Compte youtube piraté Fermé

Question

Bonjour, 



Configuration: Windows 8 / Chrome 26.0.1410.64

Une vidéo a été ajouté sans mon consentement sur ma chaine youtube "elocasno973".

je pense que mon compte a été piraté.

après avoir fait un diagnostic avec ZHPDiag j'ai posté le rapport https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130425_l8t10o13i11p15

Mon pc à priori est infecté

Merci de m'indiquer la marche à suivre pour retrouver un pc "clean"

Romaingelez · Answer

Installe le programme gratuit mes tres efficace MALWAREBYTES
Met le programme a jour, fait attention qu un firewall ne bloque pas le
programme ou la mise a jour echoura
puis effectue un SCAN COMPLET, ne choisis pas l option rapide
a la fin il te montrera les resultats, supprime tout et voila
souvent le programme te demande de relancer le pc car des fois
les trojans sont actifs et ne peuvent pas etre suprimes.....
en redemarant il est possible des les effacer avant qu ils se lancent
tout est automatique... juste suivre les instructions

magics973 · Answer

Merci Romain

Je test de suite...

Destrio5 · Answer

Bonjour,

--> Télécharge et lance  AdwCleaner (d'Xplode), choisis l'option "Suppression" et poste le rapport.

magics973 · Answer

Merci c'est gentil de prendre en charge mon pb.
Donc j'ai télécharger et lancer AdwCleaner j'ai fait suppresion et à chaque mon pc redémarre je n'ai pas accès au rapport.
Merci

Destrio5 · Answer

Pour le rapport, regarde à la racine de ton disque C (Emplacement : C:\).

magics973 · Answer

Merci le voici :
# AdwCleaner v2.202 - Rapport créé le 25/04/2013 à 18:57:12
# Mis à jour le 23/04/2013 par Xplode
# Système d'exploitation : Windows 8 Pro  (32 bits)
# Nom d'utilisateur : magics - MAGICS-PC
# Mode de démarrage : Normal
# Exécuté depuis : C:\Users\magics\Downloads\adwcleaner.exe
# Option [Suppression]


***** [Services] *****


***** [Fichiers / Dossiers] *****

Dossier Supprimé : C:\Users\magics\AppData\Local\Google\Chrome\User Data\Default\Extensions\jndeiekmdhemaggmkgljlpdeaomeplbp

***** [Registre] *****

Clé Supprimée : HKCU\Software\Google\Chrome\Extensions\jndeiekmdhemaggmkgljlpdeaomeplbp
Clé Supprimée : HKLM\SOFTWARE\Google\Chrome\Extensions\jndeiekmdhemaggmkgljlpdeaomeplbp

***** [Navigateurs] *****

-\ Internet Explorer v10.0.9200.16384

[OK] Le registre ne contient aucune entrée illégitime.

-\ Mozilla Firefox v6.0.2 (fr)

Fichier : C:\Users\magics\AppData\Roaming\Mozilla\Firefox\Profiles\yns98uia.default\prefs.js

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Google Chrome v26.0.1410.64

Fichier : C:\Users\magics\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Chromium vnstall: 18002

Fichier : C:\Users\magics\AppData\Local\Chromium\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

-\ Opera v11.61.1250.0

Fichier : C:\Users\magics\AppData\Roaming\Opera\Opera\operaprefs.ini

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S2].txt - [1564 octets] - [25/04/2013 18:57:12]

########## EOF - C:\AdwCleaner[S2].txt - [1624 octets] ##########

Destrio5 · Answer

Bien.

As-tu fait un scan avec Malwarebytes' Anti-Malware ?

magics973 · Answer

j'avais commencé mais j'ai du l'arrêter car AdwCleaner ferme ttes les appli
et il y avait 9 erreurs de mémoire

Destrio5 · Answer

Dans l'onglet "Rapports/Logs" de Malwarebytes' Anti-Malware, tu peux récupérer le rapport.

magics973 · Answer

ok mais je suis en train de refaire analyse avec  Malwarebytes' Anti-Malware
Je te tiens au courant dès que c'est terminé.

Destrio5 · Answer

Ok, à tout à l'heure.

magics973 · Answer

C'est tjs en pleine analyse

je te tiens au courant demain

merci et bonne soirée

magics973 · Answer

bjr voici le rapport :

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.04.25.04

Windows 8 x86 NTFS
Internet Explorer 10.0.9200.16384
magics :: MAGICS-PC [administrateur]

25/04/2013 20:03:26
MBAM-log-2013-04-26 (09-05-47).txt

Type d'examen: Examen complet (C:\|D:\|I:\|K:\|)
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 750951
Temps écoulé: 11 heure(s), 47 minute(s), 51 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 4
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EXPLORER.EXE (Trojan.Agent.Gen) -> Aucune action effectuée.
HKCU\Software\DC3_FEXEC (Malware.Trace) -> Aucune action effectuée.
HKCU\Software\VB and VBA Program Settings\SrvID (Malware.Trace) -> Aucune action effectuée.
HKLM\SOFTWARE\JaiMataDi (Malware.Trace) -> Aucune action effectuée.

Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 9
C:\ProgramData\Broowsee22save\5158c05ec89e7.dll (Adware.MultiPlug) -> Aucune action effectuée.
C:\Users\magics\Downloads\Windows Loader\Windows Loader.exe (RiskWare.Tool.CK) -> Aucune action effectuée.
C:\Users\magics\Downloads\R.W.2.2.6\RemoveWAT 2.2.6\RemoveWAT.exe (HackTool.Wpakill) -> Aucune action effectuée.
I:\Users\Rose\Documents\Remove_WAT.226.rar (HackTool.Wpakill) -> Aucune action effectuée.
I:\Users\Rose\Downloads\RemoveWAT\RemoveWAT.exe (HackTool.Wpakill) -> Aucune action effectuée.
I:\Windows.old\Users\Rose\AppData\Local\Microsoft\Windows\Burn\Burn\Crack\Windows_7_Loader_1.9.4\Windows Loader.exe (RiskWare.Tool.HCK) -> Aucune action effectuée.
C:\Users\magics\AppData\Roaming\Keygen v13 1.exe (Backdoor.Agent.Gen) -> Aucune action effectuée.
C:\Users\magics\AppData\Roaming\winupdater.exe (Trojan.Agent.Gen) -> Aucune action effectuée.
C:\Users\magics\AppData\Roaming\explorer.exe (Trojan.Agent.Gen) -> Aucune action effectuée.

(fin)

Destrio5 · Answer

"Aucune action effectuée."

--> As-tu supprimé les infections trouvées ?

magics973 · Answer

oui

Destrio5 · Answer

Je voudrais un nouveau rapport ZHPDiag.

magics973 · Answer

ok je fait ça

magics973 · Answer

voilà https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130426_q12v6b14i10d14

Destrio5 · Answer

--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").


SysRestore
B1 - OSP: search.ini [magics] URL=http://mystart.incredibar.com/mb128/?loc=IB_DS&search=%s&a=6OyDvEer8Q&i=26   
[MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS.exe (.not file.)   [0]  
[MD5.00000000000000000000000000000000] [APT] [Test TimeTrigger] (...) -- C:\Users\magics\AppData\Local\Temp\Runner.exe (.not file.)   [0]   
[HKCU\Software\AppDataLow\Software\addlyrics]  
[HKCU\Software\SweetIM] 
[HKCU\Software\System32]  
[HKLM\Software\SweetIM] 
O43 - CFD: 25/09/2012 - 13:58:29 - [0] ----D C:\Program Files\Software 
O43 - CFD: 19/04/2013 - 10:38:37 - [0,153] ----D C:\ProgramData\Broowsee22save
O43 - CFD: 25/09/2012 - 13:58:29 - [0] ----D C:\ProgramData\Software    
O43 - CFD: 10/10/2012 - 20:46:49 - [0] -SH-D C:\ProgramData\{C4ABDBC8-1C81-42C9-BFFC-4A68511E9E4F} 
O43 - CFD: 04/09/2012 - 23:42:58 - [0] ----D C:\Users\magics\AppData\Local\Software
O69 - SBI: SearchScopes [HKCU] {4E40041A-D207-4D83-9E7C-D3F2DBBA7178} - (Ask Search) - http://www.search.ask.com/?o=10148&l=dis  
O69 - SBI: SearchScopes [HKCU] {C450805F-42E3-467F-B07E-609A39B6D291} - (BrotherSoft Extreme2 B1 Customized Web Search) - http://search.conduit.com 
O69 - SBI: SearchScopes [HKUS\.DEFAULT] {4C4C7AAB-5854-4241-A414-E2F1EF119C4A} - (DnsBasic) - http://www.dnsbasic.com   
O69 - SBI: SearchScopes [HKUS\S-1-5-18] {4C4C7AAB-5854-4241-A414-E2F1EF119C4A} - (DnsBasic) - http://www.dnsbasic.com    
[MD5.BDC16E98EA13B1EBEBCF49385394F05B] [SPRF][14/10/2012] (.Microsoft Corporation - Microsoft® Resource File To COFF Object Conversion Utility.) -- C:\Users\magics\AppData\Roaming\1.exe   [32064] 
[MD5.C74B4A7A3B509FFC1A4D7BE32B8FD327] [SPRF][10/06/2009] (.Microsoft Corporation - Microsoft .NET ClickOnce Launch Utility.) -- C:\Users\magics\AppData\Roaming\JS32ZZ2S18.exe   [55632]    
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08C06D61-F1F3-4799-86F8-BE1A89362C85}]  
[HKLM\Software\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}]    
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110211181110}]  
[HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110111271167}]    
[HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110211181110}]   
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110111271167}]    
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110211181110}]  
[HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110111271167}] 
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110111271167}]  
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110211181110}]  
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC]   
ProxyFix 
EmptyCLSID
EmptyFlash
EmptyTemp


--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.

