Fichier registre infecté

Résolu/Fermé
Quentin_Inf Messages postés 14 Date d'inscription jeudi 16 mai 2013 Statut Membre Dernière intervention 6 juin 2013 - 16 mai 2013 à 18:36
Quentin_Inf Messages postés 14 Date d'inscription jeudi 16 mai 2013 Statut Membre Dernière intervention 6 juin 2013 - 18 mai 2013 à 12:06
Bonjour,

Il y a quelques jours je me suis aperçu que mon pc était infecté d'un virus (Lancement de pages internet + onglets à l'infini..), ce qui peut révéler un autre problème.
J'ai donc scanner mon pc à l'aide de RogueKiller. Résultat : Deux fichiers de registre infectés.

Résultat :
¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

Dois-je supprimer ces fichiers directement ? Quelqu'un aurait-il une solution ?

PS: Je viens de passer à Windows 8 il y a à peine un mois, je n'ai pas fait de sauvegarde depuis...

Merci All !
A voir également:

20 réponses

juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 mai 2013 à 19:36
Salut

C'est normal ça, il le sort sur tous les ordi.
0
Quentin_Inf Messages postés 14 Date d'inscription jeudi 16 mai 2013 Statut Membre Dernière intervention 6 juin 2013 1
16 mai 2013 à 22:38
Ah d'accord, et y aurait-il un moyen que je supprime le fichier qui lance des pages web à l'infini ?

Ou autre solution ?
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 mai 2013 à 22:40
le fichier qui lance des pages web à l'infini ?

Plus de précisions ?
0
Quentin_Inf Messages postés 14 Date d'inscription jeudi 16 mai 2013 Statut Membre Dernière intervention 6 juin 2013 1
16 mai 2013 à 22:44
Au démarrage du pc, je pense qu'un programme doit s'exécuter et déclencher le processus de nombreuses pages web. Cependant, au bout d'un certain temps, le pc se remet à fonctionner tout à fait normalement.
J'imagine que c'est un virus qui a infecté mon pc ?
0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
16 mai 2013 à 22:54
Mouais ...

Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

▶ Télécharge ici :OTL

▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

▶ Quand la fenêtre apparaît, Coche la case Tous les utilisateurs
▶ Coche les cases à coté de Recherche Lop et Recherche Purity.
Laisse tous les autres paramètres par défaut

▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


msconfig
netsvcs
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.*
BASESERVICES
CREATERESTOREPOINT
SAVEMBR:0


▶ Clic sur Analyse.

A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

Ces fichiers se trouvent à côté de l'exécutable OTL.exe

héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
0
Quentin_Inf Messages postés 14 Date d'inscription jeudi 16 mai 2013 Statut Membre Dernière intervention 6 juin 2013 1
17 mai 2013 à 17:17
Voici les deux liens obtenus après la manip:

Lien extras.txt: https://forums-fec.be/upload/www/?a=d&i=5702777593
Lien OTL: https://forums-fec.be/upload/www/?a=d&i=1335533780
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 mai 2013 à 17:33
Envoie ce fichier sur https://www.virustotal.com/gui/ et copie/colle le lien de la barre d'adresse quand l'analyse est effectuée

C:\Users\Quentin\img.exe
0
Quentin_Inf Messages postés 14 Date d'inscription jeudi 16 mai 2013 Statut Membre Dernière intervention 6 juin 2013 1
17 mai 2013 à 17:42
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
Modifié par juju666 le 17/05/2013 à 17:48
Chépa c'est chelou.
C'est un truc que tu utilises pour GTA ?

Et ça c'est quoi ? C:\Users\Quentin\sami.exe


.::. Contributeur Sécurité .::.
0
Quentin_Inf Messages postés 14 Date d'inscription jeudi 16 mai 2013 Statut Membre Dernière intervention 6 juin 2013 1
17 mai 2013 à 17:53
Non pas du tout !
Et l'autre fichier je sais pas ce que c'est, il affiche :

Modifié le: 27/04/2005

Alors que ca fait à peine 6 mois que j'ai mon ordi.

Je comprends rien c'est bizarre
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 mai 2013 à 18:06
Envoie-le également sur virustotal.com pour voir.
C'est toi qui les a mis là ?
0
Quentin_Inf Messages postés 14 Date d'inscription jeudi 16 mai 2013 Statut Membre Dernière intervention 6 juin 2013 1
17 mai 2013 à 18:33
Non je n'avais jamais vu ces fichiers.

Sami.exe: https://www.virustotal.com/gui/file/26c0dd42df44e8551365ca5e1edb115c3127faa79ca6923a79ddd319c6d2b173

Rar: https://www.virustotal.com/gui/file/0c230aae90bbb8756eb7b6aeb4a19d552e53d50f56b18cd386824f8827ac976b

Les autres fichiers suspects à cet endroit là ne comportent pas de problèmes majeurs apparemment.
0
Quentin_Inf Messages postés 14 Date d'inscription jeudi 16 mai 2013 Statut Membre Dernière intervention 6 juin 2013 1
17 mai 2013 à 18:33
Je peux enlever les fichiers de la bdd FEC ?
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
17 mai 2013 à 19:12
Nan attend qu'on ait fini.

