Malware espion dans mon pc.

Fermé
Jake34 - 26 févr. 2013 à 19:28
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 - 27 févr. 2013 à 09:48
Bonjour,

Après avoir téléchargé un logiciel qui s'appelle Bearshare, j'ai été victime d'une fraude de ma CB, est ce que quelqu'un pourrait me donner une solution pour etre sure d'éradiquer complètement tout sur mon pc svp. J'ai déjà utilisé Hijackthis, spybot et security task manager en éliminant tout ce qui me paraissait suspect.

Merci pour votre aide.

A voir également:

12 réponses

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
26 févr. 2013 à 19:34
Salut,

spybot et security task manager

Poubelle ils servent à rien

Hijackthis est obsolète.

Évite de télécharger sur softonic et 01Net c'est pourri !

Attention à ce que tu installes :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme Softonic ou 01Net.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
Au final, il est pas conseillé d'en utiliser.

Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

voir aussi : http://tigzyrk.blogspot.be/2012/06/info-01net-comment-monetiser-sur-le-dos.html

On va s'occuper de l'éradiquer.

Télécharge sur cette page: AdwCleaner (de Xplode)

▶ Lance-le

clique sur Suppression et patiente le temps du nettoyage.

▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

Bonne soirée
1
Par contre adwcleaner n'éradique pas tout ce qu'il y'a de potentiellement dangereux dans la base de registre si je ne me trompe pas et d'après ce que j'ai compris l'espion en cause est dans le système.
1
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
26 févr. 2013 à 19:33
salut desinstalle spybot c'est de la crotte en barre...

=======================

Télécharge et enregistre ADWCleaner sur ton bureau :

Lance le,(Pour vista/7/8 => clic droit "executer en tant qu'administrateur")

clique sur suppression et poste C:\Adwcleaner[Sx].txt
0
Bonjour,

Merci mais je ne comprend pas bien l'utilité d'une restauration système, une mise à niveau du système ok mais qu'est ce que va m'apporter la restauration svp?

Merci.
0
@@@@@@@@@ Messages postés 43 Date d'inscription dimanche 24 février 2013 Statut Membre Dernière intervention 26 juillet 2013 8
26 févr. 2013 à 19:39
C'est une maniere sur car ça remet votre ordinateur a l'état qu'il était a un moment donné.
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
26 févr. 2013 à 19:41
ca restaure les infections aussi....
0
@@@@@@@@@ Messages postés 43 Date d'inscription dimanche 24 février 2013 Statut Membre Dernière intervention 26 juillet 2013 8
26 févr. 2013 à 19:44
oui si c'est du a un logiciel télécharger !
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
26 févr. 2013 à 19:48
je vois pas le rapport....
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
et merci Juju66 aussi.
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
26 févr. 2013 à 20:01
Télécharge ici :OTL

enregistre le sur ton Bureau.

si tu as XP => double clique
si tu as Vista ou windows 7 / 8 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.

=> Clique ici pour voir la Configuration

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"

/md5start
explorer.exe
winlogon.exe
wininit.exe
volsnap.sys
atapi.sys
ndisuio.sys
ndis.sys
cdrom.sys
i8042prt.sys
iastor.sys
net.exe
tdx.sys
netbt.sys
afd.sys
net1.exe
Rundll32.exe
/md5stop
netsvcs
safebootminimal
safebootnetwork
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.ini
%systemroot%\Tasks\*.*
%systemroot%\system32\Tasks\*.*
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\system32\config\*.exe /s
%systemroot%\system32\*.sys
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon
CREATERESTOREPOINT


▶ Clic sur Analyse.

A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt).

Ce fichier est sur ton Bureau (en général C:\Documents and settings\le_nom_de_ta_session\<Bureau ou Desktop>\OTL.txt)

▶▶▶ NE LE POSTE PAS SUR LE FORUM (il est trop long)

heberge OTL.txt et extra.txt sur https://www.cjoint.com/ et donne les liens
0
ok je suis dessus merci à toi.
0
Possible que je t'envoie le rapport par mail car c'est quand même perso.

