Probable fichier espion sur mon ordinateur

Résolu
didelebrave Messages postés 69 Statut Membre -  
 g3n-h@ckm@n -
Bonjour,

J'ai plusieurs sites en ligne ou des injection de code se font via ftp, j'ai changé plusieurs fois mes code ftp et suprimer sur les serveurs les fichiers infectés mais rien n'y fait, une heure après ces mêmes fichiers se retrouvent à nouveau sur les serveurs je soupçonne donc que j'ai un fichier ou dossier espion sur mon ordinateur qui transmet mes mots de passe, mon anti virus ne trouve rien et malwarebytes non plus.

Un grand nettoyage s'impose ;) pourriez vous s'il vous plait m'aider à le réaliser, merci d'avance pour vos réponses.

Didier

16 réponses

  1. g3n-h@ckm@n
     
    salut

    Attention : cet outil peut etre détecté à tort comme virus

    tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

    Désactive toutes tes protections si possible , antivirus , sandbox , etc....

    telecharge et enregistre Pre_Scan sur ton bureau :

    http://forums-fec.be/gen-hackman/Pre_Scan.exe
    http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

    Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

    une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

    si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

    si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

    http://forums-fec.be/gen-hackman/Pre_Scan.pif

    si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

    Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

    Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

    Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

    NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

    Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

    0
  2. g3n-h@ckm@n
     
    Microsoft security essentials non desactivé
    parefeu de windows non desactivé !

    pourquoi tu l'as lancé deux fois en meme temps ?

    [MD5.085B907B3B332C920EC8204B6167567F] - [30/07/2012 18:36:44] - 5812 | C:\Users\DDWeb\Downloads\winlogon.exe (. - g3n-h@ckm@n.) - (2.7.3.0 ) -> "C:\Users\DDWeb\Downloads\winlogon.exe" [2236524 Ko]
    [MD5.085B907B3B332C920EC8204B6167567F] - [30/07/2012 18:36:44] - 1760 | C:\Users\DDWeb\Downloads\winlogon.exe (. - g3n-h@ckm@n.) - (2.7.3.0 ) -> "C:\Users\DDWeb\Downloads\winlogon.exe" [2236524 Ko]

    =======

    desinstalle tout Java
    desinstalle freeTVRadio

    =======

    sers-toi de cette page pour virer les restes de McAfee

    https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#mcafee-virusscan-8-ou-9

    =======

    Clique sur ce lien : https://www.cjoint.com/?BGEvAsZx1yV

    Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

    Relance Pre_scan puis choisis l'option "Script"

    une page va s'ouvrir

    logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

    sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

    puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

    des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille

    poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
    0
    1. didelebrave Messages postés 69 Statut Membre
       
      pas moyen de désactiver mse
      0
  3. didelebrave Messages postés 69 Statut Membre
     
    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.730 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    DDWeb : Windows Vista (TM) Home Basic (32 bits)

    Switchs : https://gen-hackman.kanak.fr/

    Script : 22:00:27

    ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

    ¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services

    Service : 98603408 Not actif
    Service : Not actif

    Deleted : [HKLM\..\CCS\..\Root\LEGACY_98603408]
    Deleted : [HKLM\..\CS001\..\Root\LEGACY_98603408]
    Not Deleted : [HKLM\..\CS002\..\Root\LEGACY_98603408]
    Deleted : [HKLM\..\CS003\..\Root\LEGACY_98603408]

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

    Key Deleted : HKU\S-1-5-21-3138824743-3763298219-3982750877-1000\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4becf16c-74f0-429b-8d3e-4fba507ac661}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9da1d2cb-796d-4bec-bbaa-0aa9ccd80e15}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
    Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
    Key Deleted : HKU\S-1-5-21-3138824743-3763298219-3982750877-1000\Software\freeTVRadio

    ¤

    Folder Deleted : |D| - C:\Windows\Installer\{38470B46-9BF1-40AE-A588-F6AD6D1C2D42}
    File Deleted : |A| - C:\ProgramData\kivjpthq.ecv
    Folder Deleted : |D| - C:\ProgramData\lB01300PoHiP01300
    : Not Found !

