J'ai des virus, virus ! ZUT ! Résolu/Fermé

Question

Bonjour, 

J'ai téléchargé un vpn et comme par magie il y avait des virus... :) (SHIT!)
En gros ça me mettait déjà ''Ce fichier est malveillant'' mais vu que je suis une tête dur je l'ai quand même installé ! 

Avira m'a détecte 3 virus apparemment un trojan et deux DR/ Fake pic. Gen machin truc... 

Quelqu'un pourrait m'enlever/ analyser tout ça s.v.p j'ai besoin d'aide.

Bonne soirée à vous !

Configuration: Windows 7 / Chrome 24.0.1312.52

juju666 · Accepted Answer

Hello,

1) Inutile de upper 48 fois. Je vais faire un peu de ménage.

2) +1 lili. C'est bourré d'adwares !

Relancer AdwCleaner en suppression avant toute autre action et poster le rapport.

@+

FirstSky · Answer

Up

dioulou · Answer

Bon c'est peut-être rien mais vu que personne t'aide je vais faire mon maximum. Peut-être que tu as aussi des adwares.

===> Télécharge et enregistre ADWcleaner sur ton bureau (Merci à Xplode) : 

http://general-changelog-team.fr/fr/downloads/viewdownload/20-outils-de-xplode/2-adwcleaner 


Lance le, clique sur rechercher et poste son rapport.


Après pour le reste je sais pas, UP!

FirstSky · Answer

# Option [Recherche]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Présent : C:\Program Files (x86)\Conduit
Dossier Présent : C:\Program Files (x86)\uTorrentBar_FR
Dossier Présent : C:\Program Files (x86)\Zoomex
Dossier Présent : C:\ProgramData\InstallMate
Dossier Présent : C:\Users\Alban\AppData\Local\Conduit
Dossier Présent : C:\Users\Alban\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
Dossier Présent : C:\Users\Alban\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
Dossier Présent : C:\Users\Alban\AppData\LocalLow\Conduit
Dossier Présent : C:\Users\Alban\AppData\LocalLow\PriceGong
Dossier Présent : C:\Users\Alban\AppData\LocalLow\uTorrentBar_FR

***** [Registre] *****

Clé Présente : HKCU\Software\AppDataLow\Software\Conduit
Clé Présente : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Clé Présente : HKCU\Software\AppDataLow\Software\PriceGong
Clé Présente : HKCU\Software\AppDataLow\Software\SmartBar
Clé Présente : HKCU\Software\AppDataLow\Software\uTorrentBar_FR
Clé Présente : HKCU\Software\AppDataLow\SProtector
Clé Présente : HKCU\Software\AppDataLow\Toolbar
Clé Présente : HKCU\Software\Conduit
Clé Présente : HKCU\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
Clé Présente : HKCU\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D6533F74-218B-41BE-9D91-5BD471FECFFD}
Clé Présente : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Clé Présente : HKCU\Software\StartSearch
Clé Présente : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
Clé Présente : HKLM\Software\Conduit
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D6533F74-218B-41BE-9D91-5BD471FECFFD}
Clé Présente : HKLM\Software\SP Global
Clé Présente : HKLM\Software\SProtector
Clé Présente : HKLM\Software\uTorrentBar_FR
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D6533F74-218B-41BE-9D91-5BD471FECFFD}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{3344EE28-ED58-44F8-B151-38FBB55E8EEF}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E5DE0ED5-D5F7-4198-B5E6-00D3283904AE}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Clé Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar_FR Toolbar
Clé Présente : HKLM\SOFTWARE\Classes\CLSID\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Clé Présente : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Présente : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Présente : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Présente : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16457

[HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2851639

-\ Google Chrome v24.0.1312.52

Fichier : C:\Users\Alban\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [5169 octets] - [23/01/2013 17:29:31]
AdwCleaner[R2].txt - [5104 octets] - [23/01/2013 17:29:51]

########## EOF - C:\AdwCleaner[R2].txt - [5164 octets] ##########

dioulou · Answer

Re, j'ai pris le temp de zieuté quelques sujet avec des gens qui avait des virus et j'ai regardé ce que les helpeurs avait posté pour les aidés. Sinon pour les adwares R.A.S. 

-__-__--__-__--__-__--__-__--__-__--__-__--__-__--__-__--__-__--__-__--__-__--__-__--__-__-_ 

Télécharge et installe Malwarebytes' Anti-Malware (MBAM).  

Exécute-le. Accepte la mise à jour.  

Sélectionne "Exécuter un examen complet"  
Clique sur "Rechercher"  
L'analyse démarre, le scan est relativement long, c'est normal.  

A la fin de l'analyse, un message s'affiche :  

Citation :  

L'examen s'est terminé normalement. Clique sur 'Afficher les résultats' pour afficher tous les objets trouvés.  

Clique donc sur Afficher les résultats.  
 Sélectionne tout (ou laisse coché) et clique sur Supprimer la sélection, MBAM va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine.  
MBAM va ouvrir le Bloc-notes et y copier le rapport d'analyse : ferme le.  

Si MBAM demande à redémarrer ton PC faitle. 

