Keylogger dans mon pc

Résolu/Fermé
Cmos35 Messages postés 11 Date d'inscription samedi 1 juin 2013 Statut Membre Dernière intervention 6 juin 2013 - 1 juin 2013 à 20:02
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 - 6 juin 2013 à 12:46
Bonjour, pendant l'installation de cdimage, j'ai installé également webcake. Après quelque recherche, j'ai découvert que celui-ci est un logiciel très dangereux de type keylogger. Pendant l'instal, j'ai refusé la connection internet via mon parefeu, ce qui m'a probablement évité des ennuis. J'ai fait une analyse avec avira internet security et malwarebytes qui n'ont rien donné, puis j'ai fait une analyse avec spybot qui m'a trouvé 9 problèmes mais pas de keylogger mais un fichier de log. Je tiens à dire que j'ai réussi à enlever webcake mais je paranoï un peu.
Quelqu'un pourrait-il m'aider afin de vérifier si je n'ai pas quelque chose de méchant sur mon pc. merci
A voir également:

12 réponses

Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
Modifié par Sugel le 1/06/2013 à 20:06
Bien sûr !

> Téléchargez ICI ZHPDiag.
> Double-cliquez sur ZHPDiag.exe puis suivez les étapes de l'installation.
> Cochez la case "Exécuter ZHPDiag" à la fin de l'installation puis cliquez sur [Terminer].
> L'installation est terminée, 3 icônes sont créées sur votre bureau.
> Double-cliquez sur le raccourci portant le nom "ZHPDiag" qui se trouve normalement sur votre bureau.
> Choisissez l'option "Lancer le diagnostic" (une loupe).
> ZHPDiag va alors analyser le contenu de votre ordinateur à la recherche d'informations sur votre système d'exploitation, la base de registre...
> A la fin de l'analyse, un rapport est créé directement sur votre bureau, il se nomme ZHPDiag.txt.
> Allez a cette adresse, et cliquez sur parcourir, sélectionnez le fichier généré précédemment, et cliquez sur"Envoyer le fichier", puis récupérez l'adresse générée et postez la sur le forum.

Après on vas passer un coup de RogueKiller pour voir si il y a pas de Rootkit.

▶ Télécharge sur le bureau RogueKiller (merci à Tigzy).

Quitte tous les programmes en cours !

▶ Sous Vista/Seven, clic droit -> lancer en tant qu'administrateur, sinon lance simplement RogueKiller.exe.

▶ Clique sur Scan.

▶ Puis clique sur Rapport et copie/colle le sur le forum

(le rapport est également sur le bureau).


Cordialement, Sugel.

------------------------------------------------------------------------------------
"La peur mène à la colère. La colère mène à la haine. Et la haine ... mène à la souffrance." - Yoda
0
Salut, merci de répondre si rapidement.

Le lien pour ZhpDiag:http://pjjoint.malekal.com/files.php?id=ZHPDiag_20130601_k13m15g10n12m13

Le rapport Roguekiller:

