Virus nommé "Ver" effacer du PC mais...

Ginta79 Messages postés 7 Statut Membre -  
juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   -
Bonjour, j'ai eu un virus et celui-ci étais un ver. C'est un virus qui se propage dans les réseaux informatique. Je l'ai supprimer avec Malwarebytes. Le logiciel me dit bien qu'il à étais supprimer et mon antivirus ne le détecte plus.

Cependant, dès que je fait un "alt-tab", j'ai une fenêtre avec une sorte de smiler avec un oeil apparais à chaque fois. Image ci-dessous.

http://img15.hostingpics.net/pics/467369Sanstitre.png

Donc la fenêtre dont je parle c'est celle tout a gauche.

Je ne sais pas du tout si c'est lié au virus que j'ai eu avant mais sa m'intrigue quand même. L'antivirus et malwarebytes ne détecte rien.

Si il y avait quelqu'un pour m'éclairer je suis preneur ^^

Bonne journée/soiré à tous!

11 réponses

  1. Utilisateur anonyme
     
    Bonjour

    Pour de plus amples informations, fait ceci stp

    Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman :

    https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

    Ou

    https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

    Serveur N°2

    Ou

    http://www.premiumorange.com/zeb-help-process/zhpdiag.html
    en bas de la page ZHP avec un numéro de version.

    Une fois le téléchargement achevé,

    Double-clique sur l'icône pour lancer le programme. Sous Vista ; Seven ou Windows 8 clic droit « exécuter en tant que administrateur »

    Clique sur la loupe pour lancer l'analyse.

    Laisse l'outil travailler, il peut être assez long.

    Ferme ZHPDiag en fin d'analyse.

    Pour transmettre le rapport clique sur ce lien:
    http://pjjoint.malekal.com/

    Si problème utilise un des suivants

    https://forums-fec.be/upload
    https://www.cjoint.com/

    Regarde sur le bureau

    Sélectionne le fichier ZHPDiag.txt.

    Clique sur "Cliquez ici pour déposer le fichier".

    Un lien de cette forme :

    http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt

    est ajouté dans la page.

    Copie ce lien dans ta réponse.

    Merci

    @+

    1
  2. Utilisateur anonyme
     
    Re

    Utilisation de l'outil ZHPFix :

    * Copie tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )
    -------------------------------------------------------------------------------------------------


    [MD5.0CCE2A660A38D6235479385B5DD9295C] - (.Miscrostoft - Miscrostoft.) -- C:\Users\Gael\AppData\Roaming\FacbookUpdate.exe [591872] [PID.6524]
    R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://www.hugedomains.com/domain_profile.cfm?d=searchab&e=com
    R0 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.hugedomains.com/domain_profile.cfm?d=searchab&e=com
    O4 - HKCU\..\Run: [FacbookUpdate] . (.Miscrostoft - Miscrostoft.) -- C:\Users\Gael\AppData\Roaming\FacbookUpdate.exe
    [MD5.58177776756F9696B0F200A01612DC11] [APT] [AutoKMS] (.Microsoft.) -- C:\WINDOWS\AutoKMS.exe
    O42 - Logiciel: TERA - (.Gameforge Productions GmbH.) [HKLM][64Bits] -- {A2S166A0-F031-4E27-A057-C69733219434}_is1
    [HKCU\Software\StartSearch]
    O43 - CFD: 14/01/2013 - 20:44:15 - [30,983] ----D C:\Users\Gael\AppData\Roaming\OpenCandy
    [MD5.0CCE2A660A38D6235479385B5DD9295C] [SPRF][14/01/2013] (.Miscrostoft - Miscrostoft.) -- C:\Users\Gael\AppData\Roaming\FacbookUpdate.exe [591872]
    [HKLM\Software\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]
    [HKLM\Software\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}]
    C:\Users\Gael\AppData\Roaming\OpenCandy
    C:\Windows\AutoKMS.exe
    O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline
    O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [AdobeBridge] Clé orpheline
    O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [FacbookUpdate] Clé orpheline
    O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [DAEMON Tools Lite] Clé orpheline
    O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [Skype] Clé orpheline
    O43 - CFD: 04/02/2013 - 21:47:46 - [1,298] ----D C:\ProgramData\InstallMate
    O44 - LFC:[MD5.0DBBCD9B6330DC0E975A2E52E914716B] - 04/02/2013 - 21:45:07 ---A- . (...) -- C:\prefs.js [110]
    O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (Privitize VPN) - https://www.hugedomains.com/domain_profile.cfm?d=searchab&e=com{searchTerms}
    [HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
    [HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]
    C:\ProgramData\InstallMate
    O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline
    O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [AdobeBridge] Clé orpheline
    O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [FacbookUpdate] Clé orpheline
    O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [DAEMON Tools Lite] Clé orpheline
    O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [Skype] Clé orpheline

    FirewallRAZ
    Emptytemp
    EmptyCLSID


    --------------------------------------------------------------------------------------------
    * Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur)

    * Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
    le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
    * Clique sur le bouton GO pour lancer le nettoyage
    * Copie/colle la totalité du rapport dans ta prochaine réponse.

    -> laisse travailler l'outil et ne touche à rien ...

    -> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le !

    Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ...

    ( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt )

    @+
    1
  3. Utilisateur anonyme
     
    Re

    As tu encore des soucis de Smiley?

    @+
    1
  4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Pour info t'avais un RAT, il a volé tes mots de passe. (merci à malekal)
    Donc change-les tous et évite de télécharger n'importe où, les programmes c'est comme les bonbons quand ça vient d'un inconnu on accepte pas !

