www.windowsupdate.com/windowsupdate/v6/default.aspx

    Faire un scan de vulnérabilités afin de vérifier que tes logiciels soit à jour sans failles de sécurités et mettre à jour :
    https://www.malekal.com/tester-la-vulnerabilite-de-son-systeme-2/

    Faire un ménage des fichiers inutiles et de la base de registre :
    Téléchargement de Ccleaner : https://www.ccleaner.com/ccleaner
    Tutorial : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/#tutoriel-ccleaner

    Dis moi quand cela est fais où si tu as des soucis et on passe à la résolution du sujet par la suite.

    @++ :)
    0
  13. Utilisateur anonyme
     
    Je te prie de m'excuser de ma tardive reponse, mais avant de faire ce que tu me demandes j'ai deux autres problèmes, un qui est récurrent, à l'allumage de mon pc, on me dis qu'il y a une mise à jour windows qui doit se faire, celle-ci se bloque à 35 % puis ne s'effectue pas, echec de la mise à joue, puis le pc s'eteint et se rallume recommence la mise à jour qui ne s'efectue toujours pas mais cette fois-ci il ne s'eteint pas et va sur le bureau, ce problème est systématique à chaque fois que j'allume mon ordinateur.
    Puis un autre problème qui est survenu il y a quelques instants : je joue à League of Legends si tu connaît su mon pc, sauf que le jeu à pas mal de bugs depuis seulement 1 h et un message me disant que ma graphique n'était pas assez performante s'affiche, je suis allé voir dans les indices de performance et effectivement au lieu d'être à environ 6 ou 7 je ne sais plus très bien, il est descendu à 4.2, or ma carte n'est pas ancienne je l'ai eu avec mon pc il y a 6 mois.

    Merci à toi si tu as pris le temps de lire cela et de répondre à mon problème :)
    0