ATTENTION !!! : Script personnalisé pour cette machine uniquement , ne pas reproduire !!


si tu as XP => double clique
si tu as Vista ou windows 7 => clic droit "executer en tant que...."


sur OTL.exe pour le lancer.


▶Copie la liste qui se trouve en gras ci-dessous,

▶ colle-la dans la zone sous "Personnalisation" :

:OTL
FF - prefs.js..browser.search.defaultthis.engineName: "MyFreeGames Customized Web Search"
FF - prefs.js..browser.search.defaulturl: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3290520&CUI=UN27420132312682817&UM=2&SearchSource=3&q={searchTerms}"
FF - prefs.js..keyword.URL: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3290520&SearchSource=2&CUI=UN27420132312682817&UM=2&q="
[2013/04/07 14:01:03 | 000,000,999 | ---- | M] () -- C:\Users\Quentin\AppData\Roaming\mozilla\firefox\profiles\vlirp2kj.default\searchplugins\conduit.xml
O2 - BHO: (Yontoo) - {FD72061E-9FDE-484D-A58A-0BAB4151CAD8} - C:\Program Files (x86)\Yontoo\YontooIEClient.dll (Yontoo LLC)
[2005/08/22 00:57:18 | 000,053,248 | ---- | C] (AruTec) -- C:\Users\Quentin\img.exe
[2005/09/04 11:16:23 | 000,844,800 | ---- | C] () -- C:\Users\Quentin\sami.exe
[2005/06/19 08:51:01 | 000,000,175 | ---- | C] () -- C:\Users\Quentin\sami.ini
[2005/06/18 09:34:26 | 000,293,376 | ---- | C] () -- C:\Users\Quentin\Rar.exe
[2013/04/07 13:38:55 | 000,000,000 | ---D | M] -- C:\Users\Quentin\AppData\Roaming\OpenCandy
[2013/03/26 22:47:30 | 000,081,536 | ---- | M] (Conduit) -- C:\Users\Quentin\AppData\Roaming\OpenCandy\25E7CB48D5CF43FC969C437ABE4A4256\mconduitinstaller.exe
[2013/03/28 02:05:22 | 000,433,448 | ---- | M] (OpenCandy) -- C:\Users\Quentin\AppData\Roaming\OpenCandy\25E7CB48D5CF43FC969C437ABE4A4256\OCBrowserHelper_1.0.6.124.exe
[2013/02/28 02:20:24 | 032,965,272 | ---- | M] (SweetLabs,Inc.) -- C:\Users\Quentin\AppData\Roaming\OpenCandy\25E7CB48D5CF43FC969C437ABE4A4256\version512e990dafdb7.exe

:Commands
[EMPTYTEMP]


▶ Clique sur "Correction" pour lancer la suppression.


▶ Poste le rapport qui logiquement s'ouvrira tout seul en fin de travail apres le redemarrage.

0
Quentin_Inf Messages postés 14 Date d'inscription jeudi 16 mai 2013 Statut Membre Dernière intervention 6 juin 2013 1
17 mai 2013 à 19:51
Ok, donc j'ai fait une fausse manip après que mon pc se soit redémarré... J'ai fermé le bloc note en pensant le trouver sur le bureau (Oui moment de débilité !)
J'ai donc recommencé la manip :

(not found= a été supprimé lors de la première exécution)


All processes killed
========== OTL ==========
Prefs.js: "MyFreeGames Customized Web Search" removed from browser.search.defaultthis.engineName
Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3290520&CUI=UN27420132312682817&UM=2&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl
Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3290520&SearchSource=2&CUI=UN27420132312682817&UM=2&q=" removed from keyword.URL
File C:\Users\Quentin\AppData\Roaming\mozilla\firefox\profiles\vlirp2kj.default\searchplugins\conduit.xml not found.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ not found.
File C:\Program Files (x86)\Yontoo\YontooIEClient.dll not found.
File C:\Users\Quentin\img.exe not found.
File C:\Users\Quentin\sami.exe not found.
File C:\Users\Quentin\sami.ini not found.
File C:\Users\Quentin\Rar.exe not found.
Folder C:\Users\Quentin\AppData\Roaming\OpenCandy\ not found.
File C:\Users\Quentin\AppData\Roaming\OpenCandy\25E7CB48D5CF43FC969C437ABE4A4256\mconduitinstaller.exe not found.
File C:\Users\Quentin\AppData\Roaming\OpenCandy\25E7CB48D5CF43FC969C437ABE4A4256\OCBrowserHelper_1.0.6.124.exe not found.
File C:\Users\Quentin\AppData\Roaming\OpenCandy\25E7CB48D5CF43FC969C437ABE4A4256\version512e990dafdb7.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Quentin
->Temp folder emptied: 33471 bytes
->Temporary Internet Files folder emptied: 1108935 bytes
->FireFox cache emptied: 0 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 0 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 0 bytes
RecycleBin emptied: 0 bytes

