Compte youtube piraté

magics973 Messages postés 17 Statut Membre -  
magics973 Messages postés 17 Statut Membre -
Bonjour,



Une vidéo a été ajouté sans mon consentement sur ma chaine youtube "elocasno973".

je pense que mon compte a été piraté.

après avoir fait un diagnostic avec ZHPDiag j'ai posté le rapport https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130425_l8t10o13i11p15

Mon pc à priori est infecté

Merci de m'indiquer la marche à suivre pour retrouver un pc "clean"

33 réponses

  • 1
  • 2
Résumé de la discussion

Une suspicion de piratage de compte YouTube se double d'une infection informatique sur Windows 8, avec un diagnostic ZHPDiag partagé pour retrouver un système 'clean'. Les éléments de réponse préconisent un scan avec Malwarebytes' Anti-Malware et l'outil AdwCleaner, puis le changement des mots de passe après désinfection et la mise en œuvre de mesures de sécurité. Des infections signalées et des éléments techniques comme des dossiers suspects et des programmes obsolètes montrent que Malwarebytes seul peut ne pas tout supprimer et nécessitent un nettoyage approfondi avec ZHPFix. En cas de doute, récupérer le rapport dans l’onglet Rapports/Logs de Malwarebytes et suivre les étapes de nettoyage, en évitant les redémarrages forcés si l’outil propose cette option afin de sécuriser la procédure.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. Romaingelez Messages postés 58 Date d'inscription   Statut Membre Dernière intervention   4
     
    Installe le programme gratuit mes tres efficace MALWAREBYTES
    Met le programme a jour, fait attention qu un firewall ne bloque pas le
    programme ou la mise a jour echoura
    puis effectue un SCAN COMPLET, ne choisis pas l option rapide
    a la fin il te montrera les resultats, supprime tout et voila
    souvent le programme te demande de relancer le pc car des fois
    les trojans sont actifs et ne peuvent pas etre suprimes.....
    en redemarant il est possible des les effacer avant qu ils se lancent
    tout est automatique... juste suivre les instructions
    0
  2. magics973 Messages postés 17 Statut Membre
     
    Merci Romain

    Je test de suite...
    0
    1. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
       
      Salut,

      Je viens d'examiner ton rapport ZHPDiag.

      Belles infections !

      MBAM ne te supprimera pas tout.

      Des programmes importants non à jour qui ont ouvert la porte à des exploits !
      Ne saisis plus rien de confidentiel sur cette machine et une fois désinfecté change tes mots de passe.

      A+ si tu as besoin.
      0
  3. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bonjour,

    --> Télécharge et lance AdwCleaner (d'Xplode), choisis l'option "Suppression" et poste le rapport.
    0
    1. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
       
      OK Destrio si tu le prends en main, je te le laisse ! ;)
      0
    2. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
       
      Il m'a contacté en mp et je lui ai demandé de créer ce sujet.

      Mais comme tu veux cabrier ;)
      0
    3. cabrier Messages postés 5591 Date d'inscription   Statut Contributeur sécurité Dernière intervention   702
       
      Non, tu as là un bon petit chantier !
      A+
      0
  4. magics973 Messages postés 17 Statut Membre
     
    Merci c'est gentil de prendre en charge mon pb.
    Donc j'ai télécharger et lancer AdwCleaner j'ai fait suppresion et à chaque mon pc redémarre je n'ai pas accès au rapport.
    Merci
    0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Pour le rapport, regarde à la racine de ton disque C (Emplacement : C:\).
    0
  7. magics973 Messages postés 17 Statut Membre
     
    Merci le voici :
    # AdwCleaner v2.202 - Rapport créé le 25/04/2013 à 18:57:12
    # Mis à jour le 23/04/2013 par Xplode
    # Système d'exploitation : Windows 8 Pro (32 bits)
    # Nom d'utilisateur : magics - MAGICS-PC
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\magics\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Users\magics\AppData\Local\Google\Chrome\User Data\Default\Extensions\jndeiekmdhemaggmkgljlpdeaomeplbp

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\jndeiekmdhemaggmkgljlpdeaomeplbp
    Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jndeiekmdhemaggmkgljlpdeaomeplbp

    ***** [Navigateurs] *****

    -\\ Internet Explorer v10.0.9200.16384

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v6.0.2 (fr)

    Fichier : C:\Users\magics\AppData\Roaming\Mozilla\Firefox\Profiles\yns98uia.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    -\\ Google Chrome v26.0.1410.64

    Fichier : C:\Users\magics\AppData\Local\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    -\\ Chromium vnstall: 18002

    Fichier : C:\Users\magics\AppData\Local\Chromium\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    -\\ Opera v11.61.1250.0

    Fichier : C:\Users\magics\AppData\Roaming\Opera\Opera\operaprefs.ini

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S2].txt - [1564 octets] - [25/04/2013 18:57:12]

    ########## EOF - C:\AdwCleaner[S2].txt - [1624 octets] ##########
    0
  8. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Bien.

