Pc portable infecté

Résolu
tmk.pcs Messages postés 7 Statut Membre -  
tmk.pcs Messages postés 7 Statut Membre -
Bonsoir,

Je viens vous demander votre aide car je pense que mon ordinateur portable est infecté.
J'ai reçu une notification d'Avast qui me dit avoir bloqué une menace. Derrière je passe MBAM qui me détecte 2 objets que je mets en quarantaine.

Je suis en train de faire un scan en ligne avec Trend Micro HouseCall et 2 menaces sont detectées à 58% du scan.

Je ne sais pas exactement comment nettoyer le pc de manière efficace c'est pourquoi je souhaiterais que quelqu'un m'assiste.

D'avance merci pour votre aide

10 réponses

  1. tmk.pcs Messages postés 7 Statut Membre
     
    Bonjour et merci pour ton aide.

    Voici le rapport MBAM:

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.05.01.03

    Windows 7 Service Pack 1 x64 NTFS
    Internet Explorer 8.0.7601.17514
    Romu :: PC-DE-ROMU [administrateur]

    01/05/2013 13:25:33
    mbam-log-2013-05-01 (13-25-33).txt

    Type d'examen: Examen complet (C:\|D:\|Q:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 416101
    Temps écoulé: 1 heure(s), 5 minute(s), 34 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 2
    C:\Users\Romu\AppData\Local\Temp\is1668783924\BoxoreInstaller.exe (Adware.Boxore) -> Mis en quarantaine et supprimé avec succès.
    C:\Users\Romu\Documents\Applications\Everest Poker.fr.exe (PUP.Casino) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    Concernant Avast, il avait detecté des menaces que j'ai mise en quarantaine. Puis mon wifi ne fonctionnait plus et j'ai décidé de restaurer l'ordinateur à une heure antérieure. Le wifi a refonctionné jusqu'à il y a 10min et ça me refait le même coup.
    Bref, tout ça pour dire au final que je n'ai plus le rapport d'avast.
    0
    1. tmk.pcs Messages postés 7 Statut Membre
       
      Voici le message que j'obtiens quand je veux réparer la connexion: "Windows ne peut pas communiquer avec le périphérique ou la ressource (serveur dns principal)"
      0
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Mouais à première vue pas grand chose.

    Vu que MBAM a détecté du boxore tu peux éventuellement passer un coup d'adwcleaner ça fera pas de tord :

    Télécharge sur cette page: AdwCleaner (de Xplode)

    ▶ Lance-le

    clique sur Suppression et patiente le temps du nettoyage.

    ▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

    ~~

    Ensuite Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

    ▶ Télécharge ici :OTL

    ▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

    ▶ Quand la fenêtre apparaît, Coche la case Tous les utilisateurs
    ▶ Coche les cases à coté de Recherche Lop et Recherche Purity.
    Laisse tous les autres paramètres par défaut

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


    msconfig
    netsvcs
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    winsock.*
    /md5stop
    %temp%\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s
    %SYSTEMDRIVE%\*.*
    BASESERVICES
    CREATERESTOREPOINT
    SAVEMBR:0


    ▶ Clic sur Analyse.

    A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

    NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

    Ces fichiers se trouvent à côté de l'exécutable OTL.exe

    héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

    NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC

    A+
    0
  3. tmk.pcs Messages postés 7 Statut Membre
     
    Il me semble que j'avais déjà passé Adware Cleaner avant la restoration et qu'il avait trouvé quelque chose mais je n'ai plus le rapport..

    Voici celui d'aujourd'hui:

    # AdwCleaner v2.300 - Rapport créé le 03/05/2013 à 12:10:10
    # Mis à jour le 28/04/2013 par Xplode
    # Système d'exploitation : Windows 7 Home Premium Service Pack 1 (64 bits)
    # Nom d'utilisateur : Romu - PC-DE-ROMU
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Users\Romu\Downloads\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    ***** [Registre] *****

    ***** [Navigateurs] *****

    -\\ Internet Explorer v10.0.9200.16537

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Mozilla Firefox v16.0.1 (fr)

    Fichier : C:\Users\Romu\AppData\Roaming\Mozilla\Firefox\Profiles\8bzl1z4q.default\prefs.js

    [OK] Le fichier ne contient aucune entrée illégitime.

    -\\ Google Chrome v26.0.1410.64

    Fichier : C:\Users\Romu\AppData\Local\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S2].txt - [951 octets] - [03/05/2013 12:10:10]

    ########## EOF - C:\AdwCleaner[S2].txt - [1010 octets] ##########
    0
  4. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Vu. Passe à OTL.
    0
  6. tmk.pcs Messages postés 7 Statut Membre
     
    voici les rapports:

    OTL:
    https://forums-fec.be/upload/www/?a=d&i=9947539390

    Extra:
    https://forums-fec.be/upload/www/?a=d&i=4222686820
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bien.
    Il n'y a que des restes qu'on va virer avec OTL.