--> Clique sur le bouton "Coller le presse-papier". 

--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.

--> Accepte la désinstallation des programmes si proposé, mais refuse le redémarrage de ton PC si également proposé, car cela stopperait ZHPFix.

--> Une fois terminé, copie-colle le rapport dans ton prochain message.

magics973 · Answer

Rapport de ZHPFix 2013.3.9.1 par Nicolas Coolman, Update du 9/03/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-26-04-2013-12-13-43.txt
Run by magics at 26/04/2013 12:13:42
High Elevated Privileges : OK
Windows 8 Business Edition, 32-bit  (Build 9200)

Corbeille vidée

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\magics\AppData\Roaming\1.exe
SUPPRIME Memory Process: C:\Users\magics\AppData\Roaming\JS32ZZ2S18.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\AppDataLow\Software\addlyrics
SUPPRIME Key: HKCU\Software\SweetIM
SUPPRIME Key: HKCU\Software\System32
SUPPRIME Key: HKLM\Software\SweetIM
SUPPRIME Key: SearchScopes :{4E40041A-D207-4D83-9E7C-D3F2DBBA7178}
SUPPRIME Key: SearchScopes :{C450805F-42E3-467F-B07E-609A39B6D291}
SUPPRIME Key*: SearchScopes :{4C4C7AAB-5854-4241-A414-E2F1EF119C4A}
ABSENT SearchScopes :{4C4C7AAB-5854-4241-A414-E2F1EF119C4A}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{08C06D61-F1F3-4799-86F8-BE1A89362C85}
SUPPRIME Key: HKLM\Software\Classes\CLSID\{08C06D61-F1F3-4799-86F8-BE1A89362C85}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110211181110}
SUPPRIME Key: HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110111271167}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110211181110}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110111271167}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{11111111-1111-1111-1111-110211181110}
SUPPRIME Key: HKLM\Software\Microsoft\Internet Explorer\Low Rights\ElevationPolicy\{21111111-1111-1111-1111-110111271167}
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110111271167}
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Ext\PreApproved\{11111111-1111-1111-1111-110211181110}
SUPPRIME Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC

========== Valeur(s) du Registre ==========
ProxyFix : Configuration proxy supprimée avec succès
SUPPRIME ProxyServer Value
SUPPRIME ProxyEnable Value
SUPPRIME EnableHttp1_1 Value
SUPPRIME ProxyHttp1.1 Value
SUPPRIME ProxyOverride Value

========== Préférences navigateur ==========
SUPPRIME Opera Search Page: http://mystart.incredibar.com/mb128/?loc=IB_DS&search=%s&a=6OyDvEer8Q&i=26

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\magics\AppData\Local\{7E0AAB20-59A2-4ECA-B226-766C3F720C4D}
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Fichier(s) ==========
SUPPRIME File: c:\users\magics\appdata\roaming\1.exe
SUPPRIME File: c:\users\magics\appdata\roaming\js32zz2s18.exe
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Tache planifiée ==========
SUPPRIME Task: AutoKMS
SUPPRIME Task: Test TimeTrigger

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
2 : Processus mémoire
20 : Clé(s) du Registre
6 : Valeur(s) du Registre
3 : Dossier(s)
4 : Fichier(s)
1 : Préférences navigateur
2 : Tache planifiée
1 : Restauration Système


End of clean in 01mn 12s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 25/04/2013 13:00:10 [506]
C:\ZHP\ZHPFix[R2].txt - 25/04/2013 13:01:16 [721]
C:\ZHP\ZHPFix[R3].txt - 26/04/2013 12:13:43 [3680]

Destrio5 · Answer

Je pense que tu devrais faire un scan avec cet outil :
https://www.eset.com/fr/home/products/online-scanner/

Si tu peux, poste le rapport.

magics973 · Answer

ok

magics973 · Answer

Enfin fini ouf!

