Espion

Résolu
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention   -  
yoann090 Messages postés 10597 Statut Contributeur sécurité -
Bonsoir,

Je me suis fait avoir par un site malveillant ou dans le quel il me demandais de mettre a jour adobe flash pour lire une vidéo . Une fois cela fait la vidéo restait illisible et donc j ai laisser tomber.

Par ailleurs, j ai constater des des intrusions sur certain jeu internet qui avais rapport avec la vidéo .

J'ai donc fait une analyse de mon pc ainsi qu une analyse d un amis a moi qui a réaliser la même manipulation que moi .
Voici le résulta des deux analyse :
https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130215_j10c14w7o11v12

J aurais donc besoin de votre aide pour crypter se qu'il est dit dans cette analyse merci d'avance!
A voir également:

23 réponses

  • 1
  • 2
Réponse 1 / 23
yoann090 Messages postés 10597 Statut Contributeur sécurité 1 690
 
Bonjour, pour décrypter peut être non. ^^

La je m'occupe du pc de Dorian.

Avant de traiter cet éventuel faux plugin, il y a pleins d'adware donc :

Télécharge AdwCleaner ici : https://toolslib.net


( d'Xplode ) sur ton bureau :

Lance le, clique sur *[Suppression]* puis patiente le temps du scan.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Les toolbars, c'est pas obligatoire ( par Malekal ) :https://forum.malekal.com/viewtopic.php?t=6173&start=
0
Réponse 2 / 23
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Re voila voila merci pour l aide !

# AdwCleaner v2.112 - Rapport créé le 15/02/2013 à 23:45:44
# Mis à jour le 10/02/2013 par Xplode
# Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
# Nom d'utilisateur : DORIAN - DORIAN-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\DORIAN\Downloads\adwcleaner0 (1).exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Program Files (x86)\Conduit
Dossier Supprimé : C:\Program Files (x86)\Funmoods
Dossier Supprimé : C:\Program Files (x86)\Giant Savings Extension
Dossier Supprimé : C:\Program Files (x86)\search results toolbar
Dossier Supprimé : C:\Program Files (x86)\Vuze_Remote
Dossier Supprimé : C:\ProgramData\boost_interprocess
Dossier Supprimé : C:\ProgramData\Partner
Dossier Supprimé : C:\Users\DORIAN\AppData\Local\Conduit
Dossier Supprimé : C:\Users\DORIAN\AppData\Local\Giant Savings Extension
Dossier Supprimé : C:\Users\DORIAN\AppData\Local\Google\Chrome\User Data\Default\Extensions\bbjciahceamgodcoidkjpchnokgfpphh
Dossier Supprimé : C:\Users\DORIAN\AppData\Local\Google\Chrome\User Data\Default\Extensions\cjpglkicenollcignonpgiafdgfeehoj
Dossier Supprimé : C:\Users\DORIAN\AppData\Local\Google\Chrome\User Data\Default\Extensions\halffneccaebicfdfajnbfgpglahfgoe
Dossier Supprimé : C:\Users\DORIAN\AppData\Local\Temp\{f34c9277-6577-4dff-b2d7-7d58092f272f}
Dossier Supprimé : C:\Users\DORIAN\AppData\Local\Temp\boost_interprocess
Dossier Supprimé : C:\Users\DORIAN\AppData\LocalLow\Conduit
Dossier Supprimé : C:\Users\DORIAN\AppData\LocalLow\ilividtoolbarguid
Dossier Supprimé : C:\Users\DORIAN\AppData\LocalLow\PriceGong
Dossier Supprimé : C:\Users\DORIAN\AppData\LocalLow\Vuze_Remote
Dossier Supprimé : C:\Users\DORIAN\AppData\Roaming\Funmoods
Fichier Supprimé : C:\END
Fichier Supprimé : C:\Users\DORIAN\AppData\Local\funmoods-speeddial_sf.crx
Fichier Supprimé : C:\Users\DORIAN\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_bbjciahceamgodcoidkjpchnokgfpphh_0.localstorage
Fichier Supprimé : C:\Users\DORIAN\AppData\Local\Google\Chrome\User Data\Default\Local Storage\chrome-extension_cjpglkicenollcignonpgiafdgfeehoj_0.localstorage