Total Files Cleaned = 1,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 05172013_194619

Files\Folders moved on Reboot...
C:\Users\Quentin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
File\Folder C:\Users\Quentin\AppData\Local\Temp\~DF28909D74653B0E2D.TMP not found!
File\Folder C:\Users\Quentin\AppData\Local\Temp\~DF75FAB6CAE09A8915.TMP not found!
C:\Users\Quentin\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\WINDOWS\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
0
Quentin_Inf Messages postés 14 Date d'inscription jeudi 16 mai 2013 Statut Membre Dernière intervention 6 juin 2013 1
17 mai 2013 à 19:54
Désolé, je vais passer pour un ignorant !
Mais j'ai retrouvé le premier rapport :


All processes killed
========== OTL ==========
Prefs.js: "MyFreeGames Customized Web Search" removed from browser.search.defaultthis.engineName
Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3290520&CUI=UN27420132312682817&UM=2&SearchSource=3&q={searchTerms}" removed from browser.search.defaulturl
Prefs.js: "http://search.conduit.com/ResultsExt.aspx?ctid=CT3290520&SearchSource=2&CUI=UN27420132312682817&UM=2&q=" removed from keyword.URL
C:\Users\Quentin\AppData\Roaming\mozilla\firefox\profiles\vlirp2kj.default\searchplugins\conduit.xml moved successfully.
Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ deleted successfully.
Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{FD72061E-9FDE-484D-A58A-0BAB4151CAD8}\ deleted successfully.
C:\Program Files (x86)\Yontoo\YontooIEClient.dll moved successfully.
C:\Users\Quentin\img.exe moved successfully.
C:\Users\Quentin\sami.exe moved successfully.
C:\Users\Quentin\sami.ini moved successfully.
C:\Users\Quentin\Rar.exe moved successfully.
C:\Users\Quentin\AppData\Roaming\OpenCandy\OpenCandy_25E7CB48D5CF43FC969C437ABE4A4256 folder moved successfully.
C:\Users\Quentin\AppData\Roaming\OpenCandy\25E7CB48D5CF43FC969C437ABE4A4256 folder moved successfully.
C:\Users\Quentin\AppData\Roaming\OpenCandy folder moved successfully.
File C:\Users\Quentin\AppData\Roaming\OpenCandy\25E7CB48D5CF43FC969C437ABE4A4256\mconduitinstaller.exe not found.
File C:\Users\Quentin\AppData\Roaming\OpenCandy\25E7CB48D5CF43FC969C437ABE4A4256\OCBrowserHelper_1.0.6.124.exe not found.
File C:\Users\Quentin\AppData\Roaming\OpenCandy\25E7CB48D5CF43FC969C437ABE4A4256\version512e990dafdb7.exe not found.
========== COMMANDS ==========

[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 57472 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Quentin
->Temp folder emptied: 3369234 bytes
->Temporary Internet Files folder emptied: 88356728 bytes
->FireFox cache emptied: 258025911 bytes
->Flash cache emptied: 59327 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 37128474 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 373608 bytes
RecycleBin emptied: 3439587 bytes

Total Files Cleaned = 373,00 mb


OTL by OldTimer - Version 3.2.69.0 log created on 05172013_193810

Files\Folders moved on Reboot...
C:\Users\Quentin\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.
C:\Users\Quentin\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat moved successfully.
File move failed. C:\WINDOWS\temp\_avast_\Webshlock.txt scheduled to be moved on reboot.

PendingFileRenameOperations files...

Registry entries deleted on Reboot...
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 mai 2013 à 11:43
salut encore des problèmes ?
0
Quentin_Inf Messages postés 14 Date d'inscription jeudi 16 mai 2013 Statut Membre Dernière intervention 6 juin 2013 1
18 mai 2013 à 11:57
Non ca n'a pas recommencé, j'espère que c'est bon !

Merci beaucoup de ton aide précieuse !!!
0
juju666 Messages postés 35446 Date d'inscription jeudi 18 décembre 2008 Statut Contributeur sécurité Dernière intervention 21 avril 2024 4 796
18 mai 2013 à 11:59
Super :)

Si tu as Spybot, désinstalle, il est dépassé et inefficace.
Si tu as McAfee Security Scan, pareil désinstalle le, il sert à rien.
Et c'est la même chose pour AD-Aware, dépassé et inefficace, donc à désinstaller.

~~

Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

~~

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.

~~

Sécurise ton PC !

Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java

Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

https://forum.malekal.com/viewtopic.php?t=15960&start=

Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web


Passe le mot à tes amis !

~~

Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
0
Quentin_Inf Messages postés 14 Date d'inscription jeudi 16 mai 2013 Statut Membre Dernière intervention 6 juin 2013 1
18 mai 2013 à 12:06
Ca marche je fais ca dans la journée :)
(J'enlève les fichiers sur FEC aussi ;) )


Merci beaucoup !
0