Voici le rapport : 
C:\Program Files\ZHPDiag\ZHPDiag.exe	probably unknown NewHeur_PE virus	deleted - quarantined
C:\Program Files\ZHPDiag\ZHPDiag2.exe	probably unknown NewHeur_PE virus	cleaned by deleting - quarantined
C:\Users\magics\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LSN8BRQ4\ZHPDiag2[1].exe	probably unknown NewHeur_PE virus	cleaned by deleting - quarantined
C:\Users\magics\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\XLIRSKD2\dnsbasic_dnsbsc50r1[1].exe	a variant of Win32/Adware.OneStep.CC application	cleaned by deleting - quarantined
C:\Users\magics\AppData\Roaming\Mozilla\Firefox\Profiles\yns98uia.default\extensions\gf.o@kqsqhdvnz.com\content\bg.js	Win32/Adware.MultiPlug.H application	cleaned by deleting - quarantined
C:\Users\magics\Downloads\ZHPDiag2.exe	probably unknown NewHeur_PE virus	cleaned by deleting - quarantined
C:\Users\magics\Downloads\DooMLoRD_v4_ROOT-zergRush-busybox-su\files\zergRush	Android/Exploit.Lotoor.AN trojan	cleaned by deleting - quarantined
C:\Users\magics\Downloads\Driver Genius Professional v10.0.0.712+crk\Driver Genius Professional v10.0.0.712+crk\Driver Genius Professional v10.0.0.7112+crk.exe	probably a variant of MSIL/Injector.BAEDFAX trojan	cleaned by deleting - quarantined
C:\Users\magics\Downloads\files\zergRush	Android/Exploit.Lotoor.AN trojan	cleaned by deleting - quarantined
C:\Users\magics\Downloads\Google Earth Pro v6.2.2.6613   Patch\Google Earth v6.2.2.6613 + Patch\GoogleEarthWin.exe	a variant of MSIL/Injector.AOQ trojan	deleted - quarantined
C:\Users\magics\Downloads\SuperOneClickv1.9.5-ShortFuse.Drivers\Exploits\psneuter	Android/Exploit.Lotoor.AK trojan	cleaned by deleting - quarantined

Destrio5 · Answer

Le PC fonctionne bien ?

Un nouveau rapport ZHPDiag s'il te plaît.

magics973 · Answer

il est au ralenti et parfois redémarre tt seul

magics973 · Answer

ZHPDiag bug je l'ai réinstallé mais "ne répond pas" 3 essais déjà!!

magics973 · Answer

c bon voilà  https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130427_c11m7k9e11z6

Destrio5 · Answer

"C:\Program Files\data"

"C:\Program Files	ools"

"C:\ProgramData\clp"

"C:\Users\magics\AppData\Roaming\windows"

--> A quoi servent ces dossiers ?

magics973 · Answer

Alors

"C:\Program Files\data" et "C:\Program Files	ools"  ancien jeu football manager

"C:\ProgramData\clp"  je ne sais pas il y a que 2 fichiers dedans

"C:\Users\magics\AppData\Roaming\windows"  c'est dans Windows old et je ne sais pas à quoi ça sert

Destrio5 · Answer

On va utiliser un outil semblable à ZHPDiag.

--> Télécharge et enregistre OTL sur ton Bureau.

--> Double-clique sur OTL pour le lancer.
(Sous Vista/Win7/Win8, il faut cliquer droit sur OTL et choisir Exécuter en tant qu'administrateur)

--> Clique ici pour voir les réglages que tu dois effectuer.

--> Copie-colle le texte présent en gras ci-dessous dans la partie inférieure d'OTL "Personnalisation" :

/md5start 
explorer.exe 
winlogon.exe 
wininit.exe 
/md5stop 
netsvcs 
safebootminimal 
safebootnetwork 
%systemroot%\system32\*.dll /lockedfiles 
%systemroot%\system32\*.ini 
%systemroot%\Tasks\*.* 
%systemroot%\system32\Tasks\*.* 
%systemroot%\system32\drivers\*.sys /lockedfiles 
%systemroot%\system32\config\*.sav 
%systemroot%\system32\config\*.exe /s 
%systemroot%\system32\*.sys 
HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa /s 
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon 
CREATERESTOREPOINT

--> Clique sur "Analyse". 

--> A la fin du scan, le Bloc-Notes va s'ouvrir avec le rapport (OTL.txt). Il y aura aussi un rapport nommé Extras.txt. 

/!\ Ne les poste pas directement sur le forum (ils sont trop longs) /!\

--> Héberge OTL.txt et Extras.txt sur http://pjjoint.malekal.com et poste les liens qui mènent aux rapports dans ton prochain message.

magics973 · Answer

c fait

http://pjjoint.malekal.com/files.php?id=20130430_r6v11w13v12l10

http://pjjoint.malekal.com/files.php?id=20130430_v7y11k12m14j10

merci

Destrio5 · Answer

McAfee, tu l'as acheté ?

Destrio5 · Answer

Ton PC ne chauffe pas ?

Il est assez puissant pour supporter Windows 8 ?