***** [Registre] *****

Clé Supprimée : HKCU\Software\APN DTX
Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\ConduitSearchScopes
Clé Supprimée : HKCU\Software\AppDataLow\Software\Crossrider
Clé Supprimée : HKCU\Software\AppDataLow\Software\Giant Savings Extension
Clé Supprimée : HKCU\Software\AppDataLow\Software\ilividtoolbarguid
Clé Supprimée : HKCU\Software\AppDataLow\Software\PriceGong
Clé Supprimée : HKCU\Software\AppDataLow\Software\SmartBar
Clé Supprimée : HKCU\Software\AppDataLow\Software\Vuze_Remote
Clé Supprimée : HKCU\Software\AppDataLow\Toolbar
Clé Supprimée : HKCU\Software\Conduit
Clé Supprimée : HKCU\Software\Cr_Installer
Clé Supprimée : HKCU\Software\DataMngr
Clé Supprimée : HKCU\Software\DataMngr_Toolbar
Clé Supprimée : HKCU\Software\Funmoods
Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\bbjciahceamgodcoidkjpchnokgfpphh
Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj
Clé Supprimée : HKCU\Software\ilivid
Clé Supprimée : HKCU\Software\ilividtoolbarguid
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\InstalledBrowserExtensions
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{BA14329E-9550-4989-B3F2-9732E92D17CC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{F34C9277-6577-4DFF-B2D7-7D58092F272F}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{BA14329E-9550-4989-B3F2-9732E92D17CC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{F34C9277-6577-4DFF-B2D7-7D58092F272F}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{D97A8234-F2A2-4AD4-91D5-FECDB2C553AF}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{EA28B360-05E0-4F93-8150-02891F1D8D3C}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\BrowserConnection.dll
Clé Supprimée : HKLM\SOFTWARE\Classes\Applications\ilividsetup.exe
Clé Supprimée : HKLM\SOFTWARE\Classes\BrowserConnection.Loader
Clé Supprimée : HKLM\SOFTWARE\Classes\BrowserConnection.Loader.1
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0021810.BHO
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0021810.BHO.1
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0021810.Sandbox
Clé Supprimée : HKLM\SOFTWARE\Classes\CrossriderApp0021810.Sandbox.1
Clé Supprimée : HKLM\SOFTWARE\Classes\iLividIEHelper.DNSGuard
Clé Supprimée : HKLM\SOFTWARE\Classes\iLividIEHelper.DNSGuard.1
Clé Supprimée : HKLM\SOFTWARE\Classes\Toolbar.CT2504091
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{1FDC0B61-91AC-4157-9B27-CAD9A09AB67E}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{75E8DA27-44AF-40AE-927C-F2EEC99D65B1}
Clé Supprimée : HKLM\Software\Conduit
Clé Supprimée : HKLM\Software\DataMngr
Clé Supprimée : HKLM\Software\iLividSRTB
Clé Supprimée : HKLM\Software\InstallCore
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstallerStub_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstallerStub_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\FunmoodsSetup_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\FunmoodsSetup_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings Extension_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings Extension_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings Extension-InternalInstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\Giant Savings Extension-InternalInstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLivid_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLivid_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividMediaBar_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividMediaBar_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetup_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\iLividSetup_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\SetupDataMngr_Searchqu_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110211181110}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{E30ED111-BD63-48C2-A6CB-AB3C9FFFB07C}
Clé Supprimée : HKLM\Software\Vuze_Remote
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{11111111-1111-1111-1111-110211181110}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{3C471948-F874-49F5-B338-4F214A2EE0B1}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{9FF9AE6F-4553-41A7-B645-B0E88850EABF}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{BA14329E-9550-4989-B3F2-9732E92D17CC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{CE4DB5A3-58E6-41F1-8761-47238DF4F468}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{E30ED111-BD63-48C2-A6CB-AB3C9FFFB07C}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\CLSID\{F34C9277-6577-4DFF-B2D7-7D58092F272F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\bbjciahceamgodcoidkjpchnokgfpphh
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110211181110}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110211181110}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{446E4154-4119-4B33-A2B8-2D57217E799D}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{E20717F0-A77E-4E6E-848D-534BA0D6B277}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{F34C9277-6577-4DFF-B2D7-7D58092F272F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11111111-1111-1111-1111-110211181110}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{BA14329E-9550-4989-B3F2-9732E92D17CC}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F34C9277-6577-4DFF-B2D7-7D58092F272F}
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Funmoods
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Giant Savings Extension
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\ilividtoolbarguid
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Search Results Toolbar
Clé Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\Vuze_Remote Toolbar
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{9FF9AE6F-4553-41A7-B645-B0E88850EABF}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{CE4DB5A3-58E6-41F1-8761-47238DF4F468}
Clé Supprimée : HKLM\SOFTWARE\DataMngr
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\bbjciahceamgodcoidkjpchnokgfpphh
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\cjpglkicenollcignonpgiafdgfeehoj
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{9BB47C17-9C68-4BB3-B188-DD9AF0FD2406}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{C1ED9DA0-AFD0-4B90-AC6A-D3874F591014}
Donnée Supprimée : [x64] HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\x64\datamngr.dll
Donnée Supprimée : [x64] HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\x64\IEBHO.dll
Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\datamngr.dll
Donnée Supprimée : HKLM\..\Windows [AppInit_DLLs] = C:\PROGRA~2\SEARCH~1\Datamngr\IEBHO.dll
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{BA14329E-9550-4989-B3F2-9732E92D17CC}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{BA14329E-9550-4989-B3F2-9732E92D17CC}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\URLSearchHooks [{BA14329E-9550-4989-B3F2-9732E92D17CC}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [DataMngr]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{BA14329E-9550-4989-B3F2-9732E92D17CC}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [{F34C9277-6577-4DFF-B2D7-7D58092F272F}]
Valeur Supprimée : HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar [10]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [10]