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.sur-la-toile.com/discussion-193725-1--RogueKiller-Remontees.html
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Xavier [Droits d'admin]
Mode : Recherche -- Date : 01/06/2013 22:36:47
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 3 ¤¤¤
[HJ SMENU] HKCU\[...]\Advanced : Start_ShowMyGames (0) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[12] : NtAdjustPrivilegesToken @ 0x82EA43B3 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BFE36)
SSDT[22] : NtAlpcConnectPort @ 0x82E560F1 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C2074)
SSDT[23] : NtAlpcCreatePort @ 0x82E9ED40 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C22EE)
SSDT[39] : NtAlpcSendWaitReceivePort @ 0x82E85DB7 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C2564)
SSDT[50] : NtClose @ 0x82E7D9DE -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C074A)
SSDT[59] : ExpInterlockedPopEntrySListResume @ 0x82E72C58 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C157E)
SSDT[64] : NtCreateEvent @ 0x82E65C39 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1AC8)
SSDT[66] : NtCreateFile @ 0x82E8475B -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0A26)
SSDT[74] : NtCreateMutant @ 0x82EA52B7 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C19AE)
SSDT[75] : NtCreateNamedPipeFile @ 0x82EA88B7 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BFA24)
SSDT[77] : NtCreatePort @ 0x82EA3E20 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1882)
SSDT[84] : NtCreateSection @ 0x82E8C9CA -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BFBCC)
SSDT[85] : NtCreateSemaphore @ 0x82E6455B -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1BE8)
SSDT[86] : NtCreateSymbolicLinkObject @ 0x82E241D5 -> HOOKED (Unknown @ 0x8C0C3A7E)
SSDT[87] : NtCreateThread @ 0x82F0B836 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C03D0)
SSDT[88] : NtCreateThreadEx @ 0x82E948F3 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C04CE)
SSDT[93] : NtCreateUserProcess @ 0x82E5CAD8 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C27AE)
SSDT[94] : NtCreateWaitablePort @ 0x82DCD5FF -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1918)
SSDT[96] : NtDebugActiveProcess @ 0x82EDDFC4 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C32D6)
SSDT[107] : NtDeviceIoControlFile @ 0x82E46F27 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0EA8)
SSDT[111] : NtDuplicateObject @ 0x82E909A7 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C44E4)
SSDT[134] : NtFsControlFile @ 0x82E7D030 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0CB6)
SSDT[155] : NtLoadDriver @ 0x82DDA474 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C33C8)
SSDT[168] : NtMapViewOfSection @ 0x82E6FC7E -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3B30)
SSDT[177] : NtOpenEvent @ 0x82E66022 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1B5E)
SSDT[179] : NtOpenFile @ 0x82E8F9CA -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C07CC)
SSDT[187] : NtOpenMutant @ 0x82E86A76 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1A3E)
SSDT[190] : NtOpenProcess @ 0x82E51FA1 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0074)
SSDT[194] : NtOpenSection @ 0x82E9EAE0 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C38CA)
SSDT[195] : NtOpenSemaphore @ 0x82E071E0 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1C7E)
SSDT[198] : NtOpenThread @ 0x82EA7C29 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BFF64)
SSDT[224] : NtQueryDirectoryObject @ 0x82E4C0C2 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C2868)
SSDT[254] : NtQuerySection @ 0x82E6444A -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3E6A)
SSDT[269] : NtQueueApcThread @ 0x82E209D9 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C375C)
SSDT[292] : NtReplaceKey @ 0x82ECBB52 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BE6DE)
SSDT[294] : NtReplyPort @ 0x82E787E8 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1FE2)
SSDT[295] : NtReplyWaitReceivePort @ 0x82E94D04 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C1EA8)
SSDT[299] : NtRequestWaitReplyPort @ 0x82E5439F -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3070)
SSDT[302] : NtRestoreKey @ 0x82EC0242 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BEA56)
SSDT[304] : NtResumeThread @ 0x82E61DC9 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C4386)
SSDT[309] : NtSaveKey @ 0x82EC0440 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2BE676)
SSDT[312] : NtSecureConnectPort @ 0x82E6465C -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C12C4)
SSDT[316] : NtSetContextThread @ 0x82F0D0C1 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C05EC)
SSDT[336] : NtSetInformationToken @ 0x82E7B57D -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C290A)
SSDT[347] : NtSetSecurityObject @ 0x82E82C6A -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3566)
SSDT[350] : NtSetSystemInformation @ 0x82E1D664 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3FBA)
SSDT[366] : NtSuspendProcess @ 0x82F0D54F -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C40AC)
SSDT[367] : NtSuspendThread @ 0x82EC7463 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C41E6)
SSDT[368] : NtSystemDebugControl @ 0x82E219EC -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C31FA)
SSDT[370] : NtTerminateProcess @ 0x82E52480 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C021A)
SSDT[371] : NtTerminateThread @ 0x82E69A46 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0170)
SSDT[385] : NtUnmapViewOfSection @ 0x82E925FA -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C3D0E)
SSDT[399] : NtWriteVirtualMemory @ 0x82E82387 -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2C0306)
S_SSDT[14] : NtGdiBitBlt -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D26D0)
S_SSDT[237] : NtGdiMaskBlt -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D27A6)
S_SSDT[247] : NtGdiPlgBlt -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2816)
S_SSDT[302] : NtGdiStretchBlt -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D273A)
S_SSDT[318] : NtUserAttachThreadInput -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2D9E)
S_SSDT[323] : NtUserBuildHwndList -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D287E)
S_SSDT[396] : NtUserFindWindowEx -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D24F4)
S_SSDT[402] : NtUserGetAsyncKeyState -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2302)
S_SSDT[434] : NtUserGetKeyboardState -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2602)
S_SSDT[436] : NtUserGetKeyState -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D234E)
S_SSDT[490] : NtUserMessageCall -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2446)
S_SSDT[508] : NtUserPostMessage -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D239A)
S_SSDT[509] : NtUserPostThreadMessage -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D23EE)
S_SSDT[524] : NtUserRegisterRawInputDevices -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D258A)
S_SSDT[536] : NtUserSendInput -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D24A6)
S_SSDT[560] : NtUserSetParent -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2C50)
S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D2248)
S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (\SystemRoot\system32\DRIVERS\3245046drv.sys @ 0xAB2D22A0)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts



¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9120822AS ATA Device +++++
--- User ---
[MBR] 50d4cb84757a21da31f4e3113175528b
[BSP] c5e7eb8324876edaa6e312373d23074f : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 70371 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 144326656 | Size: 44000 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: CHIPSBNK v3.3.9.1 USB Device +++++
--- User ---
[MBR] c0699a96312659f258e51a7b916bb391
[BSP] ca217fc5a92a3b66e5a15c06fd3cef06 : MBR Code unknown
Partition table:
0 - [ACTIVE] FAT32-LBA (0x0c) [VISIBLE] Offset (sectors): 63 | Size: 3886 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[1]_S_01062013_223647.txt >>
RKreport[1]_S_01062013_223647.txt
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
1 juin 2013 à 22:54
Effectivement, c'est mauvais.
Par contre, je vais devoir m'absenter pendant deux-trois jours suite à un décès, donc je vais devoir confier la suite de la désinfection à un "collègue" ;-)
Bonne chance !
0
Cmos35 Messages postés 11 Date d'inscription samedi 1 juin 2013 Statut Membre Dernière intervention 6 juin 2013
3 juin 2013 à 14:09
Bonjour,

J'ai passé combofix pour voir s'il ne trouvait pas quelque chose, il m'a supprimé
C:\Program Data\page
" " \ico
" " \page.URL
J'ai également supprimé les clés présentes dans le registre du scan additionnel de ZHPDiag.

Maintenant, je ne m'y connait pas assez pour dire s'il reste une infection sur mon pc

A bientôt, et merci encore pour l'aide
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
5 juin 2013 à 08:52
re
désolé de mon absence, j'étais à un enterrement.
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
4 juin 2013 à 17:36
re.
Je suis de retour.
Fais cette manip:

Copie les lignes en gras ci dessous :

SysRestore
M2 - MFEP: prefs.js [Xavier - mo6w5l6d.default\plugin@getwebcake.com] [] WebCake v1.00.01 (..)
[HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\Old_Current] =>PUP.MediaFinder
[HKLM\Software\Classes\Installer\Features\9EC6D81181F59F2459A84176A626F9ED] =>Adware.IMBooster
[HKLM\Software\Classes\Installer\Products\9EC6D81181F59F2459A84176A626F9ED] =>Adware.IMBooster
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EC6D81181F59F2459A84176A626F9ED] =>Adware.IMBooster
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F1057DD419AED0B468AD8888429E139A] =>Adware.IMBooster
[HKLM\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib] =>Toolbar.Conduit
FirewallRAZ
EmptyCLSID
EmptyTemp
EmptyFlash

Puis suis ce tutoriel imagé : http://www.security-helpzone.com/Thread-ZHPFix-Script


0

Vous n’avez pas trouvé la réponse que vous recherchez ?