    ¤¤¤¤¤¤¤¤¤¤ | MBR

    Windows Version: Windows Vista Home Basic Edition
    Windows Information: Service Pack 2 (build 6002), 32-bit
    Base Board Manufacturer: eMachines, Inc.
    BIOS Manufacturer: eMachines
    System Manufacturer: eMachines, inc.
    System Product Name: eMG620
    Logical Drives Mask: 0x0000001c

    Analysis of file "C:\Pre_Scan\MBR.bin":
    Unknown MBR code

    ¤

    ¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

    Nettoyage du disque effectué

    ¤

    Fin : 22:05:14

    ¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. g3n-h@ckm@n
     
    t'as fait les autres trucs aussi ?
    0
    1. didelebrave Messages postés 69 Statut Membre
       
      oui sauf désactiver MSE pas moyen ou alors je trouve pas :p
      0
    2. g3n-h@ckm@n
       
      je t'as mis un lien plus haut
      0
    3. didelebrave Messages postés 69 Statut Membre
       
      j'avais zaper désoler je regarde ça immédiatement
      0
    4. didelebrave Messages postés 69 Statut Membre
       
      ok désactivé ;)
      0
    5. didelebrave Messages postés 69 Statut Membre
       
      Bonjour g3n-h, mon ordi est il en ordre avec les précedentes manip?
      Merci pour ta réponse ;)
      0
  6. g3n-h@ckm@n
     
    re

    fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.

    ▶ Télécharge ici :

    Malwarebytes

    ▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

    relance malwarebytes en suivant scrupuleusement ces consignes :

    ! Déconnecte toi et ferme toutes applications en cours !

    ▶ Lance Malwarebyte's .

    Fais un examen dit "Complet" .

    ▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
    ▶ à la fin tu cliques sur "résultat" .
    Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

    Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !

    Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

    0
  7. didelebrave Messages postés 69 Statut Membre
     
    Re, voici le rapport et encore merci pour ton aide et ta patience ;)

    Malwarebytes Anti-Malware 1.62.0.1300
    www.malwarebytes.org

    Version de la base de données: v2012.08.01.03

    Windows Vista Service Pack 2 x86 NTFS
    Internet Explorer 9.0.8112.16421
    DDWeb :: PC-DE-DDWEB [administrateur]

    1/08/2012 13:36:45
    mbam-log-2012-08-01 (13-36-45).txt

    Type d'examen: Examen complet (C:\|D:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 518980
    Temps écoulé: 3 heure(s), 30 minute(s), 44 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  8. didelebrave Messages postés 69 Statut Membre
     
    Non plus aucuns tu crois que c'est bon ?
    0
  9. g3n-h@ckm@n
     
    on a pas fait le menage ^^

    https://gen-hackman.kanak.fr/#1037
    0
    1. didelebrave Messages postés 69 Statut Membre
       
      Total space cleaned: 2.70 MB
      0
    2. didelebrave Messages postés 69 Statut Membre
       
      je passe aux étapes suivantes, j'ai cliquer sur reenable dans Defogger ;)
      0
    3. didelebrave Messages postés 69 Statut Membre
       
      nouvelle version java instalée
      0
    4. didelebrave Messages postés 69 Statut Membre
       
      # DelFix v8.9 - Rapport créé le 01/08/2012 à 20:05:06
      # Mis à jour le 27/07/12 par Xplode
      # Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)
      # Nom d'utilisateur : DDWeb - PC-DE-DDWEB (Administrateur)
      # Exécuté depuis : C:\Users\DDWeb\Downloads\delfix.exe
      # Option [Suppression]


      ~~~~~~ Dossiers(s) ~~~~~~

      Supprimé : C:\pre_scan
      Supprimé : C:\ZHP

      ~~~~~~ Fichier(s) ~~~~~~

      Supprimé : C:\Users\DDWeb\Desktop\Defogger.exe
      Supprimé : C:\Users\DDWeb\Desktop\defogger_disable.log
      Supprimé : C:\Users\DDWeb\Desktop\defogger_enable.log
      Supprimé : C:\Users\DDWeb\Desktop\Pre_script.txt

      ~~~~~~ Registre ~~~~~~

      Clé Supprimée : HKCU\Software\g3n-h@ckm@n

      ~~~~~~ Autres ~~~~~~

      -> Prefetch Vidé

      *************************

      DelFix[S1].txt - [776 octets] - [01/08/2012 20:05:06]

      ########## EOF - C:\DelFix[S1].txt - [899 octets] ##########
      0
    5. didelebrave Messages postés 69 Statut Membre
       
      Adobe en ordre ;) j'attaque ccleaner
      0
  10. didelebrave Messages postés 69 Statut Membre
     
    Voila, en bonne fée du logis j'ai fait tout le ménage demandé sur ton lien précédent, j'attends ton feu vert pour marquer le sujet comme résolut, encore milles merci pour ta patience et ton aide ;)
    0
  11. g3n-h@ckm@n
     
    ok tu peux virer winlogon de ton bureau aussi ainsi que de ton dossier telechargements
    0
  12. didelebrave Messages postés 69 Statut Membre
     
    Re,
    voila qui est fait ;)
    0
    1. g3n-h@ckm@n
       
      :)
      0
    2. didelebrave Messages postés 69 Statut Membre
       
      Tu crois qu'on est bon ?
      0
  13. didelebrave Messages postés 69 Statut Membre
     
    Un tout grand merci à toi, je passe le sujet en résolut et ce grâce a toi. Mille merci et bonne fin de journée.
    0