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16464

Remplacé : [HKCU\Software\Microsoft\Internet Explorer\Main - Start Page] = hxxp://www.searchnu.com/406 --> hxxp://www.google.com

-\\ Google Chrome v24.0.1312.57

Fichier : C:\Users\DORIAN\AppData\Local\Google\Chrome\User Data\Default\Preferences

Supprimée [l.14] : homepage = "hxxp://searchfunmoods.com/?f=1&a=ironpub12&cd=2XzuyEtN2Y1L1QzuyBzz0EyEtDtD0DtAzyy[...]
Supprimée [l.47] : icon_url = "hxxp://searchfunmoods.com/favicon.ico",
Supprimée [l.50] : keyword = "funmoods.com",
Supprimée [l.53] : search_url = "hxxp://searchfunmoods.com/results.php?f=4&q={searchTerms}&a=ironpub12&cd=2XzuyE[...]
Supprimée [l.1812] : homepage = "hxxp://searchfunmoods.com/?f=1&a=ironpub12&cd=2XzuyEtN2Y1L1QzuyBzz0EyEtDtD0DtAzyyC0C[...]

*************************

AdwCleaner[S1].txt - [12787 octets] - [15/02/2013 23:45:44]

########## EOF - C:\AdwCleaner[S1].txt - [12848 octets] ##########
0
Réponse 3 / 23
yoann090 Messages postés 10597 Statut Contributeur sécurité 1 690
 
Ok, fais un scan complet avec MBAM, ça risque de prendre un certain temps donc fini ce que tu es en train de faire et laisse tourner. Tutoriel ici : http://www.security-helpzone.com/Thread-MalwareBytes-Anti-Malware-MBAM-Scan-complet

++
0
Réponse 4 / 23
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
RE dans les rapport 2 choses différentes son apparu .

premier chose:

Malwarebytes Anti-Malware (Essai) 1.70.0.1100
www.malwarebytes.org

Version de la base de données: v2013.02.15.09

Windows 7 Service Pack 1 x64 NTFS
Internet Explorer 9.0.8112.16421
DORIAN :: DORIAN-PC [administrateur]

Protection: Activé

16/02/2013 00:10:10
mbam-log-2013-02-16 (00-10-10).txt

Type d'examen: Examen complet (C:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 374663
Temps écoulé: 1 heure(s), 1 minute(s), 30 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 1
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Mis en quarantaine et supprimé avec succès.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 1

C:\Users\DORIAN\AppData\Roaming\dclogs (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.
Fichier(s) détecté(s): 3
C:\Users\DORIAN\Downloads\avs media player (1).exe (PUP.Offerware) -> Mis en quarantaine et supprimé avec succès.
C:\Users\DORIAN\Downloads\avs media player.exe (PUP.Offerware) -> Mis en quarantaine et supprimé avec succès.
C:\Users\DORIAN\AppData\Roaming\dclogs\2013-02-15-6.dc (Stolen.Data) -> Mis en quarantaine et supprimé avec succès.

