Virus nommé "Ver" effacer du PC mais... Fermé

Question

Bonjour, j'ai eu un virus et celui-ci étais un ver. C'est un virus qui se propage dans les réseaux informatique. Je l'ai supprimer avec Malwarebytes. Le logiciel me dit bien qu'il à étais supprimer et mon antivirus ne le détecte plus.

Cependant, dès que je fait un "alt-tab", j'ai une fenêtre avec une sorte de smiler avec un oeil apparais à chaque fois. Image ci-dessous.

http://img15.hostingpics.net/pics/467369Sanstitre.png

Donc la fenêtre dont je parle c'est celle tout a gauche.

Je ne sais pas du tout si c'est lié au virus que j'ai eu avant mais sa m'intrigue quand même. L'antivirus et malwarebytes ne détecte rien.

Si il y avait quelqu'un pour m'éclairer je suis preneur ^^

Bonne journée/soiré à tous!


Configuration: Windows 8 / Chrome 25.0.1364.97

Utilisateur anonyme · Answer

Bonjour

Pour de plus amples informations, fait ceci stp

Ouvre ce lien et télécharge ZHPDiag de Nicolas Coolman : 

https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html

Ou

https://www.commentcamarche.net/telecharger/utilitaires/24803-zhpdiag/

Serveur N°2

Ou

http://www.premiumorange.com/zeb-help-process/zhpdiag.html 
en bas de la page ZHP avec un numéro de version.
 
Une fois le téléchargement achevé, 

Double-clique sur l'icône pour lancer le programme.  Sous Vista ; Seven ou Windows 8 clic droit «  exécuter en tant que administrateur » 

Clique sur  la loupe   pour lancer l'analyse.

Laisse l'outil travailler, il peut être assez long. 

Ferme ZHPDiag en fin d'analyse. 


Pour transmettre le rapport clique sur ce lien: 
http://pjjoint.malekal.com/

Si problème utilise un des suivants

https://forums-fec.be/upload 
 https://www.cjoint.com/


Regarde sur le bureau
 
Sélectionne le fichier ZHPDiag.txt. 

Clique sur "Cliquez ici pour déposer le fichier". 

Un lien de cette forme : 

http://www.cijoint.com/cjlink.php?file=cj200905/cijSKAP5fU.txt 

est ajouté dans la page. 

Copie ce lien dans ta réponse.

Merci

@+

rantanplansuisse · Answer

Bonjour,
Dans ce cas précis c'est vrai qu'un logiciel avec une icone.... suspecte est lancé sur votre pc ...
Vous pouvez peut etre voir dans le gestionnaire des taches onglet processus et mettre la photo ? Cela pourrais au moins nous aider à le neutraliser ...
Bonne continuation,
RantanplanSwiss

Ginta79 · Answer

Merci pour la rapidité de ta réponse ^^

J'ai suivie à la lettre ce que tu ma dit et sa donne ceci:

https://pjjoint.malekal.com/files.php?read=ZHPDiag_20130303_h9y7b7q9m12

Je te laisse regarder tranquillement. Bonne chance!

Utilisateur anonyme · Answer

Re

Utilisation de l'outil ZHPFix : 

* Copie  tout le texte présent dans l'encadré ci-dessous (tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C ) 
-------------------------------------------------------------------------------------------------


