Infection (comp bizarre, prog au démarrage) Résolu/Fermé

Question

Bonjour,  
je pense ^^etre infecté.  

J'ai des problèmes pour lancer minecraft depuis quelques jours, j'ai également un problème avec la touche ^^ qui me met deux ^ directement, lorsque je fais une recherche google avec firefox (par exemple : virustotal) et que je clique sur le premier résultat il me renvoie sur google.fr (seulement pour certaines recherches) et puis pour finir j'ai remarqué qu'un programme bizarre c'était "taper l'incruste" au démarrage. 

C:\Documents and Settings\Thibault\Application Data\Ehimy\ricu.exe 

Après avoir analysé sur novirusthanks (comme je ne peux pas allé sur virustotal), le fichier en ressort "CLEAN". 

Je poste par conséquent un rapport ZHPDiag. : https://pjjoint.malekal.com/files.php?id=ZHPDiag_20120830_d10e15t6g5o12 

Si quelqu'un peut me venir en aide, je lui en serait très reconnaissant. 

Merci 

PS : je n'ai pas encore fait d'analyse avec avira et malwarebytes. Si ça doit ^^etre fait  il suffit de me le dire ;) (smiley volontaire contrairement à tout ces ^^ qui s'incruste dans mes messages ) 

edit : je précise également la présence de dossiers et fichiers ayant attiré mon attention

C:\Documents and Settings\Thibault\Application Data\Xeluub\egpei.cyu
C:\Documents and Settings\Thibault\Application Data\Ezyrgi (Vide)

La date de modification de ces dossiers/fichiers est très proches de ricu.exe

Configuration: Windows XP / Firefox 15.0

g3n-h@ckm@n · Answer

salut tu es infecté et il faudra que tu changes tous tes mots de passe une fois la desinfection faite

====

Attention !!! : cet outil peut etre détecté à tort comme virus
Attention !!! : cet outil est puissant suivre scrupuleusement les instructions ci-dessous

tous les processus "non vitaux de windows" vont être coupés , enregistre ton travail.

Désactive toutes tes protections si possible , antivirus , sandbox , pare-feux , etc....

telecharge et enregistre Pre_Scan sur ton bureau :

http://forums-fec.be/gen-hackman/Pre_Scan.exe

mirroirs :

http://general-changelog-team.fr/fr/downloads/viewdownload/41-outils-de-gen-hackman/52-pre-scan
http://www.archive-host.com

Avertissement :Il y aura une extinction du bureau pendant le scan --> pas de panique.

une fois telechargé lance-le , laisse faire le scan jusqu'à l'apparition de "Pre_scan_la_date_et_l'heure.txt" sur le bureau.

si l'outil est relancé plusieurs fois , il te proposera un menu et qu'aucune option n'est demandée, lance l'option "Kill"

si l'outil est bloqué par l'infection utilise cette version avec extension .pif :

http://forums-fec.be/gen-hackman/Pre_Scan.pif

si l'outil detecte un proxy et que tu n'en as pas installé clique sur "supprimer le proxy"

Il se peut qu'une multitude de fenêtres noires clignotent , laisse-le travailler

Poste Pre_Scan_la_date_et_l'heure.txt qui apparaitra sur le bureau en fin de scan

Il est possible que l'outil fasse redemarrer ton pc plusieurs fois , laisse-le faire

NE LE POSTE PAS SUR LE FORUM !!! (il est trop long)

Heberge le rapport sur http://pjjoint.malekal.com puis donne le lien obtenu en echange sur le forum où tu te fais aider

thib79 · Answer

Merci de m'aider g3n-h@ckm@n.

Je poste à partir d'un autre PC. Pre_Scan semble bloqué sur HKCR\Applications\wmplayer.exe

Que dois-je faire ?

Ps : "il faudra que tu changes tous tes mots de passe une fois la désinfection faite "
Tu peut pas savoir à quel point mon stress est monté en lisant ce passage...

g3n-h@ckm@n · Answer

laisse tourner pour l instant ...

g3n-h@ckm@n · Answer

l'antivirus est avast ?

thib79 · Answer

Non j'ai avira antivir sur le pc infecté. Je précise que je l'avais désactiver avant de lancer Pre_Scan.

g3n-h@ckm@n · Answer

relance-le en mode sans echec

thib79 · Answer

Ok, je ferme Pre_Scan comment ?

g3n-h@ckm@n · Answer

redemarre à la sauvage

thib79 · Answer

Pre_Scan me propose plusieurs options au lieu d'analyser ?

g3n-h@ckm@n · Answer

Kill

g3n-h@ckm@n · Answer

mmmmmmmmmmmmmmmmm........ bah t'as du faire l'andouille avec un cr*ck j'imagine....

thib79 · Answer

L'ordinateur a redémarrer et Pre_Scan s'est lancée m'est il semble bloqué comme précédemment. Est ce que j'aurais du lancer le mode sans echec au redémarrage ?

g3n-h@ckm@n · Answer

mmmmmmmmmmmm...........mouais.....