    As-tu fait un scan avec Malwarebytes' Anti-Malware ?
    0
  9. magics973 Messages postés 17 Statut Membre
     
    j'avais commencé mais j'ai du l'arrêter car AdwCleaner ferme ttes les appli
    et il y avait 9 erreurs de mémoire
    0
  10. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Dans l'onglet "Rapports/Logs" de Malwarebytes' Anti-Malware, tu peux récupérer le rapport.
    0
  11. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Ok, à tout à l'heure.
    0
  12. magics973 Messages postés 17 Statut Membre
     
    C'est tjs en pleine analyse

    je te tiens au courant demain

    merci et bonne soirée
    0
  13. magics973 Messages postés 17 Statut Membre
     
    bjr voici le rapport :

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.04.25.04

    Windows 8 x86 NTFS
    Internet Explorer 10.0.9200.16384
    magics :: MAGICS-PC [administrateur]

    25/04/2013 20:03:26
    MBAM-log-2013-04-26 (09-05-47).txt

    Type d'examen: Examen complet (C:\|D:\|I:\|K:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 750951
    Temps écoulé: 11 heure(s), 47 minute(s), 51 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 4
    HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EXPLORER.EXE (Trojan.Agent.Gen) -> Aucune action effectuée.
    HKCU\Software\DC3_FEXEC (Malware.Trace) -> Aucune action effectuée.
    HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Aucune action effectuée.
    HKLM\SOFTWARE\JaiMataDi (Malware.Trace) -> Aucune action effectuée.

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 9
    C:\ProgramData\Broowsee22save\5158c05ec89e7.dll (Adware.MultiPlug) -> Aucune action effectuée.
    C:\Users\magics\Downloads\Windows Loader\Windows Loader.exe (RiskWare.Tool.CK) -> Aucune action effectuée.
    C:\Users\magics\Downloads\R.W.2.2.6\RemoveWAT 2.2.6\RemoveWAT.exe (HackTool.Wpakill) -> Aucune action effectuée.
    I:\Users\Rose\Documents\Remove_WAT.226.rar (HackTool.Wpakill) -> Aucune action effectuée.
    I:\Users\Rose\Downloads\RemoveWAT\RemoveWAT.exe (HackTool.Wpakill) -> Aucune action effectuée.
    I:\Windows.old\Users\Rose\AppData\Local\Microsoft\Windows\Burn\Burn\Crack\Windows_7_Loader_1.9.4\Windows Loader.exe (RiskWare.Tool.HCK) -> Aucune action effectuée.
    C:\Users\magics\AppData\Roaming\Keygen v13 1.exe (Backdoor.Agent.Gen) -> Aucune action effectuée.
    C:\Users\magics\AppData\Roaming\winupdater.exe (Trojan.Agent.Gen) -> Aucune action effectuée.
    C:\Users\magics\AppData\Roaming\explorer.exe (Trojan.Agent.Gen) -> Aucune action effectuée.

    (fin)
    0
  14. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    "Aucune action effectuée."

    --> As-tu supprimé les infections trouvées ?
    0
  15. magics973 Messages postés 17 Statut Membre
     
    oui
    0
  16. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    Je voudrais un nouveau rapport ZHPDiag.
    0
  17. magics973 Messages postés 17 Statut Membre
     
    ok je fait ça
    0
  18. Destrio5 Messages postés 99820 Date d'inscription   Statut Modérateur Dernière intervention   10 324
     
    --> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").

    SysRestore
    B1 - OSP: search.ini [magics] URL=http://mystart.incredibar.com/mb128/?loc=IB_DS&search=%s&a=6OyDvEer8Q&i=26
    [MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS.exe (.not file.) [0]
    [MD5.00000000000000000000000000000000] [APT] [Test TimeTrigger] (...) -- C:\Users\magics\AppData\Local\Temp\Runner.exe (.not file.) [0]
    [HKCU\Software\AppDataLow\Software\addlyrics]
    [HKCU\Software\SweetIM]
    [HKCU\Software\System32]
    [HKLM\Software\SweetIM]
    O43 - CFD: 25/09/2012 - 13:58:29 - [0] ----D C:\Program Files\Software
    O43 - CFD: 19/04/2013 - 10:38:37 - [0,153] ----D C:\ProgramData\Broowsee22save
    O43 - CFD: 25/09/2012 - 13:58:29 - [0] ----D C:\ProgramData\Software
    O43 - CFD: 10/10/2012 - 20:46:49 - [0] -SH-D C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F}
    O43 - CFD: 04/09/2012 - 23:42:58 - [0] ----D C:\Users\magics\AppData\Local\Software
    O69 - SBI: SearchScopes [HKCU] {4E40041A-D207-4D83-9E7C-D3F2DBBA7178} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis
    O69 - SBI: SearchScopes [HKCU] {C450805F-42E3-467F-B07E-609A39B6D291} - (BrotherSoft Extreme2 B1 Customized Web Search) - http://search.conduit.com
    O69 - SBI: SearchScopes [HKUS\.DEFAULT] {4C4C7AAB-5854-4241-A414-E2F1EF119C4A} - (DnsBasic) - http://www.dnsbasic.com
    O69 - SBI: SearchScopes [HKUS\S-1-5-18] {4C4C7AAB-5854-4241-A414-E2F1EF119C4A} - (DnsBasic) - http://www.dnsbasic.com
    [MD5.BDC16E98EA13B1EBEBCF49385394F05B] [SPRF][14/10/2012] (.Microsoft Corporation - Microsoft® Resource File To COFF Object Conversion Utility.) -- C:\Users\magics\AppData\Roaming\1.exe [32064]
    [MD5.C74B4A7A3B509FFC1A4D7BE32B8FD327] [SPRF][10/06/2009] (.Microsoft Corporation - Microsoft .NET ClickOnce Launch Utility.) -- C:\Users\magics\AppData\Roaming\JS32ZZ2S18.exe [55632]
    [HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08C06D61-F1F3-4799-86F8-BE1A89362C85}]
    [HKLM\Software\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}]
    [HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110211181110}]
    [HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110111271167}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110211181110}]
    [HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110111271167}]
    [HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110211181110}]
    [HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110111271167}]
    [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110111271167}]
    [HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110211181110}]
    [HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC]
    ProxyFix
    EmptyCLSID
    EmptyFlash
    EmptyTemp