    Relance OTL, colle ceci en personnalisation :


    :instructions
    :OTL
    FF - prefs.js..extensions.enabledAddons: webbooster@iminent.com:5.14.1.0
    FF - prefs.js..extensions.enabledAddons: {ef79f67a-6ad7-4715-a0f8-932fca442023}:10.10.27.6
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{56191195-F5D3-40B9-A2F3-5738D0C748E1}: NameServer = 88.191.223.122
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{D4240FA7-F179-4ABD-A79E-FBAD5E395E6E}: NameServer = 178.33.41.181,88.191.223.122
    [2012/10/10 18:38:33 | 000,000,000 | ---D | M] -- C:\Users\Romu\AppData\Roaming\Wise Disk Cleaner

    :Files
    C:\USERS\ROMU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\8BZL1Z4Q.DEFAULT\EXTENSIONS\{EF79F67A-6AD7-4715-A0F8-932FCA442023}
    C:\PROGRAM FILES (X86)\IMINENT\WEBBOOSTER@IMINENT.COM

    :Commands
    [EMPTYTEMP]


    Click Correction et poste le rapport qui s'ouvrira après redémarrage.
    0
  8. tmk.pcs Messages postés 7 Statut Membre
     
    All processes killed
    Error: Unable to interpret <:instructions > in the current context!
    ========== OTL ==========
    Prefs.js: webbooster@iminent.com:5.14.1.0 removed from extensions.enabledAddons
    Prefs.js: {ef79f67a-6ad7-4715-a0f8-932fca442023}:10.10.27.6 removed from extensions.enabledAddons
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{56191195-F5D3-40B9-A2F3-5738D0C748E1}\\NameServer| /E : value set successfully!
    HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{D4240FA7-F179-4ABD-A79E-FBAD5E395E6E}\\NameServer| /E : value set successfully!
    C:\Users\Romu\AppData\Roaming\Wise Disk Cleaner\UpdateInfo folder moved successfully.
    C:\Users\Romu\AppData\Roaming\Wise Disk Cleaner folder moved successfully.
    ========== FILES ==========
    File\Folder C:\USERS\ROMU\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\8BZL1Z4Q.DEFAULT\EXTENSIONS\{EF79F67A-6AD7-4715-A0F8-932FCA442023} not found.
    File\Folder C:\PROGRAM FILES (X86)\IMINENT\WEBBOOSTER@IMINENT.COM not found.
    ========== COMMANDS ==========

    [EMPTYTEMP]

    User: Administrator

    User: All Users

    User: Default
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 33170 bytes
    ->Flash cache emptied: 56478 bytes

    User: Default User
    ->Temp folder emptied: 0 bytes
    ->Temporary Internet Files folder emptied: 0 bytes
    ->Flash cache emptied: 0 bytes

    User: Public

    User: Romu
    ->Temp folder emptied: 161383668 bytes
    ->Temporary Internet Files folder emptied: 17311091 bytes
    ->Java cache emptied: 543407 bytes
    ->FireFox cache emptied: 70478486 bytes
    ->Google Chrome cache emptied: 25150396 bytes
    ->Flash cache emptied: 62740 bytes

    %systemdrive% .tmp files removed: 0 bytes
    %systemroot% .tmp files removed: 0 bytes
    %systemroot%\System32 .tmp files removed: 0 bytes
    %systemroot%\System32 (64bit) .tmp files removed: 0 bytes
    %systemroot%\System32\drivers .tmp files removed: 0 bytes
    Windows Temp folder emptied: 8218 bytes
    %systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 42322215 bytes
    RecycleBin emptied: 0 bytes

    Total Files Cleaned = 303,00 mb

    OTL by OldTimer - Version 3.2.69.0 log created on 05032013_135645

    Files\Folders moved on Reboot...
    C:\Users\Romu\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
    C:\Users\Romu\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
    File move failed. C:\Windows\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.
    File\Folder C:\Windows\temp\etilqs_CyPdwIs3wSQIX2TUZ7NT not found!
    File\Folder C:\Windows\temp\etilqs_tlyyajD0BdC6INTDTe4P not found!
    File\Folder C:\Windows\temp\etilqs_y9bqFSuFam5I9FCeMBjO not found!
    File\Folder C:\Windows\temp\etilqs_YMlHZ5oeVJT9P48p9Ka4 not found!

    PendingFileRenameOperations files...

    Registry entries deleted on Reboot...
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Parfait !

    Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

    ~~

    Fais des scans réguliers avec Malwarebytes, il est efficace.

    ~~

    Sécurise ton PC !

    Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

    Passe le mot à tes amis !

    ~~

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
    0
    1. tmk.pcs Messages postés 7 Statut Membre
       
      Merci beaucoup pour ton aide :)
      0
  10. Maxirugue Messages postés 681 Statut Membre 49
     
    Bonjour,
    J'ai la solution

    CCleaner (Exécute Registre & Nettoyeur) : https://www.commentcamarche.net/telecharger/utilitaires/5647-ccleaner/#q=ccleaner&cur=1&url=%2F

    Advanced SystemCare (Fais tout) : https://www.commentcamarche.net/telecharger/utilitaires/2727-advanced-systemcare-15-free/#q=Advanced+systemcare&cur=1&url=%2F

    Malwarebytes anti Malware (Fais tous les scans) : https://www.clubic.com/telecharger-fiche215092-malwarebytes-anti-malware.html

    Fais moi un rapport, pour chaque logiciel

    Cordialement
    Maxirugue
    -2