Probable fichier espion sur mon ordinateur Résolu/Fermé

Question

Bonjour, 

J'ai plusieurs sites en ligne ou des injection de code se font via ftp, j'ai changé plusieurs fois mes code ftp et suprimer sur les serveurs les fichiers infectés mais rien n'y fait, une heure après ces mêmes fichiers se retrouvent à nouveau sur les serveurs je soupçonne   donc que j'ai un fichier ou dossier espion sur mon ordinateur qui transmet mes mots de passe, mon anti virus ne trouve rien et malwarebytes non plus.

Un grand nettoyage s'impose ;) pourriez vous s'il vous plait m'aider à le réaliser, merci d'avance pour vos réponses.

Didier

Configuration: Windows Vista / Firefox 14.0.1

g3n-h@ckm@n · Answer

salut

Attention : cet outil peut etre détecté à tort comme virus

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

didelebrave · Answer

Bonsoir, merci pour la réponse.

Voila qui est fait (long long :p) le lien est le suivant: 
https://pjjoint.malekal.com/files.php?id=20120730_u5l9e9r11h6

Milles merci pour ton aide

g3n-h@ckm@n · Answer

Microsoft security essentials non desactivé
parefeu de windows non desactivé !

pourquoi tu l'as lancé deux fois en meme temps ?

[MD5.085B907B3B332C920EC8204B6167567F] - [30/07/2012 18:36:44] - 5812 | C:\Users\DDWeb\Downloads\winlogon.exe (. - g3n-h@ckm@n.) - (2.7.3.0 ) -> "C:\Users\DDWeb\Downloads\winlogon.exe"    [2236524 Ko] 
[MD5.085B907B3B332C920EC8204B6167567F] - [30/07/2012 18:36:44] - 1760 | C:\Users\DDWeb\Downloads\winlogon.exe (. - g3n-h@ckm@n.) - (2.7.3.0 ) -> "C:\Users\DDWeb\Downloads\winlogon.exe"    [2236524 Ko] 

=======

desinstalle tout Java
desinstalle freeTVRadio     

=======

sers-toi de cette page pour virer les restes de McAfee

https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#mcafee-virusscan-8-ou-9

=======

Clique sur ce lien : https://www.cjoint.com/?BGEvAsZx1yV

Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier

Relance Pre_scan puis choisis l'option "Script"

une page va s'ouvrir

logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.

sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.

puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte

des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille 

poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail

didelebrave · Answer

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.730 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

DDWeb : Windows Vista (TM) Home Basic (32 bits)

Switchs : https://gen-hackman.kanak.fr/

Script : 22:00:27

¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤

¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services

Service : 98603408 Not actif
Service :   Not actif

Deleted : [HKLM\..\CCS\..\Root\LEGACY_98603408]
Deleted : [HKLM\..\CS001\..\Root\LEGACY_98603408]
Not Deleted : [HKLM\..\CS002\..\Root\LEGACY_98603408]
Deleted : [HKLM\..\CS003\..\Root\LEGACY_98603408]


¤

¤¤¤¤¤¤¤¤¤¤ | Registry Deletions

Key Deleted : HKU\S-1-5-21-3138824743-3763298219-3982750877-1000\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4becf16c-74f0-429b-8d3e-4fba507ac661}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9da1d2cb-796d-4bec-bbaa-0aa9ccd80e15}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Key Deleted : HKU\S-1-5-21-3138824743-3763298219-3982750877-1000\Software\freeTVRadio    

¤

Folder Deleted : |D| - C:\Windows\Installer\{38470B46-9BF1-40AE-A588-F6AD6D1C2D42}
File Deleted :  |A| - C:\ProgramData\kivjpthq.ecv 
Folder Deleted : |D| - C:\ProgramData\lB01300PoHiP01300
  : Not Found !

¤¤¤¤¤¤¤¤¤¤ | MBR

Windows Version:		Windows Vista Home Basic Edition
Windows Information:		Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer:	eMachines, Inc.
BIOS Manufacturer:		eMachines
System Manufacturer:		eMachines, inc.
System Product Name:		eMG620
Logical Drives Mask:		0x0000001c

Analysis of file "C:\Pre_Scan\MBR.bin":
Unknown MBR code

¤


¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque

Nettoyage du disque effectué

¤


Fin : 22:05:14

¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤

g3n-h@ckm@n · Answer

t'as fait les autres trucs aussi ?

g3n-h@ckm@n · Answer

re


fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

didelebrave · Answer

Re, voici le rapport et encore merci pour ton aide et ta patience ;)

Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.08.01.03

Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
DDWeb :: PC-DE-DDWEB [administrateur]

1/08/2012 13:36:45
mbam-log-2012-08-01 (13-36-45).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 518980
Temps écoulé: 3 heure(s), 30 minute(s), 44 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

g3n-h@ckm@n · Answer

bien plus de soucis ?

didelebrave · Answer

Non plus aucuns tu crois que c'est bon ?

g3n-h@ckm@n · Answer

on a pas fait le menage ^^

https://gen-hackman.kanak.fr/#1037

didelebrave · Answer

Voila, en bonne fée du logis j'ai fait tout le ménage demandé sur ton lien précédent, j'attends ton feu vert pour marquer le sujet comme résolut, encore milles merci pour ta patience et ton aide ;)

g3n-h@ckm@n · Answer

ok tu peux virer winlogon de ton bureau aussi ainsi que de ton dossier telechargements

didelebrave · Answer

Re, 
voila qui est fait ;)

g3n-h@ckm@n · Answer

bah si t'as tout fini oué ^^

didelebrave · Answer

Un tout grand merci à toi, je passe le sujet en résolut et ce grâce a toi. Mille merci et bonne fin de journée.

g3n-h@ckm@n · Answer

toi aussi :)

Probable fichier espion sur mon ordinateur

16 réponses

Discussions similaires