-__-__--__-__--__-__--__-__--__-__--__-__--__-__--__-__--__-__--__-__--__-__--__-__--__-__-_

FirstSky · Answer

Voilà et merci juju :)

Rapport créé le 23/01/2013 à 21:05:33
# Mis à jour le 21/01/2013 par Xplode
# Système d'exploitation : Windows 7 Professional Service Pack 1 (64 bits)
# Nom d'utilisateur : Alban - ALBAN-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Alban\Downloads\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\Program Files (x86)\uTorrentBar_FR
Dossier Supprimé : C:\Program Files (x86)\Zoomex
Dossier Supprimé : C:\ProgramData\InstallMate
Dossier Supprimé : C:\Users\Alban\AppData\Local\Conduit
Dossier Supprimé : C:\Users\Alban\AppData\Local\Google\Chrome\User Data\Default\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
Dossier Supprimé : C:\Users\Alban\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\Alban\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Users\Alban\AppData\LocalLow\uTorrentBar_FR

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\AppDataLow\Software\uTorrentBar_FR
Clé Supprimée : HKCU\Software\AppDataLow\SProtector
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D6533F74-218B-41BE-9D91-5BD471FECFFD}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Clé Supprimée : HKCU\Software\StartSearch
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2851639
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{D6533F74-218B-41BE-9D91-5BD471FECFFD}
Clé Supprimée : HKLM\Software\SP Global
Clé Supprimée : HKLM\Software\SProtector
Clé Supprimée : HKLM\Software\uTorrentBar_FR
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{D6533F74-218B-41BE-9D91-5BD471FECFFD}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{3344EE28-ED58-44F8-B151-38FBB55E8EEF}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E5DE0ED5-D5F7-4198-B5E6-00D3283904AE}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\uTorrentBar_FR Toolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F9E4A054-E9B1-4BC3-83A3-76A1AE736170}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{05EEB91A-AEF7-4F8A-978F-FB83E7B03F8E}]

***** [Navigateurs] *****

-\ Internet Explorer v9.0.8112.16457

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://search.conduit.com/?SearchSource=10&ctid=CT2851639 --> hxxp://www.google.com

-\ Google Chrome v24.0.1312.52

Fichier : C:\Users\Alban\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[R1].txt - [5169 octets] - [23/01/2013 17:29:31]
AdwCleaner[R2].txt - [5229 octets] - [23/01/2013 17:29:51]
AdwCleaner[S1].txt - [4937 octets] - [23/01/2013 21:05:33]

########## EOF - C:\AdwCleaner[S1].txt - [4997 octets] ##########

juju666 · Answer

OK.
Tu peux passer à malwarebytes.
Bien faire un scan complet et tout supprimer.

En attente du rapport.

FirstSky · Answer

Voilà :)
lwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.01.18.11

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Alban :: ALBAN-PC [administrateur]

Protection: Activé

19.01.2013 01:17:19
mbam-log-2013-01-19 (01-17-19).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 44373
Temps écoulé: 3 minute(s), 37 seconde(s) [abandonné]

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

juju666 · Answer

Examen complet en 3 minutes o_O

Encore des soucis ?

FirstSky · Answer

Mince j'ai pris le mauvais rapport...

FirstSky · Answer

Voilà :p
Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.01.19.05

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
Alban :: ALBAN-PC [administrateur]

Protection: Activé

19.01.2013 09:54:06
mbam-log-2013-01-19 (09-54-06).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 380016
Temps écoulé: 31 minute(s), 7 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 0
(Aucun élément nuisible détecté)

(fin)

juju666 · Answer

ah ué en plus ^^

sinon le pc ça donne quoi ?

FirstSky · Answer

Bah, justement je n'ai eu aucun problème à part avast qui m'avertissait des url... et qu'il a trouvé 2 chevaux de Troie. Sinon comment savoir que je suis à 99.9% sûr que tout est supprimé... ?

juju666 · Answer

Avec un diagnostic complet :

Télécharge ici :OTL

&#9654 enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...." 

sur OTL.exe pour le lancer.

&#9654 => Clique ici pour voir la Configuration
Note : si l'option "Avec analyses 64 bits" apparaît, coche la.

&#9654 Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
services.exe
volsnap.sys
atapi.sys
ndisuio.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT 
SAVEMBR:0

&#9654 Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

&#9654&#9654&#9654 NE LES POSTE PAS SUR LE FORUM (ils sont trop longs)

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

FirstSky · Answer

Voilà :)
https://forums-fec.be/upload/www/?action=d&id=1636318456
https://forums-fec.be/upload/www/?action=d&id=0766482614

juju666 · Answer

Désinstalle HotSpotShield ça sert à rien ce truc à part ralentir tes navigateurs :)

Fais gaffe avec µTorrent
D'ailleurs désinstalle µTorrent toolbar ça sert à rien

Désinstalle aussi BingBar

Sinon c'est propre :)

FirstSky · Answer

Merci beaucoup et sinon tu désinstalle ou le toolbar des deux logiciels ?

juju666 · Answer

Dans le panneau de configuration :)

FirstSky · Answer

Merci beaucoup juju je peux mettre ça en résolu !

juju666 · Answer

hop hop hop

le final stp : https://forums-fec.be/entraide/viewtopic.php?f=11&t=229

J'ai des virus, virus ! ZUT !

20 réponses

Discussions similaires