    --> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.

    --> Clique sur le bouton "Coller le presse-papier".

    --> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

    --> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

    --> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.

    --> Une fois terminé, copie-colle le rapport dans ton prochain message.
    0
  19. magics973
     
    Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
    Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-26-04-2013-12-13-43.txt
    Run by magics at 26/04/2013 12:13:42
    High Elevated Privileges : OK
    Windows 8 Business Edition, 32-bit (Build 9200)

    Corbeille vidée

    ========== Processus mémoire ==========
    SUPPRIME Memory Process: C:\Users\magics\AppData\Roaming\1.exe
    SUPPRIME Memory Process: C:\Users\magics\AppData\Roaming\JS32ZZ2S18.exe

    ========== Clé(s) du Registre ==========
    SUPPRIME Key: HKCU\Software\AppDataLow\Software\addlyrics
    SUPPRIME Key: HKCU\Software\SweetIM
    SUPPRIME Key: HKCU\Software\System32
    SUPPRIME Key: HKLM\Software\SweetIM
    SUPPRIME Key: SearchScopes :{4E40041A-D207-4D83-9E7C-D3F2DBBA7178}
    SUPPRIME Key: SearchScopes :{C450805F-42E3-467F-B07E-609A39B6D291}
    SUPPRIME Key*: SearchScopes :{4C4C7AAB-5854-4241-A414-E2F1EF119C4A}
    ABSENT SearchScopes :{4C4C7AAB-5854-4241-A414-E2F1EF119C4A}
    SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08C06D61-F1F3-4799-86F8-BE1A89362C85}
    SUPPRIME Key: HKLM\Software\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}
    SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110211181110}
    SUPPRIME Key: HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
    SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110111271167}
    SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110211181110}
    SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110111271167}
    SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110211181110}
    SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110111271167}
    SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110111271167}
    SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110211181110}
    SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC

    ========== Valeur(s) du Registre ==========
    ProxyFix : Configuration proxy supprimée avec succès
    SUPPRIME ProxyServer Value
    SUPPRIME ProxyEnable Value
    SUPPRIME EnableHttp1_1 Value
    SUPPRIME ProxyHttp1.1 Value
    SUPPRIME ProxyOverride Value

    ========== Préférences navigateur ==========
    SUPPRIME Opera Search Page: http://mystart.incredibar.com/mb128/?loc=IB_DS&search=%s&a=6OyDvEer8Q&i=26

    ========== Dossier(s) ==========
    SUPPRIME Folder: C:\Users\magics\AppData\Local\{7E0AAB20-59A2-4ECA-B226-766C3F720C4D}
    SUPPRIME Flash Cookies
    SUPPRIME Temporaires Windows

    ========== Fichier(s) ==========
    SUPPRIME File: c:\users\magics\appdata\roaming\1.exe
    SUPPRIME File: c:\users\magics\appdata\roaming\js32zz2s18.exe
    SUPPRIME Flash Cookies
    SUPPRIME Temporaires Windows

    ========== Tache planifiée ==========
    SUPPRIME Task: AutoKMS
    SUPPRIME Task: Test TimeTrigger

    ========== Restauration Système ==========
    Point de restauration du système créé avec succès

    ========== Récapitulatif ==========
    2 : Processus mémoire
    20 : Clé(s) du Registre
    6 : Valeur(s) du Registre
    3 : Dossier(s)
    4 : Fichier(s)
    1 : Préférences navigateur
    2 : Tache planifiée
    1 : Restauration Système

    End of clean in 01mn 12s

    ========== Chemin de fichier rapport ==========
    C:\ZHP\ZHPFix[R1].txt - 25/04/2013 13:00:10 [506]
    C:\ZHP\ZHPFix[R2].txt - 25/04/2013 13:01:16 [721]
    C:\ZHP\ZHPFix[R3].txt - 26/04/2013 12:13:43 [3680]
    0
  • 1
  • 2