g3n-h@ckm@n · Answer

vi ^^

thib79 · Answer

Après d'innombrables essais, le voici : https://pjjoint.malekal.com/files.php?id=20120831_w7k7o11v5i15

g3n-h@ckm@n · Answer

Télécharge et enregistre ADWcleaner sur ton bureau :

ADWCleaner (Merci à Xplode)

Lance le,

(Pour vista et seven => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste son rapport.

thib79 · Answer

Voila le rapport : 

# AdwCleaner v2.000 - Rapport créé le 31/08/2012 à 21:26:45
# Mis à jour le 30/08/2012 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Thibault - P4X-492
# Mode de démarrage : Normal
# Exécuté depuis : C:\Documents and Settings\Thibault\Bureau\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Trymedia
Dossier Supprimé : C:\Documents and Settings\Thibault\Application Data\pdfforge

***** [Registre] *****

Clé Supprimée : HKCU\Software\Softonic

***** [Navigateurs] *****

-\ Internet Explorer v8.0.6001.18702

Restauré : [HKCU\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]
Restauré : [HKU\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes - DefaultScope]

-\ Mozilla Firefox v15.0 (fr)

Nom du profil : default 
Fichier : C:\Documents and Settings\Thibault\Application Data\Mozilla\Firefox\Profiles\h9i9zcf7.default\prefs.js

C:\Documents and Settings\Thibault\Application Data\Mozilla\Firefox\Profiles\h9i9zcf7.default\user.js ... Supprimé !

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S2].txt - [1463 octets] - [31/08/2012 21:26:45]

########## EOF - C:\AdwCleaner[S2].txt - [1523 octets] ##########


PS : J'en suis encore à chercher comment j'ai été infecté, je voulais savoir s'il était possible de se faire infecté en se connectant à un serveur minecraft ? Sinon si tu as vu des indices indiquant l'origine de l'infection, je suis preneur ;)

g3n-h@ckm@n · Answer

pas evident de savoir reellement d'ou vient une infection....

 <
fermer toutes les fenêtres et applications lors de l'installation et de l'analyse.


&#9654 Télécharge ici :

Malwarebytes  

&#9654 Installe le ( choisis bien "francais" ; ne modifie pas les paramètres d'installe ) et mets le à jour .

relance malwarebytes en suivant scrupuleusement ces consignes :

! Déconnecte toi et ferme toutes applications en cours !

&#9654 Lance Malwarebyte's .

Fais un examen dit "Complet" .

&#9654 Laisse le programme travailler ( et ne rien faire d'autre avec le PC durant le scan ).
&#9654 à la fin tu cliques sur "résultat" .
&#9654 Vérifie que tous les objets infectés soient validés, puis clique sur " suppression " .

&#9654 Note : si il faut redémarrer ton PC pour finir le nettoyage, fais le !


&#9654 Poste le rapport sauvegardé après la suppression des objets infectés (dans l'onglet "rapport/log"de Malwarebytes, le dernier en date)

thib79 · Answer

Voici le rapport. Comme il ne m'as trouvé que Pre_Scan je ne l'est pas supprimé.

Malwarebytes Anti-Malware (PRO) 1.62.0.1300
www.malwarebytes.org

Version de la base de données: v2012.08.31.12

Windows XP Service Pack 3 x86 NTFS
Internet Explorer 8.0.6001.18702
Thibault :: P4X-492 [administrateur]

Protection: Activé

31/08/2012 22:23:14
mbam-log-2012-09-01 (00-47-29).txt

Type d'examen: Examen complet (C:\|D:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM | P2P
Options d'examen désactivées: 
Elément(s) analysé(s): 435897
Temps écoulé: 2 heure(s), 23 minute(s), 55 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 1
C:\Documents and Settings\Thibault\Bureau\winlogon.exe (Heuristics.Reserved.Word.Exploit) -> Aucune action effectuée.

(fin)

g3n-h@ckm@n · Answer

ok tu peux supprimer winlogon manuellement :)

des soucis persistent ?

thib79 · Answer

Tout ce qui me semblait suspect à disparu. Je peut écrire correctement le verbe être sans avoir tout le temps ^^ qui s'affiche.

Est ce que je peut également supprimer le dossier Pres_Scan dans C: ?

Est ce que tu aurais une suggestion à me faire au vus de mon système pour mieux me protéger excepté le fait d'être encore plus prudent?