[MD5.0CCE2A660A38D6235479385B5DD9295C] - (.Miscrostoft - Miscrostoft.) -- C:\Users\Gael\AppData\Roaming\FacbookUpdate.exe   [591872] [PID.6524]     
R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = https://www.hugedomains.com/domain_profile.cfm?d=searchab&e=com 
R0 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page = https://www.hugedomains.com/domain_profile.cfm?d=searchab&e=com 
O4 - HKCU\..\Run: [FacbookUpdate] . (.Miscrostoft - Miscrostoft.) -- C:\Users\Gael\AppData\Roaming\FacbookUpdate.exe 
[MD5.58177776756F9696B0F200A01612DC11] [APT] [AutoKMS] (.Microsoft.) -- C:\WINDOWS\AutoKMS.exe     
O42 - Logiciel: TERA - (.Gameforge Productions GmbH.) [HKLM][64Bits] -- {A2S166A0-F031-4E27-A057-C69733219434}_is1 
[HKCU\Software\StartSearch]     
O43 - CFD: 14/01/2013 - 20:44:15 - [30,983] ----D C:\Users\Gael\AppData\Roaming\OpenCandy 
[MD5.0CCE2A660A38D6235479385B5DD9295C] [SPRF][14/01/2013] (.Miscrostoft - Miscrostoft.) -- C:\Users\Gael\AppData\Roaming\FacbookUpdate.exe   [591872]     
[HKLM\Software\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}]     
[HKLM\Software\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}]     
C:\Users\Gael\AppData\Roaming\OpenCandy 
C:\Windows\AutoKMS.exe     
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline 
O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [AdobeBridge] Clé orpheline 
O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [FacbookUpdate] Clé orpheline 
O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [DAEMON Tools Lite] Clé orpheline 
O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [Skype] Clé orpheline 
O43 - CFD: 04/02/2013 - 21:47:46 - [1,298] ----D C:\ProgramData\InstallMate     
O44 - LFC:[MD5.0DBBCD9B6330DC0E975A2E52E914716B] - 04/02/2013 - 21:45:07 ---A- . (...) -- C:\prefs.js   [110]    
O69 - SBI: SearchScopes [HKCU] {0633EE93-D776-472f-A0FF-E1416B8B2E3A} [DefaultScope] - (Privitize VPN) - https://www.hugedomains.com/domain_profile.cfm?d=searchab&e=com{searchTerms}     
[HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]     
[HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}]     
C:\ProgramData\InstallMate     
O4 - HKCU\..\Run: [AdobeBridge] Clé orpheline     
O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [AdobeBridge] Clé orpheline     
 O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [FacbookUpdate] Clé orpheline     
 O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [DAEMON Tools Lite] Clé orpheline     
 O4 - HKUS\S-1-5-21-3862802736-3183822117-3029495942-1004-3862802736-3183822117-3029495942-1001\..\Run: [Skype] Clé orpheline     

FirewallRAZ
Emptytemp
EmptyCLSID


--------------------------------------------------------------------------------------------
* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur) 

* Clique sur l'icone représentant le presse-papier ("coller le presse-papier") 
le script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) 
* Clique sur le bouton GO pour lancer le nettoyage 
* Copie/colle la totalité du rapport dans ta prochaine réponse.

-> laisse travailler l'outil et ne touche à rien ... 


-> Si il t'est demandé de redémarrer le PC pour finir le nettoyage, fais le ! 

Une fois terminé, un nouveau rapport s'affiche : poste le contenu de ce dernier dans ta prochaine réponse ... 

( ce rapport est en outre sauvegardé dans ce dossier > C:\Program files\ZHPDiag\ ZHPFixReport.txt ) 



@+

Ginta79 · Answer

Voila mon gestionnaire des taches en 3 parties: 

http://img15.hostingpics.net/pics/716381Sanstitre1.png 

http://img15.hostingpics.net/pics/779864Sanstitre2.png 

http://img15.hostingpics.net/pics/198312Sanstitre3.png 

Merci pour votre aide, bon courage.

Ginta79 · Answer

Voici ce que j'ai:


Rapport de ZHPFix 1.4.01 par Nicolas Coolman, Update du 02/03/2013
Fichier d'export Registre : 
Run by Gael at 03/03/2013 16:48:43
High Elevated Privileges : OK
Windows 8 Business Edition, 64-bit  (Build 9200)

Corbeille vidée

========== Logiciel(s) ==========
ABSENT Uninstall Process: c:	era\unins000.exe

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\Gael\AppData\Roaming\FacbookUpdate.exe
SUPPRIME Memory Process: C:\WINDOWS\AutoKMS.exe

========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\{A2S166A0-F031-4E27-A057-C69733219434}_is1]
SUPPRIME Key: HKCU\Software\StartSearch
SUPPRIME Key: HKLM\Software\Wow6432Node\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
SUPPRIME Key: HKLM\Software\Classes\TypeLib\{E2343056-CC08-46AC-B898-BFC7ACF4E755}
SUPPRIME Key: SearchScopes :{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
ABSENT Key: HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}
SUPPRIME Key*: HKLM\Software\Microsoft\Internet Explorer\SearchScopes\{0633EE93-D776-472f-A0FF-E1416B8B2E3A}

