Probable fichier espion sur mon ordinateur
Résolu
didelebrave
Messages postés
68
Date d'inscription
Statut
Membre
Dernière intervention
-
Utilisateur anonyme -
Utilisateur anonyme -
Bonjour,
J'ai plusieurs sites en ligne ou des injection de code se font via ftp, j'ai changé plusieurs fois mes code ftp et suprimer sur les serveurs les fichiers infectés mais rien n'y fait, une heure après ces mêmes fichiers se retrouvent à nouveau sur les serveurs je soupçonne donc que j'ai un fichier ou dossier espion sur mon ordinateur qui transmet mes mots de passe, mon anti virus ne trouve rien et malwarebytes non plus.
Un grand nettoyage s'impose ;) pourriez vous s'il vous plait m'aider à le réaliser, merci d'avance pour vos réponses.
Didier
J'ai plusieurs sites en ligne ou des injection de code se font via ftp, j'ai changé plusieurs fois mes code ftp et suprimer sur les serveurs les fichiers infectés mais rien n'y fait, une heure après ces mêmes fichiers se retrouvent à nouveau sur les serveurs je soupçonne donc que j'ai un fichier ou dossier espion sur mon ordinateur qui transmet mes mots de passe, mon anti virus ne trouve rien et malwarebytes non plus.
Un grand nettoyage s'impose ;) pourriez vous s'il vous plait m'aider à le réaliser, merci d'avance pour vos réponses.
Didier
A voir également:
- Probable fichier espion sur mon ordinateur
- Fichier bin - Guide
- Mon ordinateur rame - Guide
- Ordinateur - Guide
- Fichier epub - Guide
- Fichier rar - Guide
16 réponses
salut
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Attention : cet outil peut etre détecté à tort comme virus
tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.
Désactive toutes tes protections si possible , antivirus , sandbox , etc....
telecharge et enregistre Pre_Scan sur ton bureau :
http://forums-fec.be/gen-hackman/Pre_Scan.exe
http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.
une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.
si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"
si l'outil est bloqué par l'infection utilise cette version avec extension .pif :
http://forums-fec.be/gen-hackman/Pre_Scan.pif
si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"
Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler
Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan
Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire
NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)
Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider
Bonsoir, merci pour la réponse.
Voila qui est fait (long long :p) le lien est le suivant:
https://pjjoint.malekal.com/files.php?id=20120730_u5l9e9r11h6
Milles merci pour ton aide
Voila qui est fait (long long :p) le lien est le suivant:
https://pjjoint.malekal.com/files.php?id=20120730_u5l9e9r11h6
Milles merci pour ton aide
Microsoft security essentials non desactivé
parefeu de windows non desactivé !
pourquoi tu l'as lancé deux fois en meme temps ?
[MD5.085B907B3B332C920EC8204B6167567F] - [30/07/2012 18:36:44] - 5812 | C:\Users\DDWeb\Downloads\winlogon.exe (. - g3n-h@ckm@n.) - (2.7.3.0 ) -> "C:\Users\DDWeb\Downloads\winlogon.exe" [2236524 Ko]
[MD5.085B907B3B332C920EC8204B6167567F] - [30/07/2012 18:36:44] - 1760 | C:\Users\DDWeb\Downloads\winlogon.exe (. - g3n-h@ckm@n.) - (2.7.3.0 ) -> "C:\Users\DDWeb\Downloads\winlogon.exe" [2236524 Ko]
=======
desinstalle tout Java
desinstalle freeTVRadio
=======
sers-toi de cette page pour virer les restes de McAfee
https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#mcafee-virusscan-8-ou-9
=======
Clique sur ce lien : https://www.cjoint.com/?BGEvAsZx1yV
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
parefeu de windows non desactivé !
pourquoi tu l'as lancé deux fois en meme temps ?
[MD5.085B907B3B332C920EC8204B6167567F] - [30/07/2012 18:36:44] - 5812 | C:\Users\DDWeb\Downloads\winlogon.exe (. - g3n-h@ckm@n.) - (2.7.3.0 ) -> "C:\Users\DDWeb\Downloads\winlogon.exe" [2236524 Ko]
[MD5.085B907B3B332C920EC8204B6167567F] - [30/07/2012 18:36:44] - 1760 | C:\Users\DDWeb\Downloads\winlogon.exe (. - g3n-h@ckm@n.) - (2.7.3.0 ) -> "C:\Users\DDWeb\Downloads\winlogon.exe" [2236524 Ko]
=======
desinstalle tout Java
desinstalle freeTVRadio
=======
sers-toi de cette page pour virer les restes de McAfee
https://www.commentcamarche.net/faq/7367-desinstaller-proprement-liens-et-astuces#mcafee-virusscan-8-ou-9
=======
Clique sur ce lien : https://www.cjoint.com/?BGEvAsZx1yV
Selectionne tout le texte qui s'y trouve CTRL+A puis CTRL+C ou clic droit/copier
Relance Pre_scan puis choisis l'option "Script"
une page va s'ouvrir
logiquement le texte que tu as sélectionné s'y trouve déjà , donc tu fermes et le programme va travailler.