    Et installe un antivirus, mais je crois que guillaume s'en chargera avec toi.
    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    RATs :
    => http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

    Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, upt*box, etc).
    Vous cliquez, téléchargez et executer.
    Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

    Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection.

    Faire attention à ce que vous téléchargez
    1
  7. rantanplansuisse Messages postés 35 Statut Membre
     
    Bonjour,
    Dans ce cas précis c'est vrai qu'un logiciel avec une icone.... suspecte est lancé sur votre pc ...
    Vous pouvez peut etre voir dans le gestionnaire des taches onglet processus et mettre la photo ? Cela pourrais au moins nous aider à le neutraliser ...
    Bonne continuation,
    RantanplanSwiss
    0
  8. Ginta79 Messages postés 7 Statut Membre
     
    Voila mon gestionnaire des taches en 3 parties:

    http://img15.hostingpics.net/pics/716381Sanstitre1.png

    http://img15.hostingpics.net/pics/779864Sanstitre2.png

    http://img15.hostingpics.net/pics/198312Sanstitre3.png

    Merci pour votre aide, bon courage.
    0
  9. Ginta79 Messages postés 7 Statut Membre
     
    Voici ce que j'ai:

    Rapport de ZHPFix 1.4.01 par Nicolas Coolman, Update du 02/03/2013
    Fichier d'export Registre :
    Run by Gael at 03/03/2013 16:48:43
    High Elevated Privileges : OK
    Windows 8 Business Edition, 64-bit (Build 9200)

    Corbeille vidée

    ========== Logiciel(s) ==========
    ABSENT Uninstall Process: c:\tera\unins000.exe

    ========== Processus mémoire ==========
    SUPPRIME Memory Process: C:\Users\Gael\AppData\Roaming\FacbookUpdate.exe
    SUPPRIME Memory Process: C:\WINDOWS\AutoKMS.exe

    ========== Clé(s) du Registre ==========
    SUPPRIME [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A2S166A0-F031-4E27-A057-C69733219434}_is1]
    SUPPRIME Key: HKCU\Software\StartSearch
    SUPPRIME Key: HKLM\Software\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
    SUPPRIME Key: HKLM\Software\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
    SUPPRIME Key: SearchScopes :{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
    SUPPRIME Key*: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

    ========== Valeur(s) du Registre ==========
    SUPPRIME RunValue: FacbookUpdate
    SUPPRIME RunValue: AdobeBridge
    ABSENT RunValue: AdobeBridge
    ABSENT RunValue: FacbookUpdate
    ABSENT RunValue: DAEMON Tools Lite
    ABSENT RunValue: Skype
    ABSENT Valeur Standard Profile: FirewallRaz :
    ABSENT Valeur Domain Profile: FirewallRaz :
    SUPPRIME FirewallRaz (Domain) : {808F1451-4108-46FD-ADBB-F17324B5F0BD}
    SUPPRIME FirewallRaz (Domain) : {E7985E1D-C36F-4787-80A8-6350D07E9266}
    SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope
    SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
    SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP
    SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP
    SUPPRIME FirewallRaz (Public) : NetPres-In-TCP
    SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP
    SUPPRIME FirewallRaz (None) : MCX-Prov-Out-TCP
    SUPPRIME FirewallRaz (None) : MCX-McrMgr-Out-TCP
    SUPPRIME FirewallRaz (Public) : TCP Query User{027D8B6E-3FBC-48BE-9196-8ACDE0D12102}C:\windows\keygen.exe
    SUPPRIME FirewallRaz (Public) : UDP Query User{4A99CE82-7F8E-4B8D-987E-F177FA65D7A9}C:\windows\keygen.exe

    ========== Elément(s) de donnée du Registre ==========
    SUPPRIME R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page
    SUPPRIME R0 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page

    ========== Dossier(s) ==========
    Aucun dossiers CLSID Local utilisateur vide

    ========== Fichier(s) ==========
    SUPPRIME File*: c:\users\gael\appdata\roaming\facbookupdate.exe
    ABSENT File: c:\users\gael\appdata\roaming\facbookupdate.exe
    SUPPRIME File: c:\windows\autokms.exe
    ABSENT Folder/File: c:\users\gael\appdata\roaming\facbookupdate.exe
    ABSENT Folder/File: c:\users\gael\appdata\roaming\opencandy
    ABSENT Folder/File: c:\windows\autokms.exe
    SUPPRIME File: c:\prefs.js
    ABSENT Folder/File: c:\programdata\installmate
    SUPPRIME Temporaires Windows

    ========== Tache planifiée ==========
    SUPPRIME Task: AutoKMS

    ========== Récapitulatif ==========
    2 : Processus mémoire
    7 : Clé(s) du Registre
    20 : Valeur(s) du Registre
    2 : Elément(s) de donnée du Registre
    1 : Dossier(s)
    9 : Fichier(s)
    1 : Logiciel(s)
    1 : Tache planifiée

    End of clean in 00mn 10s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 03/03/2013 16:48:43 [3407]
    0
  10. Ginta79 Messages postés 7 Statut Membre
     
    Effectivement je n'ai plus de problème de smiley!
    Je te remercie infiniment!

    Par compte je n'ai pas tout comprit se que j'ai fait. J'ai suivie à la lettre tous ce que tu m'a dit de faire sans trop réfléchir. Sa serai possible de m'expliquer comment j'ai réussie à enlever cette fenêtre? Et connais tu la cause de celle-ci?
    0
  11. Ginta79 Messages postés 7 Statut Membre
     
    Un RAT o0
    Ok donc je vais changer tous mes mots de passes...

    Merci pour ta réponse ^^
    0