(fin)


2é choses :
2013/02/16 00:04:03 +0100 DORIAN-PC DORIAN MESSAGE Starting protection
2013/02/16 00:04:03 +0100 DORIAN-PC DORIAN MESSAGE Protection started successfully
2013/02/16 00:04:03 +0100 DORIAN-PC DORIAN MESSAGE Starting IP protection
2013/02/16 00:04:06 +0100 DORIAN-PC DORIAN MESSAGE IP Protection started successfully
2013/02/16 00:04:22 +0100 DORIAN-PC DORIAN MESSAGE Starting database refresh
2013/02/16 00:04:22 +0100 DORIAN-PC DORIAN MESSAGE Stopping IP protection
2013/02/16 00:04:22 +0100 DORIAN-PC DORIAN MESSAGE IP Protection stopped successfully
2013/02/16 00:04:27 +0100 DORIAN-PC DORIAN MESSAGE Database refreshed successfully
2013/02/16 00:04:27 +0100 DORIAN-PC DORIAN MESSAGE Starting IP protection
2013/02/16 00:04:33 +0100 DORIAN-PC DORIAN MESSAGE IP Protection started successfully
2013/02/16 00:07:59 +0100 DORIAN-PC DORIAN MESSAGE Stopping IP protection
2013/02/16 00:07:59 +0100 DORIAN-PC DORIAN MESSAGE IP Protection stopped successfully
2013/02/16 00:08:00 +0100 DORIAN-PC DORIAN MESSAGE Protection stopped
2013/02/16 00:08:08 +0100 DORIAN-PC DORIAN MESSAGE Starting protection
2013/02/16 00:08:08 +0100 DORIAN-PC DORIAN MESSAGE Protection started successfully
2013/02/16 00:08:08 +0100 DORIAN-PC DORIAN MESSAGE Starting IP protection
2013/02/16 00:08:11 +0100 DORIAN-PC DORIAN MESSAGE IP Protection started successfully
2013/02/16 00:08:40 +0100 DORIAN-PC DORIAN MESSAGE Starting database refresh
2013/02/16 00:08:40 +0100 DORIAN-PC DORIAN MESSAGE Stopping IP protection
2013/02/16 00:08:40 +0100 DORIAN-PC DORIAN MESSAGE IP Protection stopped successfully
2013/02/16 00:08:44 +0100 DORIAN-PC DORIAN MESSAGE Database refreshed successfully
2013/02/16 00:08:44 +0100 DORIAN-PC DORIAN MESSAGE Starting IP protection
2013/02/16 00:08:51 +0100 DORIAN-PC DORIAN MESSAGE IP Protection started successfully
2013/02/16 15:58:49 +0100 DORIAN-PC DORIAN MESSAGE Starting protection
2013/02/16 15:58:49 +0100 DORIAN-PC DORIAN MESSAGE Protection started successfully
2013/02/16 15:58:49 +0100 DORIAN-PC DORIAN MESSAGE Starting IP protection
2013/02/16 15:58:56 +0100 DORIAN-PC DORIAN MESSAGE IP Protection started successfully
2013/02/16 16:00:30 +0100 DORIAN-PC DORIAN DETECTION C:\Windows\Keygen.exe RiskWare.Tool.CK QUARANTINE
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Réponse 5 / 23
yoann090 Messages postés 10597 Statut Contributeur sécurité 1 690
 
Re,

Attention avec les Keygen (C:\Windows\Keygen.exe ), ils sont souvent infectieux. Voir : https://forum.malekal.com/viewtopic.php?t=893&start=

A la fin de la désinfection, il faudra changer tes mots de passe, certains ont pu être récupérés;

On va faire un diagnostique du pc, suis ce tutoriel : http://www.security-helpzone.com/Thread-ZHPDiag-Generer-un-rapport

Puis donne le lien du rapport hébergé.
0
Réponse 6 / 23
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Ok super !
je vais faire ça de-suite !
0
Réponse 7 / 23
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Voila chose fait !