Posez votre question
Cmos35 Messages postés 11 Date d'inscription samedi 1 juin 2013 Statut Membre Dernière intervention 6 juin 2013
5 juin 2013 à 11:00
Bonjour, toutes mes condoléances

Voici le rapport ZHPFix :

Rapport de ZHPFix 2013.5.24.2 par Nicolas Coolman, Update du 24/05/2013
Fichier d'export Registre :
Run by Xavier at 05/06/2013 10:36:24
High Elevated Privileges : OK
Windows 7 Business Edition, 32-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\AppEvents\Schemes\Apps\Explorer\Navigating\Old_Current
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\9EC6D81181F59F2459A84176A626F9ED
ABSENT Key: HKLM\Software\Classes\Installer\Products\9EC6D81181F59F2459A84176A626F9ED
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EC6D81181F59F2459A84176A626F9ED
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F1057DD419AED0B468AD8888429E139A
ABSENT Key: HKLM\Software\Google\Chrome\Extensions\paoponfhfdfnjgddpnpjkambkcgdaaib

========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :

========== Dossier(s) ==========
Aucun dossiers CLSID Local utilisateur vide
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Fichier(s) ==========
SUPPRIME Temporaires Windows
SUPPRIME Flash Cookies

========== Restauration Système ==========
Point de restauration du système créé avec succès


========== Récapitulatif ==========
6 : Clé(s) du Registre
2 : Valeur(s) du Registre
3 : Dossier(s)
2 : Fichier(s)
1 : Restauration Système


End of clean in 00mn 31s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 02/06/2013 19:25:44 [490]
C:\ZHP\ZHPFix[R2].txt - 05/06/2013 10:36:26 [1626]


Par contre j'ai toujours les traces des .exe crées par le ou les virus dans mon parefeu, je ne sait pas si on peut les enlever ?

A bientôt
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
5 juin 2013 à 14:07
Re
Franchement, c'est mauvais.
Il y a un lien sur ton bureau appelé MBR check. Lance le.
Un rapport s'ouvre en fin de scan et sera automatiquement enregistré sur le Bureau. Il sera du type MBRCheck_AA.JJ.MM_hh.mm.ss.txt (exemple : MBRCheck_07.21.10_18.08.06.txt)
Ce rapport est à uploader sur cijoint.

Tu peut refaire un ZHP Diag ??
0
Cmos35 Messages postés 11 Date d'inscription samedi 1 juin 2013 Statut Membre Dernière intervention 6 juin 2013
5 juin 2013 à 14:41
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
5 juin 2013 à 14:57
C'est toi qui a mis KeyScrambler ??
D'après moi, les logiciels suivant sont inutiles, et peuvent nuire à la stabilité de ton PC:
RAM Saver Professional
TuneUpUtilities
0
Cmos35 Messages postés 11 Date d'inscription samedi 1 juin 2013 Statut Membre Dernière intervention 6 juin 2013
5 juin 2013 à 14:58
Re,

J'ai dû me déconnecter, voici le lien pour le rapport ZHPDiag :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130605_r8h9u14b9s5
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
Modifié par Sugel le 5/06/2013 à 15:12
Bon.
ces deux fichiers me paraissent plutôt louches:
C:\Windows\MBR.exe
C:\Windows\PEV.exe

Envoie les sur virus total:

> Envoie le fichier grâce au bouton "choisir un fichier"

> Un rapport va s'élaborer ligne à ligne.