Je te remercie une fois de plus pour l'aide que tu m'as apporté et je me retrouve encore dans la situation où j'ai l'impression que c'est peu comparé à ta bonne volonté ;) .

g3n-h@ckm@n · Answer

lol ^^

de rien ^^
faut faire le menage maintenant ^^

toutes dernieres questions ont une réponse dans ce qui suit :)

https://gen-hackman.kanak.fr/#1037

thib79 · Answer

Voila le rapport Delfix et PureRa

# Mis à jour le 27/07/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
# Nom d'utilisateur : Thibault - P4X-492 (Administrateur)
# Exécuté depuis : D:\Mes Documents\Téléchargements\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Non Supprimé : C:\pre_scan
Supprimé : C:\ZHP
Non Supprimé : C:\Pre_Scan
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : D:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\JavaRa.log
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Documents and Settings\Thibault\Bureau\adwcleaner.exe
Supprimé : C:\Documents and Settings\Thibault\Bureau\Defogger.exe
Supprimé : C:\Documents and Settings\Thibault\Bureau\defogger_disable.log
Supprimé : C:\Documents and Settings\Thibault\Bureau\defogger_enable.log
Supprimé : C:\Documents and Settings\Thibault\Bureau\Pre_Scan_31_08_2012_00_20_38.txt
Supprimé : C:\Documents and Settings\Thibault\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Thibault\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\g3n-h@ckm@n
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [1642 octets] - [01/09/2012 12:01:04]

########## EOF - C:\DelFix[S1].txt - [1766 octets] ##########


RaProducts' PureRa v1.7
Log created at 12:02 on 01/09/2012 (Thibault)

C:\Config.MSI emptied.
C:\Documents and Settings\Thibault\Application Data\Microsoft\CryptNetURLCache\Content emptied.
C:\Documents and Settings\Thibault\Application Data\Microsoft\CryptNetURLCache\MetaData emptied.
C:\WINDOWS\system32\FNTCACHE.DAT <- Successfully deleted.
Recycle bin emptied.
C:\WINDOWS\SoftwareDistribution\DataStore\Logs emptied.
C:\WINDOWS\SoftwareDistribution\Download emptied.
C:\WINDOWS\SoftwareDistribution\SelfUpdate\Default emptied.
C:\WINDOWS\SoftwareDistribution\WuRedir emptied.
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log <- Le processus ne peut pas accéder au fichier car ce fichier est utilisé par un autre processus. 
C:\DOCUME~1\Thibault\LOCALS~1\Temp emptied.
C:\WINDOWS\TEMP emptied.
C:\Documents and Settings\Thibault\Local Settings\Application Data\IconCache.db <- Successfully deleted.

Total space cleaned: 19.23 MB

-=E.O.F=-



Comme tu le vois le dossier Pre_Scan n'as pas été supprimé. Puis je le faire manuellement ?
Je n'ai pas de pare feu, aurait tu une suggestion personnelle pour en choisir un ?
Il ne me reste plus que la défragmentation à faire qui attendre que j'ai fait le ménage dans mes données...

g3n-h@ckm@n · Answer

okben si tu n'es pas très averti en matiere de connnections entrantes/sortants , ports , ets , je te suggère de te contenter du parefeu integré à windows ou à ton antivirus.

==

ils sont programmés pour reagir tous seuls...:)

effectivent bizarre qu il n ait pas été supprimé.....oui essaie manuellement voir

thib79 · Answer

Il ne veut pas me supprimer le dossier.

Concernant le pare-feu, je n'en ai pas avec mon antivirus et j'ai le vague souvenir d'avoir lu que celui de Windows XP était un vraie passoire.

g3n-h@ckm@n · Answer

je te proposerais bien comodo version Firewall seul mais c'est un truc fait pour les gens assez connaisseurs.....(quoi qu'il m'embete pas trop..)  

edit::

je viens de voir qu il m'embetait pas trop parce que ca faisait 2 mois que je l'avais pas reactivé depuis certains tests ^^
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

thib79 · Answer

Ok je vais essayer de trouver des comparatifs sérieux pour en choisir un.
Sinon tu m'as bien fait rire.

Pour ce qui est du dossier Pre_Scan, je le supprime comment ?

g3n-h@ckm@n · Answer

ca dit quoi quand tu essaies de le supprimer ?  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

thib79 · Answer

Impossible de supprimer con.Repertoire vaccin ...

En effet,  Pre_Scan a supprimé une partie des répertoires vaccins que j'avais sur mes disques.
Sinon je peut toujours utilisé l'outil de malwarebytes pour le supprimer...

g3n-h@ckm@n · Answer

ah oui du coup il est devenu insupprimable...va falloir que je revoie cela .... oui fais avec celui de MBAM quoi que je ne sais pas si tu vas pouvoir...au pire je te ferai un truc vite fait si on y parvient pas  
  
¤¤¤¤¤¤¤¤¤¤ Pre_Scan_Concept ¤¤¤¤¤¤¤¤¤¤

thib79 · Answer

Voila, après un petit redémarrage, le dossier Pre_Scan n'est plus qu'un lointain souvenir...

Si tu me dit que c'est bon pour toi, je met résolu :)

g3n-h@ckm@n · Answer

si tu as tout fini , defrag et tout , je vois pas ce qu on peut ajouter....à part bonne continuation :D

thib79 · Answer

Et moi je te remercie une fois de plus et je me souhaite de ne pas revenir sur le forum Virus/Sécurité le plus longtemps possible ;)

g3n-h@ckm@n · Answer

looooooooooool :) au plaisir (dans longtemps j'espere pour toi :) )

Infection (comp bizarre, prog au démarrage)

34 réponses

Discussions similaires