sinon colle-le (clic droit/coller ou ctrl+V) dans la page vierge.
puis onglet fichier => enregistrer (pas enregistrer sous...) , puis ferme le texte
des fenetres noires risquent de clignoter , c'est normal , c'est le programme qui travaille
poste Pre_Script.txt qui apparaitra sur le bureau en fin de travail
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤ Pre_Script | 2.730 ¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
DDWeb : Windows Vista (TM) Home Basic (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Script : 22:00:27
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services
Service : 98603408 Not actif
Service : Not actif
Deleted : [HKLM\..\CCS\..\Root\LEGACY_98603408]
Deleted : [HKLM\..\CS001\..\Root\LEGACY_98603408]
Not Deleted : [HKLM\..\CS002\..\Root\LEGACY_98603408]
Deleted : [HKLM\..\CS003\..\Root\LEGACY_98603408]
¤
¤¤¤¤¤¤¤¤¤¤ | Registry Deletions
Key Deleted : HKU\S-1-5-21-3138824743-3763298219-3982750877-1000\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4becf16c-74f0-429b-8d3e-4fba507ac661}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9da1d2cb-796d-4bec-bbaa-0aa9ccd80e15}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Key Deleted : HKU\S-1-5-21-3138824743-3763298219-3982750877-1000\Software\freeTVRadio
¤
Folder Deleted : |D| - C:\Windows\Installer\{38470B46-9BF1-40AE-A588-F6AD6D1C2D42}
File Deleted : |A| - C:\ProgramData\kivjpthq.ecv
Folder Deleted : |D| - C:\ProgramData\lB01300PoHiP01300
: Not Found !
¤¤¤¤¤¤¤¤¤¤ | MBR
Windows Version: Windows Vista Home Basic Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: eMachines, Inc.
BIOS Manufacturer: eMachines
System Manufacturer: eMachines, inc.
System Product Name: eMG620
Logical Drives Mask: 0x0000001c
Analysis of file "C:\Pre_Scan\MBR.bin":
Unknown MBR code
¤
¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque
Nettoyage du disque effectué
¤
Fin : 22:05:14
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
DDWeb : Windows Vista (TM) Home Basic (32 bits)
Switchs : https://gen-hackman.kanak.fr/
Script : 22:00:27
¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤¤
¤¤¤¤¤¤¤¤¤¤ | Deletion | Drivers | Services
Service : 98603408 Not actif
Service : Not actif
Deleted : [HKLM\..\CCS\..\Root\LEGACY_98603408]
Deleted : [HKLM\..\CS001\..\Root\LEGACY_98603408]
Not Deleted : [HKLM\..\CS002\..\Root\LEGACY_98603408]
Deleted : [HKLM\..\CS003\..\Root\LEGACY_98603408]
¤
¤¤¤¤¤¤¤¤¤¤ | Registry Deletions
Key Deleted : HKU\S-1-5-21-3138824743-3763298219-3982750877-1000\Software\Microsoft\Internet Explorer\SearchScopes\{CFF4DB9B-135F-47c0-9269-B4C6572FD61A}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{4becf16c-74f0-429b-8d3e-4fba507ac661}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{95a4104c-1c49-4c2a-9830-1be0f47e926c}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{9da1d2cb-796d-4bec-bbaa-0aa9ccd80e15}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{e5f90a07-7db7-4dcb-bd6d-d3fecd376ca3}
Key Deleted : HKLM\SOFTWARE\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{fb9e068b-c612-4fa8-bdb9-d728a716a420}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8AD9C840-044E-11D1-B3E9-00805F499D93}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}
Key Deleted : HKLM\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA}
Key Deleted : HKU\S-1-5-21-3138824743-3763298219-3982750877-1000\Software\freeTVRadio
¤
Folder Deleted : |D| - C:\Windows\Installer\{38470B46-9BF1-40AE-A588-F6AD6D1C2D42}
File Deleted : |A| - C:\ProgramData\kivjpthq.ecv
Folder Deleted : |D| - C:\ProgramData\lB01300PoHiP01300
: Not Found !