> Attends bien la fin ... Il doit comprendre la taille du fichier envoyé.

> Sauvegarde le rapport avec le bloc-note.

> Copie le dans ta prochaine réponse ...

( Si VirusTotal indique que le fichier a déjà été analysé, clique sur le bouton Ré-analyse le fichier maintenant )
0
Cmos35 Messages postés 11 Date d'inscription samedi 1 juin 2013 Statut Membre Dernière intervention 6 juin 2013
5 juin 2013 à 15:07
Re,

C'est vrai que j'ai des problèmes de stabilité (le menu démarrer s'affiche à répétition lorsque je navigue sur un site avec la flèche de défilement vers le bas) ou (je ne peux pas fermer une fenêtre avec la croix, elle diminue), c'est agaçant.

Tu pense donc qu'il faut que je désinstalle l'un ou l'autre voir les deux.
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
5 juin 2013 à 15:13
oui ;-)
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
5 juin 2013 à 15:13
aussi:
▶ Pour installer Adobe Reader, rends toi ici
!!Attention !! Pensez à décocher l'outil McAfee Security Scan proposé (ou Google Chrome suivant les cas).

Met a jour adobe reader.
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
5 juin 2013 à 15:17
Dis moi, et free pdf unlocker, c'est pour un mot de passe perdu ? -_-'
ne fais JAMAIS confiance à ce genre de logiciels, ils ne le méritent pas.
0
Cmos35 Messages postés 11 Date d'inscription samedi 1 juin 2013 Statut Membre Dernière intervention 6 juin 2013
5 juin 2013 à 15:38
Re,

J'ai désinstallé FreePDFUnlocker
J'ai mis à jour Adobe
Oui, c'est moi qui a installé Keyscrambler

Et voici le rapport pour MBR.exe :



Communauté
Statistiques
Documentation
FAQ
A propos

Rejoindre notre communauté
Se connecter

Français

VirusTotal
SHA256: ff14a83caafe2c941e29e9d177a876d72aed865571d8518f24d9ea265222741e
Nom du fichier : MBR.exe
Ratio de détection : 1 / 47
Date d'analyse : 2013-06-05 13:20:07 UTC (il y a 0 minute)
0
7
Plus de détails

Analyse
File detail
Informations supplémentaires
Commentaires
Votes

Antivirus Résultat Mise à jour
Agnitum 20130605
AhnLab-V3 20130604
AntiVir 20130605
Antiy-AVL 20130605
Avast 20130605
AVG 20130605
BitDefender 20130605
ByteHero 20130605
CAT-QuickHeal 20130605
ClamAV 20130605
Commtouch 20130605
Comodo 20130605
DrWeb 20130605
Emsisoft 20130605
eSafe 20130604
ESET-NOD32 20130605
F-Prot 20130605
F-Secure 20130605
Fortinet 20130605
GData 20130605
Ikarus 20130605
Jiangmin Trojan/Generic.mvhv 20130605
K7AntiVirus 20130604
K7GW 20130604
Kaspersky 20130605
Kingsoft 20130506
Malwarebytes 20130605
McAfee 20130605
McAfee-GW-Edition 20130605
Microsoft 20130605
MicroWorld-eScan 20130605
NANO-Antivirus 20130605
Norman 20130604
nProtect 20130605
Panda 20130605
PCTools 20130521
Rising 20130604
Sophos 20130605
SUPERAntiSpyware 20130605
Symantec 20130605
TheHacker 20130605
TotalDefense 20130605
TrendMicro 20130605
TrendMicro-HouseCall 20130605
VBA32 20130605
VIPRE 20130605
ViRobot 20130605
Blog | Twitter | contact@virustotal.com | Groupes Google | CGU | Politique de confidentialité

Et le rapport pou FEV.exe :



