PC surement infecté, aide pour ZhP
Résolu
W@s
-
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Malekal_morte- Messages postés 180304 Date d'inscription Statut Modérateur, Contributeur sécurité Dernière intervention -
Bonjour,
Depuis ces derniers temps, il y a quelques signes qui ont attiré mon attention sur mon PC:
-Ces derniers mois, la touche de l'accent circonflexe ne marche pas tout le temps, généralement ça me fait 2 accents d'un coup.
-Ces derniers jours, il arrive que certaine touche de mon clavier ne marche que si j'appuie plusieurs fois dessus (mon clavier est très propres et les touches sont assez aléatoires...).
-Mon écran bug et devient blanc avant de redevenir normal et que j'ai un message qui dit que le pilote graphique à crashé et qu'il a été récupérer.(il me semble que mes pilotes sont à jour pourtant)
-Toujours au niveau de l'écran, lorsque je le met en veille et que je le rallume, l'écran reste noir parfois, il faut alors que je le remette en veille avec le bouton ON et que je le rallume.
J'ai fais des scans avec MalwareBytes, Spybot et Avast. Tout ce que j'ai trouvé c'est 2 spyware: DoubleClick et Windows Internet Security.
ça n'a pas réglé mes problème. J'ai essayé d'installer ZhP mais je n'arrive pas à le faire fonctionner, j'ai 3 icones (ZHP Diag, ZhP fix, MBRCheck) c'est laquelle la bonne?
Merci d'avance à ceux qui pourront m'aider
Depuis ces derniers temps, il y a quelques signes qui ont attiré mon attention sur mon PC:
-Ces derniers mois, la touche de l'accent circonflexe ne marche pas tout le temps, généralement ça me fait 2 accents d'un coup.
-Ces derniers jours, il arrive que certaine touche de mon clavier ne marche que si j'appuie plusieurs fois dessus (mon clavier est très propres et les touches sont assez aléatoires...).
-Mon écran bug et devient blanc avant de redevenir normal et que j'ai un message qui dit que le pilote graphique à crashé et qu'il a été récupérer.(il me semble que mes pilotes sont à jour pourtant)
-Toujours au niveau de l'écran, lorsque je le met en veille et que je le rallume, l'écran reste noir parfois, il faut alors que je le remette en veille avec le bouton ON et que je le rallume.
J'ai fais des scans avec MalwareBytes, Spybot et Avast. Tout ce que j'ai trouvé c'est 2 spyware: DoubleClick et Windows Internet Security.
ça n'a pas réglé mes problème. J'ai essayé d'installer ZhP mais je n'arrive pas à le faire fonctionner, j'ai 3 icones (ZHP Diag, ZhP fix, MBRCheck) c'est laquelle la bonne?
Merci d'avance à ceux qui pourront m'aider
A voir également:
- PC surement infecté, aide pour ZhP
- Telecharger downloader pour pc - Télécharger - Téléchargement & Transfert
- Zuma pour pc - Télécharger - Jeux vidéo
- Reinitialiser pc - Guide
- Test performance pc - Guide
- Pc lent - Guide
17 réponses
Salut,
Spybot sert à rien.
Désinstalle le.
~~
Fais un scan OTL :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge https://www.malekal.com/download/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Spybot sert à rien.
Désinstalle le.
~~
Fais un scan OTL :
Tu peux suivre les indications de cette page pour t'aider : https://www.malekal.com/tutorial-otl/
* Télécharge https://www.malekal.com/download/OTL.exe sur ton bureau.
(Sous Vista/Win7, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)
Dans le cas d'Avast!, ne pas lancer le programme dans la Sandbox (voir lien d'aide ci-dessus).
* Lance OTL
* En haut à droite de Analyse rapide, coche "tous les utilisateurs"
* Sur OTL, sous Personnalisation, copie-colle le script ci-dessous :
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%temp%\.exe /s
%SYSTEMDRIVE%\*.exe
%systemroot%\*. /mp /s
%systemroot%\system32\consrv.dll
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
/md5start
explorer.exe
winlogon.exe
wininit.exe
/md5stop
HKEY_CLASSES_ROOT\CLSID\{F3130CDB-AA52-4C3A-AB32-85FFC23AF9C1}\InprocServer32 /s
HKEY_LOCAL_MACHINE\SYSTEM\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems /s
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\AppCertDlls /s
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList /s
CREATERESTOREPOINT
nslookup www.google.fr /c
SAVEMBR:0
hklm\software\clients\startmenuinternet|command /rs
hklm\software\clients\startmenuinternet|command /64 /rs
* Clique sur le bouton Analyse.