¤¤¤¤¤¤¤¤¤¤ | MBR
Windows Version: Windows Vista Home Basic Edition
Windows Information: Service Pack 2 (build 6002), 32-bit
Base Board Manufacturer: eMachines, Inc.
BIOS Manufacturer: eMachines
System Manufacturer: eMachines, inc.
System Product Name: eMG620
Logical Drives Mask: 0x0000001c
Analysis of file "C:\Pre_Scan\MBR.bin":
Unknown MBR code
¤
¤¤¤¤¤¤¤¤¤¤ | Nettoyage disque
Nettoyage du disque effectué
¤
Fin : 22:05:14
¤¤¤¤¤¤¤¤¤¤ ( EOF ) ¤¤¤¤¤¤¤¤¤¤
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
re
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.
▶ Télécharge ici :
Malwarebytes
▶ Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .
relance malwarebytes en suivant scrupuleusement ces consignes :
! Déconnecte toi et ferme toutes applications en cours !
▶ Lance Malwarebyte's .
Fais un examen dit "Complet" .
▶ Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
▶ à la fin tu cliques sur "résultat" .
▶ Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .
▶ Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !
▶ Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)
Re, voici le rapport et encore merci pour ton aide et ta patience ;)
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Version de la base de données: v2012.08.01.03
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
DDWeb :: PC-DE-DDWEB [administrateur]
1/08/2012 13:36:45
mbam-log-2012-08-01 (13-36-45).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 518980
Temps écoulé: 3 heure(s), 30 minute(s), 44 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
Malwarebytes Anti-Malware 1.62.0.1300
www.malwarebytes.org
Version de la base de données: v2012.08.01.03
Windows Vista Service Pack 2 x86 NTFS
Internet Explorer 9.0.8112.16421
DDWeb :: PC-DE-DDWEB [administrateur]
1/08/2012 13:36:45
mbam-log-2012-08-01 (13-36-45).txt
Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 518980
Temps écoulé: 3 heure(s), 30 minute(s), 44 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)
(fin)
on a pas fait le menage ^^
https://gen-hackman.kanak.fr/#1037
https://gen-hackman.kanak.fr/#1037
# DelFix v8.9 - Rapport créé le 01/08/2012 à 20:05:06
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)
# Nom d'utilisateur : DDWeb - PC-DE-DDWEB (Administrateur)
# Exécuté depuis : C:\Users\DDWeb\Downloads\delfix.exe
# Option [Suppression]
~~~~~~ Dossiers(s) ~~~~~~
Supprimé : C:\pre_scan
Supprimé : C:\ZHP
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\Users\DDWeb\Desktop\Defogger.exe
Supprimé : C:\Users\DDWeb\Desktop\defogger_disable.log
Supprimé : C:\Users\DDWeb\Desktop\defogger_enable.log
Supprimé : C:\Users\DDWeb\Desktop\Pre_script.txt
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\Software\g3n-h@ckm@n
~~~~~~ Autres ~~~~~~
-> Prefetch Vidé
*************************
DelFix[S1].txt - [776 octets] - [01/08/2012 20:05:06]
########## EOF - C:\DelFix[S1].txt - [899 octets] ##########
# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Windows Vista (TM) Home Basic Service Pack 2 (32 bits)
# Nom d'utilisateur : DDWeb - PC-DE-DDWEB (Administrateur)
# Exécuté depuis : C:\Users\DDWeb\Downloads\delfix.exe
# Option [Suppression]
~~~~~~ Dossiers(s) ~~~~~~
Supprimé : C:\pre_scan
Supprimé : C:\ZHP
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\Users\DDWeb\Desktop\Defogger.exe
Supprimé : C:\Users\DDWeb\Desktop\defogger_disable.log
Supprimé : C:\Users\DDWeb\Desktop\defogger_enable.log
Supprimé : C:\Users\DDWeb\Desktop\Pre_script.txt
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\Software\g3n-h@ckm@n
~~~~~~ Autres ~~~~~~
-> Prefetch Vidé
*************************
DelFix[S1].txt - [776 octets] - [01/08/2012 20:05:06]
########## EOF - C:\DelFix[S1].txt - [899 octets] ##########
Voila, en bonne fée du logis j'ai fait tout le ménage demandé sur ton lien précédent, j'attends ton feu vert pour marquer le sujet comme résolut, encore milles merci pour ta patience et ton aide ;)
Voila qui est fait (long long :p) le lien est le suivant:
https://pjjoint.malekal.com/files.php?id=20120730_u5l9e9r11h6