Communauté
Statistiques
Documentation
FAQ
A propos

Rejoindre notre communauté
Se connecter

Français

VirusTotal
SHA256: ae0f5cc54e4b133df66a54572a7ce52faff11f8fd0caeab088aad3699d6ec924
Nom du fichier : PEV.exe
Ratio de détection : 1 / 47
Date d'analyse : 2013-06-05 13:24:13 UTC (il y a 0 minute)
8
2
Plus de détails

Analyse
File detail
Informations supplémentaires
Commentaires
Votes

Antivirus Résultat Mise à jour
Agnitum 20130605
AhnLab-V3 20130604
AntiVir 20130605
Antiy-AVL 20130605
Avast 20130605
AVG 20130605
BitDefender 20130605
ByteHero 20130605
CAT-QuickHeal 20130605
ClamAV 20130605
Commtouch 20130605
Comodo 20130605
DrWeb 20130605
Emsisoft 20130605
eSafe Suspicious File 20130604
ESET-NOD32 20130605
F-Prot 20130605
F-Secure 20130605
Fortinet 20130605
GData 20130605
Ikarus 20130605
Jiangmin 20130605
K7AntiVirus 20130604
K7GW 20130604
Kaspersky 20130605
Kingsoft 20130506
Malwarebytes 20130605
McAfee 20130605
McAfee-GW-Edition 20130605
Microsoft 20130605
MicroWorld-eScan 20130605
NANO-Antivirus 20130605
Norman 20130604
nProtect 20130605
Panda 20130605
PCTools 20130521
Rising 20130604
Sophos 20130605
SUPERAntiSpyware 20130605
Symantec 20130605
TheHacker 20130605
TotalDefense 20130605
TrendMicro 20130605
TrendMicro-HouseCall 20130605
VBA32 20130605
VIPRE 20130605
ViRobot 20130605
Blog | Twitter | contact@virustotal.com | Groupes Google | CGU | Politique de confidentialité


A bientôt
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
5 juin 2013 à 15:45
bref, c'est clean.
Enfin, mieux vaut prévenir que guérir !
Je viens de réaliser que tu avais pas passé roguekiller en mode suppression, au début !
Fais le, et poste le rapport, SVP.
Puis, on vas enlever les outils utilisés.
0
Cmos35 Messages postés 11 Date d'inscription samedi 1 juin 2013 Statut Membre Dernière intervention 6 juin 2013
5 juin 2013 à 16:16
Re,

J'ai supprimer MBR.exe et PEV.exe dans C:\Windows
et oui j'avais fait suppression, voici le rapport que j'ai eu :

RogueKiller V8.5.4 [Mar 18 2013] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : https://www.luanagames.com/index.fr.html
Site Web : https://www.luanagames.com/index.fr.html
Blog : http://tigzyrk.blogspot.com/

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 32 bits version
Demarrage : Mode normal
Utilisateur : Xavier [Droits d'admin]
Mode : Suppression -- Date : 05/06/2013 16:10:31
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 4 ¤¤¤
[HJ DESK] HKCU\[...]\ClassicStartMenu : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {59031A47-3F72-44A7-89C5-5595FE6B30EE} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\ClassicStartMenu : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)
[HJ DESK] HKCU\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [CHARGE] ¤¤¤
SSDT[84] : NtCreateSection @ 0x82E639CA -> HOOKED (Unknown @ 0x8FFE359E)
SSDT[155] : NtLoadDriver @ 0x82DB1474 -> HOOKED (Unknown @ 0x8FFE357B)
SSDT[347] : NtSetSecurityObject @ 0x82E59C6A -> HOOKED (Unknown @ 0x8FFE35AD)
SSDT[368] : NtSystemDebugControl @ 0x82DF89EC -> HOOKED (Unknown @ 0x8FFE35B2)
S_SSDT[585] : NtUserSetWindowsHookEx -> HOOKED (Unknown @ 0x8FFE35C6)
S_SSDT[588] : NtUserSetWinEventHook -> HOOKED (Unknown @ 0x8FFE35CB)