Merci.
0
Salut g3n-h@ckm@n,

T'es toujours là?
0
g3n-h@ckm@n Messages postés 13238 Date d'inscription jeudi 31 janvier 2013 Statut Membre Dernière intervention 24 février 2022 948
27 févr. 2013 à 09:48
salut j'attends les rapports ici comme demandé y'a rien de perso dedans
0
Slt G3n-h,

Voici le rapport :

# AdwCleaner v2.113 - Rapport créé le 26/02/2013 à 19:44:11
# Mis à jour le 23/02/2013 par Xplode
# Système d'exploitation : Windows 7 Ultimate (32 bits)
# Nom d'utilisateur : Urban Breathe - URBANBREATHE-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\Urban Breathe\Downloads\AdwCleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\Urban Breathe\AppData\LocalLow\facemoods.com
Dossier Supprimé : C:\Users\Urban Breathe\AppData\Roaming\pdfforge

***** [Registre] *****

Clé Supprimée : HKCU\Software\Headlight
Clé Supprimée : HKCU\Software\IM
Clé Supprimée : HKCU\Software\ImInstaller
Clé Supprimée : HKCU\Software\InstallCore
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0ECDF796-C2DC-4D79-A620-CCE0C0A66CC9}
Clé Supprimée : HKCU\Software\Softonic
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\Prod.cap
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\ConduitInstaller_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\facemoodssrv_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\facemoodssrv_RASMANCS
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASAPI32
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Tracing\MyBabylontb_RASMANCS
Clé Supprimée : HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\063A857434EDED11A893800002C0A966

***** [Navigateurs] *****

-\\ Internet Explorer v9.0.8112.16421

Remplacé : [HKLM\SOFTWARE\Microsoft\Internet Explorer\AboutURls - Tabs] = hxxp://start.facemoods.com/?a=ddrnw&f=2 --> hxxp://www.google.com

-\\ Mozilla Firefox v19.0 (fr)

Fichier : C:\Users\Urban Breathe\AppData\Roaming\Mozilla\Firefox\Profiles\n1d2ukrh.default\prefs.js

C:\Users\Urban Breathe\AppData\Roaming\Mozilla\Firefox\Profiles\n1d2ukrh.default\user.js ... Supprimé !

Supprimée : user_pref("browser.babylon.HPOnNewTab", "search.babylon.com");
Supprimée : user_pref("browser.newtabpage.blocked", "{\"/j2Fal76n3Isews2xqnMiA==\":1,\"dzFMDKgEg4teXOA3qoxbrg==\[...]
Supprimée : user_pref("browser.search.defaultenginename", "Search the web (Babylon)");
Supprimée : user_pref("browser.search.order.1", "Search the web (Babylon)");
Supprimée : user_pref("extensions.BabylonToolbar_i.aflt", "babsst");
Supprimée : user_pref("extensions.BabylonToolbar_i.babExt", "");
Supprimée : user_pref("extensions.BabylonToolbar_i.babTrack", "affID=110819&tt=020512_mntb_est");
Supprimée : user_pref("extensions.BabylonToolbar_i.hardId", "b89391c6000000000000001cbf4d45aa");
Supprimée : user_pref("extensions.BabylonToolbar_i.id", "b89391c6000000000000001cbf4d45aa");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlDay", "15477");
Supprimée : user_pref("extensions.BabylonToolbar_i.instlRef", "sst");
Supprimée : user_pref("extensions.BabylonToolbar_i.newTab", true);
Supprimée : user_pref("extensions.BabylonToolbar_i.newTabUrl", "hxxp://search.babylon.com/?affID=110819&tt=02051[...]
Supprimée : user_pref("extensions.BabylonToolbar_i.prdct", "BabylonToolbar");
Supprimée : user_pref("extensions.BabylonToolbar_i.prtnrId", "babylon");
Supprimée : user_pref("extensions.BabylonToolbar_i.smplGrp", "none");
Supprimée : user_pref("extensions.BabylonToolbar_i.srcExt", "ss");
Supprimée : user_pref("extensions.BabylonToolbar_i.tlbrId", "tb9");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsn", "1.5.3.17");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsnTs", "1.5.3.170:07:38");
Supprimée : user_pref("extensions.BabylonToolbar_i.vrsni", "1.5.3.17");
Supprimée : user_pref("keyword.URL", "hxxp://search.babylon.com/?affID=110819&tt=020512_mntb_est&babsrc=KW_ss&mn[...]

-\\ Google Chrome v25.0.1364.97

Fichier : C:\Users\Urban Breathe\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

-\\ Opera v12.12.1707.0

Fichier : C:\Users\Urban Breathe\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [4306 octets] - [26/02/2013 19:44:11]

########## EOF - C:\AdwCleaner[S1].txt - [4366 octets] ##########
-1
@@@@@@@@@ Messages postés 43 Date d'inscription dimanche 24 février 2013 Statut Membre Dernière intervention 26 juillet 2013 8
26 févr. 2013 à 19:32
Quand vous allumez l'ordinateur tapotez plusieur fois sur la touche F8 jusqu'a ce qu'un écran noir apparaisent. Ensuite selectionner " réparer l'ordinateur ". Attendez jusqu'au recorvery manager apparaisse et selectionnez " Restauration du systeme microsoft ". Ensuite suivez les instructions du logiciel. A noter que cette action n'a aucune influence sur vos fichier seulement sur vos logiciel installés.
J'espere vous avoir aidé au mieux.
-3