Voilà le lien
https://www.cjoint.com/?CBqsPy0zHV4
0
Réponse 8 / 23
yoann090 Messages postés 10597 Statut Contributeur sécurité 1 690
 
Office est un Cr*ck ?
0
Réponse 9 / 23
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Je ne serais plus dire en touts cas je ne les pas acheter ^^
0
Réponse 10 / 23
yoann090 Messages postés 10597 Statut Contributeur sécurité 1 690
 
Bon ben voila s'en est un. Soit tu les désinstalle soit on arrête la discussion ici, ça ne sert à rien de désinfecter un ordi contenant des cr*cks...
0
Réponse 11 / 23
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Je vais le désinstaller , Mais il n y a pas moyen de voir si sens est vraiment un? Je me dit que je les peut être eu avec mon pc .
0
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
je viens d envoyer un message a celui qui c est occuper d installer tout les programme de base quand j ai acheter mon pc j attend ça réponse et ont fera en fonction de ça .
0
yoann090 Messages postés 10597 Statut Contributeur sécurité 1 690
 
C'est un Keygen ça c'est sur après je voulais être sur que c'était celui d'Office.
0
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Pas de souci . Je vais désinstaller tout ça alors .
0
yoann090 Messages postés 10597 Statut Contributeur sécurité 1 690
 
Quand c'est fait refait un ZHPDiag.
0
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Ok
0
Réponse 12 / 23
yoann090 Messages postés 10597 Statut Contributeur sécurité 1 690
 
ok,

Copie le texte en gras ci dessous :

SysRestore
[MD5.00000000000000000000000000000000] [APT] [Funmoods] (...) -- C:\Users\DORIAN\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.exe (.not file.) => Infection PUP (PUP.Funmoods)
[HKCU\Software\DM] => Infection PUP (PUP.BearShare)
O69 - SBI: SearchScopes [HKCU] {6C830890-4E63-42FA-9CDC-FF1D04FE73A2} - (Web Search) - http://search.conduit.com => Infection BT (Adware.Bandoo)
C:\Users\DORIAN\AppData\Local\Google\Chrome\User Data\Default\Extensions\halffneccaebicfdfajnbfgpglahfgoe => Infection PUP (Adware.VidSaver)
O4 - HKCU\..\Run: [install_adobe (1).exe] C:\Users\DORIAN\Downloads\install_adobe (1).exe (.not file.)
O4 - HKCU\..\Run: [install_adobe.exe] C:\Users\DORIAN\Downloads\install_adobe.exe (.not file.)
O4 - HKUS\S-1-5-21-320479419-1394262641-2802916717-1000\..\Run: [install_adobe (1).exe] C:\Users\DORIAN\Downloads\install_adobe (1).exe (.not file.)
O4 - HKUS\S-1-5-21-320479419-1394262641-2802916717-1000\..\Run: [install_adobe.exe] C:\Users\DORIAN\Downloads\install_adobe.exe (.not file.)
C:\Windows\AutoKMS.exe => Infection Diverse (Trojan.Keygen)
[MD5.58177776756F9696B0F200A01612DC11] [APT] [AutoKMS] (.Microsoft.) -- C:\Windows\AutoKMS.exe => Infection Diverse (Trojan.Keygen)
G1 - GCS: Preference [User Data\Default] http://searchfunmoods.com
EmptyTemp
EmptyCLSID
FirewallRaz

Puis suis ce tutoriel : http://www.security-helpzone.com/Thread-ZHPFix-Script
0
Réponse 13 / 23
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Ok merci encore pour tout l aide
0
Réponse 14 / 23
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Voila le rapport


Rapport de ZHPFix 1.3.16 par Nicolas Coolman, Update du 15/02/2013
Fichier d'export Registre :
Run by DORIAN at 16/02/2013 21:23:54
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Windows\AutoKMS.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\DM
SUPPRIME Key: SearchScopes :{6C830890-4E63-42FA-9CDC-FF1D04FE73A2}