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer le rapport OTL.txt (et Extra.txt si présent), donne le ou les liens pjjoint qui pointent vers ces rapports ici dans un nouveau message.
Voici les liens:
http://pjjoint.malekal.com/files.php?id=20120721_s6y10g7c13d7
http://pjjoint.malekal.com/files.php?id=20120721_b13z9r6i14z10
http://pjjoint.malekal.com/files.php?id=20120721_s6y10g7c13d7
http://pjjoint.malekal.com/files.php?id=20120721_b13z9r6i14z10
Envoie C:\Users\W\AppData\Roaming\supfc\upd.exe sur http://upload.malekal.com
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
MOD - [2011/10/06 17:50:46 | 008,889,862 | ---- | M] () -- C:\Users\W\AppData\Roaming\supfc\upd.exe
[2012/05/21 18:17:50 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\W\AppData\Roaming\mozilla\Firefox\Profiles\jvt6v7ty.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2012/05/28 12:53:49 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files (x86)\Mozilla Firefox\extensions\quickstores@quickstores.de
[2012/07/14 21:50:25 | 000,000,000 | ---D | C] -- C:\Users\W\AppData\Local\.inapptracking
O4 - HKLM..\Run: [Update] C:\Users\W\AppData\Roaming\supfc\upd.exe ()
:files
C:\Users\W\AppData\Roaming\supfc\
* redemarre le pc sous windows et poste le rapport ici
~~
Scan C:\Program Files (x86)\calps\npCalps.dll sur https://www.virustotal.com/gui/
Donne le lien du rapport ici.
Si l'envoie de upd.exe n'a pas marché.
Zip le dossier C:\OTL\_MoveIt et envoie le zip sur http://upload.malekal.com
Relance OTL.
o sous Personnalisation (Custom Scan), copie_colle le contenu du cadre ci dessous (bien prendre :OTL en début).
Clic Correction (Fix), un rapport apparraitra, copie/colle le contenu ici:
:OTL
MOD - [2011/10/06 17:50:46 | 008,889,862 | ---- | M] () -- C:\Users\W\AppData\Roaming\supfc\upd.exe
[2012/05/21 18:17:50 | 000,000,000 | ---D | M] (Yahoo! Toolbar) -- C:\Users\W\AppData\Roaming\mozilla\Firefox\Profiles\jvt6v7ty.default\extensions\{635abd67-4fe9-1b23-4f01-e679fa7484c1}
[2012/05/28 12:53:49 | 000,000,000 | ---D | M] (QuickStores-Toolbar) -- C:\Program Files (x86)\Mozilla Firefox\extensions\quickstores@quickstores.de
[2012/07/14 21:50:25 | 000,000,000 | ---D | C] -- C:\Users\W\AppData\Local\.inapptracking
O4 - HKLM..\Run: [Update] C:\Users\W\AppData\Roaming\supfc\upd.exe ()
:files
C:\Users\W\AppData\Roaming\supfc\
* redemarre le pc sous windows et poste le rapport ici
~~
Scan C:\Program Files (x86)\calps\npCalps.dll sur https://www.virustotal.com/gui/
Donne le lien du rapport ici.
Si l'envoie de upd.exe n'a pas marché.
Zip le dossier C:\OTL\_MoveIt et envoie le zip sur http://upload.malekal.com
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Voila le lien pour le scan de C:\Program Files (x86)\calps\npCalps.dll:
https://www.virustotal.com/file/fdafdaec603f4b54d7448e3b179837cafd0cd34e188e0e54702319eae28bc1d6/analysis/1342879352/
https://www.virustotal.com/file/fdafdaec603f4b54d7448e3b179837cafd0cd34e188e0e54702319eae28bc1d6/analysis/1342879352/
Voici le rapport, il n'a rien trouvé. Concernant les accents ça marche pour l'instant, mais comme je disais à la base c'était permanent ça me faisais toujours le double accent et après je sais pas pourquoi c'est devenu intermittent.
Que dois-je faire maintenant?
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Version de la base de données: v2012.07.22.04
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
W :: W-PC [administrateur]
22/07/2012 12:04:00
mbam-log-2012-07-22 (12-04-00).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 566287
Temps écoulé: 1 heure(s), 42 minute(s), 24 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Que dois-je faire maintenant?
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Version de la base de données: v2012.07.22.04
Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
W :: W-PC [administrateur]
22/07/2012 12:04:00
mbam-log-2012-07-22 (12-04-00).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 566287
Temps écoulé: 1 heure(s), 42 minute(s), 24 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Tu avais un Rat.
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection.
Faire attention à ce que vous téléchargez
Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, MultiUpload etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.
Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection.