¤¤¤ Fichier HOSTS: ¤¤¤
--> C:\Windows\system32\drivers\etc\hosts

127.0.0.1 localhost


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: ST9120822AS ATA Device +++++
--- User ---
[MBR] 50d4cb84757a21da31f4e3113175528b
[BSP] c5e7eb8324876edaa6e312373d23074f : Windows 7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 2048 | Size: 100 Mo
1 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 206848 | Size: 70371 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 144326656 | Size: 44000 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[2]_D_05062013_161031.txt >>
RKreport[1]_S_05062013_160914.txt ; RKreport[2]_D_05062013_161031.txt
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
5 juin 2013 à 16:33
??
ils sont clean, pourquoi les supprimer ??
0
Cmos35 Messages postés 11 Date d'inscription samedi 1 juin 2013 Statut Membre Dernière intervention 6 juin 2013
5 juin 2013 à 16:48
Re,

Parce-que l'antivirus Jiangmin considère que MBR est un trojan/Generic.mvhv

J'ai supprimer ramsaver et mon système est beaucoup plus stable.
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
5 juin 2013 à 22:49
si tu regarde bien, je ne pouvais pas voir que Jiangmin le détectais dans la partie que tu m'as passé ;-)
Pas grave, l'important est ce que cela soit fait.
Bon, pour résumer:
Le MBR est clean pas de bébête dedans, pas de drivers susceptibles et capter les touches du clavier, et apparemment pas de processus dangereux.
Donc, on fais un dernier ZHP Diag, et après on enlève les outils.

MAIS:
je te déconseille l'usage d'optimisateurs comme tuneup utilities, car en plus de ne pas être efficaces, ils alourdissent ton système avec des processus gourmands, et te bombardent d'alertes et de pub.
De mon avis, tu gagne à désinstaller le tout, et à te méfier de ces optimisateurs.
0
Cmos35 Messages postés 11 Date d'inscription samedi 1 juin 2013 Statut Membre Dernière intervention 6 juin 2013
6 juin 2013 à 10:36
Bonjour,

Ok, voici le lien pour le rapport ZHPDiag :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130606_i7p6s14k6w8

A bientôt
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
6 juin 2013 à 11:50
il faut que tu mette à jour:
Adobe Flash Player
Adobe Reader
Java

Et puis, il reste toujours tune up utilities, et SuperCopier (celui la comme tu veux, mais perso, je n'en vois pas l'utilité)

Fix toujours ça, c'est des restes d'un logiciel désinstallé:

[MD5.00000000000000000000000000000000] [APT] [{66979E99-010E-4B07-AA1D-80B982D1D3ED}] (...) -- C:\Users\Xavier\Documents\outils\IceSword122en\IceSword.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{88E28E68-A8A9-4FEC-8F3B-F076E89513B9}] (...) -- C:\Users\Xavier\Documents\outils\IceSword122en\IceSword.exe (.not file.) [0]
[MD5.00000000000000000000000000000000] [APT] [{FA9F8E23-C7A8-45B8-AE18-6ED16918078C}] (...) -- C:\Users\Xavier\Documents\outils\IceSword122en\IceSword.exe (.not file.) [0]


Et sinon, c'est bon !
Télécharge et exécute delfix pour enlever les outils.

Cordialement, Sugel.
0
Cmos35 Messages postés 11 Date d'inscription samedi 1 juin 2013 Statut Membre Dernière intervention 6 juin 2013
6 juin 2013 à 12:05
Merci pour tout, mon Pc est maintenant plus stable et plus sûr.

Cordialement.
0
Sugel Messages postés 4076 Date d'inscription jeudi 18 août 2011 Statut Membre Dernière intervention 19 juin 2017 725
6 juin 2013 à 12:46
juste, lis ça avant de partir:
https://www.malekal.com/sommaireguide-savoir-utiliser-son-pc-et-bonnes-habitudes-sur-internet/
ça vaut tout l'or du monde ^^
0