je me fais hacker, à l'aide! Résolu/Fermé

Question

Bonjour,

tout d'abord j'espère être dans le bon topic.

venons en au fait!

voilà, je ne suis pas un expert en informatique même plutot le contraire je piannote un peu et me débrouille mais mon souci est le suivant :

adepte d'un petit jeu type mmorpg (dofus) sur internet auquel je joue avec mon jeune frere  pour garder le contact avec lui de maniere amusante voila qu'hier je me fais déconnecter du serveur sur lequel je joue et impossible de me reconnecter mon mot de passe est devenu incorrect protégé par kapersky (à jour) il a finis par trouver un trojan mais a priori le mal etait deja fait kapersky le décris comme de souvenir : win32.appdata.roaming bref mon ordinateur est devenu super lent je me retrouve avec des commandes amazone a annulé qui ne sont pas les miennent et le pire c'est qu'un fenêtre de chat s'est ouverte ou a priori une ceratine personne  (francais) au vu de sa langue mais plutot jeune vu son orthographe viens me dire que je me suis fait entubé. forcé de constater a mon grand désarrois que c'est le cas j'en appel à la communauté des informatitiens pour un petit coup de pouce car je commence vraiment à m'inquiéter.

Que puis-je faire? 

NB: j'ai envoyé un mail au support du jeu mais le délai de réponse est de deux semaines. qui sais ce qu'il a le temps de faire pendant ce temps...

cordialement;

élyptic

nonolanimal · Answer

Salut,

as tu déjà utilisé tes coordonnées bancaires avec ton ordinateur ?

Sinon regarde un autre sujet :

https://forums.commentcamarche.net/forum/affich-22369549-win32-exe

Cela peux t'aider...

jlpjlp · Answer

slt


Télécharge ZHPDiag ( de Nicolas coolman ).
https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html


(outil de diagnostic)

Double clique sur le fichier d'installation, puis installe le avec les paramètres par défaut ( N'oublie pas de cocher " Créer une icône sur le bureau " )

Lance ZHPDiag en double cliquant sur l'icône présente sur ton bureau (Clique droit -> Executer en tant qu'admin ( vista )

Clique sur la loupe en haut à gauche, puis laisse l'outil scanner.

Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier sur ton bureau.

Rend toi sur Cjoint : http://www.cijoint.com/

Clique sur "Parcourir " dans la partie " Joindre un fichier[...] "

Sélectionne le rapport ZHPdiag.txt qui se trouve sur ton bureau

Clique ensuite sur "Cliquez ici pour déposer le fichier " et copie/colle le lien dans ton prochain message

ou sinon pour transmettre ton rapport:
* Quand le scan est fini, utilise le site http://pjjoint.malekal.com/ pour envoyer les rapports.
Donnes le liens pjjoint ici ensuite pour pouvoir être consultés.

élyptic · Answer

tout d'abord merci pour la réactivité!

voici le résultat du scan :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130605_k14r5q10g15u11

EGP-Swyx · Answer

Damned... bonne chance à toi!

élyptic · Answer

merci de m'inquieter plus que je ne le suis :/

jlpjlp · Answer

ok

colle un rapport de suppression avec adwcleaner

puis remets un rapport avec zhpdiag tout neuf

élyptic · Answer

voici le rapport de suppression de adw cleaner :

https://pjjoint.malekal.com/files.php?id=20130605_r12h14b14m9n10

élyptic · Answer

et voici par la suite le rapport zhpdiag :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130605_d7o9i15u5k6

jlpjlp · Answer

analyse ces fichiers sur virus total et colle nous les rapports obtenus:

C:\Users\NICO\AppData\Roaming\o5m5j.exe   

C:\Users\NICO\AppData\Roaming\phatk121016Caicosv2w128l4.bin   

 C:\Users\NICO\AppData\Roaming\u3ipz.exe

 C:\Users\NICO\AppData\Roaming\vd1es.exe

killnolife · Answer

Bonjour,
Il est dans ton %appdata%\Roaming, ce trojan.
Trouve ce fichier et éxtermine-le :]

élyptic · Answer

voici les rapport de virus total :

https://www.virustotal.com/gui/file/fa8ef92a40c03b6c84e3dd8c374799b05c6798cd924c3faa5a90ceb9229a2a81

https://www.virustotal.com/gui/file/51dc9cc08001b43782c6f16583039cfc2a89fd1d3b90613fcb078c30ac25fc6a

https://www.virustotal.com/gui/file/fa8ef92a40c03b6c84e3dd8c374799b05c6798cd924c3faa5a90ceb9229a2a81

https://www.virustotal.com/gui/file/727945b17148b47e698a8905db5d5538e3632308882fb4e0691657b91ab18249

jlpjlp · Answer

Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert)
Copie/colle les lignes en gras suivantes :

---------------------------------------------------------- 

[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][19/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\23r4v.exe   [1550157]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][19/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\2rp7e.exe   [1550157]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][19/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\2yfd1.exe   [1550157]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][19/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\2z656.exe   [1550157]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][19/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\7csln.exe   [1550157]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][20/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\9qvb5.exe   [1550157]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][20/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\a45v3.exe   [1550157]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][20/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\atl9t.exe   [1550157]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][19/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\db1yb.exe   [1550157]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][19/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\df470.exe   [1550157]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][19/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\k5hne.exe   [1550157]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][20/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\m94h1.exe   [1550157]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][20/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\mor88.exe   [1550157]

[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][20/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\o5m5j.exe   [1550157]