Faire attention à ce que vous téléchargez
D'accord merci, je vais changer tout ca. Le rat c'etait ce udp.exe? Comment il recupere les mots de passes, lorsque je les saisis manuellement ou si ils sont sauvegarder?
Sinon concernant les problemes de drivers graphiques qui crash c'etait ca aussi?
Ne dois-je pas faire d'autres scan pour etre sur d'etre totalement desinfecte?
PS: desole pour les accents je suis surun clavier qwerty provisoirement
Sinon concernant les problemes de drivers graphiques qui crash c'etait ca aussi?
Ne dois-je pas faire d'autres scan pour etre sur d'etre totalement desinfecte?
PS: desole pour les accents je suis surun clavier qwerty provisoirement
Autre chose, est-ce que c'était bien la cause du problème des accents?
Et comment peut-on savoir au moment d'un téléchargement si le dossier n'est pas ce que l'on imagine?
Et comment peut-on savoir au moment d'un téléchargement si le dossier n'est pas ce que l'on imagine?
Pour les mots de passe, ce ne sont que ceux qui sont stockés dans le navigateurs et que tu ne tappes pas.
~~
Pour les plantages, ça n'a rien à voir.
Mets à jour les pilotes de la carte graphique.
Si ça continue de planter, c'est matériel.
~~
Pour ce que tu télécharges ==> https://www.virustotal.com/gui/
En règle général, ceux proposés sur les sites de téléchargement genre medi*fire, c'est des virus.
~~
Pour les plantages, ça n'a rien à voir.
Mets à jour les pilotes de la carte graphique.
Si ça continue de planter, c'est matériel.
~~
Pour ce que tu télécharges ==> https://www.virustotal.com/gui/
En règle général, ceux proposés sur les sites de téléchargement genre medi*fire, c'est des virus.
Juste quelques dernières questions: Pour télécharger quoique ce soit, il faut bien passer par un site de téléchargement à un moment non? Il y en a qui sont plus sûr que d'autres?
Si je comprends bien, tout ce que je pourrai télécharger, n'est pas censé être détecté comme un virus par l'antivirus? Il n'y a pas de faux positif possible?
As-tu des conseils à me donner pour mieux protéger mon ordi d'un point de vue programme/logiciel?
En tout cas merci beaucoup pour ton aide.
Si je comprends bien, tout ce que je pourrai télécharger, n'est pas censé être détecté comme un virus par l'antivirus? Il n'y a pas de faux positif possible?
As-tu des conseils à me donner pour mieux protéger mon ordi d'un point de vue programme/logiciel?
En tout cas merci beaucoup pour ton aide.
Et aussi, pourquoi tu m'as dit que Spybot servait à rien? C'est le seul qui avait trouvé DoubleClick et l'autre spyware.
D'accord merci du conseil, j'avais installé Spybot suite à un conseil sur ccm il y a quelques années.
Toutefois, Malwarebyte n'avait pas détecté Doubleclick, est-ce normal? Comment le supprimer sans Spybot dans ce cas? Même si ce n'est qu'un tracking cookie, ça reste embêtant...
PS: en effet, pour les accents ça semble s'être arrangé ;)
Toutefois, Malwarebyte n'avait pas détecté Doubleclick, est-ce normal? Comment le supprimer sans Spybot dans ce cas? Même si ce n'est qu'un tracking cookie, ça reste embêtant...
PS: en effet, pour les accents ça semble s'être arrangé ;)
Pour la sécurité, voir là : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Je pense ça devrait répondre à tes questions.
Je pense ça devrait répondre à tes questions.
Merci, j'étais en train de le lire justement^^. Je me suis rendu compte que mon UAC était désactivé (erreur de ma part sans doute), dois-je la mettre au niveau maximal? (pour l'instant je l'ai mis au niveau juste en dessous).
Par contre, je comprends toujours pas pourquoi le tracking cookie n'était pas détecté pas MalewareBytes.
En tout cas super site "Malekal's", depuis hier j'ai lu pas mal de billets dessus, c'est vraiment très intéressant et fait de manière pédagogique.
Merci pour tout!
Par contre, je comprends toujours pas pourquoi le tracking cookie n'était pas détecté pas MalewareBytes.
En tout cas super site "Malekal's", depuis hier j'ai lu pas mal de billets dessus, c'est vraiment très intéressant et fait de manière pédagogique.
Merci pour tout!
En me baladant sur le net, je suis tombé sur ce lien:
http://gen-hackman.forum-pro.fr/t165-nettoyage-apres-desinfection
Tu me conseilles de suivre ces étapes?
http://gen-hackman.forum-pro.fr/t165-nettoyage-apres-desinfection
Tu me conseilles de suivre ces étapes?
Merci