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: install_adobe (1).exe
SUPPRIME RunValue: install_adobe.exe
ABSENT RunValue: install_adobe (1).exe
ABSENT RunValue: install_adobe.exe
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIME FirewallRaz (Public) : NetPres-In-TCP
SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIME FirewallRaz (None) : {86D76801-39D9-4608-B5E1-95BAB60ACF3B}
SUPPRIME FirewallRaz (Private) : {B804FD0F-8E80-42E2-B5DF-79011D101531}
SUPPRIME FirewallRaz (Private) : {684C00D7-E427-499D-AE40-DD02AE12BB04}
SUPPRIME FirewallRaz (Private) : TCP Query User{F61E3C18-83C3-4A89-9B51-7844100AB4D0}C:\windows\keygen.exe
SUPPRIME FirewallRaz (Private) : UDP Query User{DEDB7006-2B10-4AF8-990D-8DDD9B4AF70C}C:\windows\keygen.exe
SUPPRIME FirewallRaz (Private) : {25D87EC2-40FD-4DD9-BBC3-47EAE670BC21}
SUPPRIME FirewallRaz (Private) : {B433662B-5327-4E9E-9FCB-213F23CC84C8}

========== Préférences navigateur ==========
PRESENT Chrome File: C:\Users\DORIAN\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: http://searchfunmoods.com
SUPPRIME Chrome Site: http://searchfunmoods.com

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichier(s) ==========
ABSENT File: c:\users\dorian\downloads\install_adobe (1).exe
ABSENT File: c:\users\dorian\downloads\install_adobe.exe
SUPPRIME File: c:\windows\autokms.exe
ABSENT Folder/File: c:\windows\autokms.exe
SUPPRIME Temporaires Windows

========== Tache planifiée ==========
SUPPRIME Task: Funmoods
SUPPRIME Task: AutoKMS

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
1 : Processus mémoire
2 : Clé(s) du Registre
19 : Valeur(s) du Registre
1 : Dossier(s)
5 : Fichier(s)
3 : Préférences navigateur
2 : Tache planifiée
1 : Restauration Système


End of clean in 00mn 49s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 16/02/2013 21:23:56 [2759]
0
Réponse 15 / 23
yoann090 Messages postés 10597 Statut Contributeur sécurité 1 690
 
Bien, on désinstalle les outils de désinfection :

* Télécharge DelFix(d'Xplode) sur ton bureau.
* Lance le, laisse la case précochée
* Clique ensuite sur Exécuter puis patiente pendant le processus de suppression.
* Le rapport sera enregistré dans le presse-papier. Il te suffit de revenir ici et de faire Clic droit coller, le rapport apparaitra.
0
Réponse 16 / 23
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Hop


# DelFix v10.0 - Rapport créé le 16/02/2013 à 22:12:08
# Mis à jour le 04/01/2013 par Xplode
# Nom d'utilisateur : DORIAN - DORIAN-PC

~ Suppression des outils de désinfection ...

Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files (x86)\ZHPDiag
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Users\DORIAN\Desktop\ZHPDiag nouveau
Supprimé : C:\Users\DORIAN\Desktop\ZHPDiag nouveau 2
Supprimé : C:\Users\DORIAN\Desktop\ZHPDiag.txt
Supprimé : C:\Users\DORIAN\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\DORIAN\Downloads\adwcleaner0 (1).exe
Supprimé : C:\Users\DORIAN\Downloads\adwcleaner0.exe
Supprimé : C:\Users\DORIAN\Downloads\ZHPDiag2.exe
Supprimée : HKLM\SOFTWARE\AdwCleaner
Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1

########## - EOF - ##########
0
Réponse 17 / 23
yoann090 Messages postés 10597 Statut Contributeur sécurité 1 690
 
Ok ben si tu as pas d'autres questions pour moi c'est bon.
0
Réponse 18 / 23
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
Grand merci à vous pour votre aide . Je pense que j 'ai eu de la chance de tomber sur quelqu'un qui métrite la chose !

J'aimerais juste savoir si je peux réinstaller office? Et si selon vous le risque est faible pour qu'il reste des trace de fichier infecter sur cette ordinateur?

Encore un grand merci en tout cas pour l aide et la patience !
0
Réponse 19 / 23
yoann090 Messages postés 10597 Statut Contributeur sécurité 1 690
 
Tu fais comme tu veux, après je t'ai prévenu des dangers.
0
Réponse 20 / 23
Citimex Messages postés 17 Date d'inscription   Statut Membre Dernière intervention  
 
L'office je l avais depuis que j ai eu mon pc mais il se peu quil se soit fait infectée en coure de route c'est bien ça?
0

Discussions similaires

Logiciel espion téléphone
Lolotte -
credasbin -

23 réponses
Quel logiciel anti-espion choisir ?
ksar -
Barlatshi -

49 réponses