========== Valeur(s) du Registre ==========
SUPPRIME RunValue: FacbookUpdate
SUPPRIME RunValue: AdobeBridge
ABSENT RunValue: AdobeBridge
ABSENT RunValue: FacbookUpdate
ABSENT RunValue: DAEMON Tools Lite
ABSENT RunValue: Skype
ABSENT Valeur Standard Profile: FirewallRaz : 
ABSENT Valeur Domain Profile: FirewallRaz : 
SUPPRIME FirewallRaz (Domain) : {808F1451-4108-46FD-ADBB-F17324B5F0BD}
SUPPRIME FirewallRaz (Domain) : {E7985E1D-C36F-4787-80A8-6350D07E9266}
SUPPRIME FirewallRaz (Domain) : NetPres-In-TCP-NoScope
SUPPRIME FirewallRaz (Domain) : NetPres-Out-TCP-NoScope
SUPPRIME FirewallRaz (None) : NetPres-WSD-In-UDP
SUPPRIME FirewallRaz (None) : NetPres-WSD-Out-UDP
SUPPRIME FirewallRaz (Public) : NetPres-In-TCP
SUPPRIME FirewallRaz (Public) : NetPres-Out-TCP
SUPPRIME FirewallRaz (None) : MCX-Prov-Out-TCP
SUPPRIME FirewallRaz (None) : MCX-McrMgr-Out-TCP
SUPPRIME FirewallRaz (Public) : TCP Query User{027D8B6E-3FBC-48BE-9196-8ACDE0D12102}C:\windows\keygen.exe
SUPPRIME FirewallRaz (Public) : UDP Query User{4A99CE82-7F8E-4B8D-987E-F177FA65D7A9}C:\windows\keygen.exe

========== Elément(s) de donnée du Registre ==========
SUPPRIME R0 - HKCU\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page
SUPPRIME R0 - HKLM\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Main,Start Page

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide

========== Fichier(s) ==========
SUPPRIME File*: c:\users\gael\appdataoaming\facbookupdate.exe
ABSENT File: c:\users\gael\appdataoaming\facbookupdate.exe
SUPPRIME File: c:\windows\autokms.exe
ABSENT Folder/File: c:\users\gael\appdataoaming\facbookupdate.exe
ABSENT Folder/File: c:\users\gael\appdataoaming\opencandy
ABSENT Folder/File: c:\windows\autokms.exe
SUPPRIME File: c:\prefs.js 
ABSENT Folder/File: c:\programdata\installmate
SUPPRIME Temporaires Windows

========== Tache planifiée ==========
SUPPRIME Task: AutoKMS


========== Récapitulatif ==========
2 : Processus mémoire
7 : Clé(s) du Registre
20 : Valeur(s) du Registre
2 : Elément(s) de donnée du Registre
1 : Dossier(s)
9 : Fichier(s)
1 : Logiciel(s)
1 : Tache planifiée


End of clean in 00mn 10s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 03/03/2013 16:48:43 [3407]

Utilisateur anonyme · Answer

Re

As tu encore des soucis de Smiley? 
 

@+

Ginta79 · Answer

Effectivement je n'ai plus de problème de smiley!
Je te remercie infiniment!

Par compte je n'ai pas tout comprit se que j'ai fait. J'ai suivie à la lettre tous ce que tu m'a dit de faire sans trop réfléchir. Sa serai possible de m'expliquer comment j'ai réussie à enlever cette fenêtre? Et connais tu la cause de celle-ci?

juju666 · Answer

Salut,

Pour info t'avais un RAT, il a volé tes mots de passe. (merci à malekal)
Donc change-les tous et évite de télécharger n'importe où, les programmes c'est comme les bonbons quand ça vient d'un inconnu on accepte pas !

Et installe un antivirus, mais je crois que guillaume s'en chargera avec toi.

Ginta79 · Answer

Un RAT o0 
Ok donc je vais changer tous mes mots de passes... 

Merci pour ta réponse ^^

juju666 · Answer

RATs :
=> http://www.malekal.com/2011/06/29/rat-bifrose-botnet-pour-les-nuls/

Ces malwares vont essentiellement par des cracks sur des forums ou des messages postés vers des forums qui conduisent à des hébergeurs de fichiers (Meg*upload, upt*box, etc).
Vous cliquez, téléchargez et executer.
Ces malwares permettent le contrôle de l'ordinateur à distance, récupérer des mots de passe etc.

Donc là faut que tu changes tes mots de passe Facebook, mail (hotmail, Gmail etc), ils ont été volés par l'infection.

Faire attention à ce que vous téléchargez