[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][19/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\u3ipz.exe   [1550157]
[MD5.212721DD4D1701E3A53D8538C8BFAA2A] [SPRF][18/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\vd1es.exe   [189811]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][19/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\who41.exe   [1550157]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][19/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\ybvd2.exe   [1550157]
[MD5.15AB1E8EE51D2592EFDD132D60F8508B] [SPRF][19/05/2013] (...) -- C:\Users\NICO\AppData\Roaming\z66gv.exe   [1550157]


[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}]   =>Toolbar.Agent
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}]   =>PUP.Funmoods
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}]   =>Adware.IMBooster
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}]   =>PUP.Funmoods
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ae07101b-46d4-4a98-af68-0333ea26e113}]   =>Adware.Agent
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS]   =>Toolbar.Bing
[HKCU\Software\DC3_FEXEC]   =>Backdoor.Fynloski
[HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32]   =>Toolbar.Bing
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\64A6E60055D801F4BB8AC269354B72B8]   =>Adware.Boxore
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375]   =>Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5]   =>Toolbar.Agent
[HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}]   =>Adware.MagniPic
[HKLM\Software\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}]   =>Adware.MagniPic
[HKLM\Software\Classes\Installer\Features\9EC6D81181F59F2459A84176A626F9ED]   =>Adware.IMBooster
[HKLM\Software\Classes\Installer\Products\9EC6D81181F59F2459A84176A626F9ED]   =>Adware.IMBooster
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EC6D81181F59F2459A84176A626F9ED]   =>Adware.IMBooster
[HKLM\Software\Wow6432Node\Classes\Installer\Features\9EC6D81181F59F2459A84176A626F9ED]   =>Adware.IMBooster
[HKLM\Software\Wow6432Node\Classes\Installer\Products\9EC6D81181F59F2459A84176A626F9ED]   =>Adware.IMBooster
[HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SP_f2a323db]   =>Adware.Browse2Save
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\1EAD96AE2CB1DE84BAA9425A8CCA0817]   =>Adware.Boxore
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F1057DD419AED0B468AD8888429E139A]   =>Adware.IMBooster
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BA71D41F6CC0B6247B05D473850A8AEA]   =>Adware.Boxore^
[HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC]   =>Adware.Boxore^
C:\Program Files (x86)\BrowseToSave   =>Adware.Browse2Save
C:\ProgramData\Browser Manager   =>Toolbar.Babylon
C:\Users\NICO\AppData\Local\Software   =>Adware.Boxore
C:\Windows\AutoKMS.exe   =>Trojan.Keygen

O87 - FAEL: "{34B03345-62BD-4FF7-826F-57E1E6355351}" |In - None - P17 - TRUE | .(...) -- C:\Program Files (x86)\Iminent\Iminent.exe (.not file.)   =>Adware.IMBooster
O87 - FAEL: "{2BA9662E-8A2E-4E00-AF7E-52FFD856A2AF}" |In - None - P17 - TRUE | .(...) -- C:\Program Files (x86)\Iminent\Iminent.Messengers.exe (.not file.)   =>Adware.IMBooster

O69 - SBI: prefs.js [NICO - gt11yli1.default] user_pref("extensions.crossrider.bic", "13d7e0220bd2e0b510f5e3d047420bb8");   =>PUP.CrossRider
O69 - SBI: prefs.js [NICO - gt11yli1.default] user_pref("extensions.helperbar.Country", "France");
O69 - SBI: prefs.js [NICO - gt11yli1.default] user_pref("extensions.helperbar.countryiso", "fr");
O69 - SBI: prefs.js [NICO - gt11yli1.default] user_pref("extensions.helperbar.DockingPositionDown", false);
O69 - SBI: prefs.js [NICO - gt11yli1.default] user_pref("extensions.helperbar.downloadprovider", "quickobrw");
O69 - SBI: prefs.js [NICO - gt11yli1.default] user_pref("extensions.helperbar.installationid", "5900939a-d8b3-478f-8b75-5a0f242a01bf");
O69 - SBI: prefs.js [NICO - gt11yli1.default] user_pref("extensions.helperbar.publisher", "quickobrw");
O69 - SBI: prefs.js [NICO - gt11yli1.default] user_pref("extensions.helperbar.UserID", "5900939a-d8b3-478f-8b75-5a0f242a01bf");
O69 - SBI: prefs.js [NICO - gt11yli1.default] user_pref("extensions.helperbar.Visibility", false);
O43 - CFD: 01/04/2013 - 14:17:11 - [1,473] ----D C:\Program Files (x86)\BrowseToSave   =>Adware.Browse2Save
O43 - CFD: 19/05/2013 - 13:46:40 - [3,904] ----D C:\Users\NICO\AppData\Roaming\jawax
[MD5.00000000000000000000000000000000] [APT] [Funmoods] (...) -- C:\Users\NICO\AppData\Roaming\Funmoods\UPDATE~1\UPDATE~1.exe (.not file.)   [0]   =>PUP.Funmoods
[MD5.00000000000000000000000000000000] [APT] [{86410670-88C2-4030-8E83-A28BA77B5341}] (...) -- H:\Setup.exe (.not file.)   [0]
O4 - HKUS\S-1-5-21-1214513112-17866985-3560033024-1000\..\Run: [jawaws] wscript C:\Users\NICO\AppData\Roaming\jawax\dr551.vbs C:\Users\NICO\AppData\Roaming\jawax\xid25.bat (.not file.) 
G0 - GCSP: Preference [User Data\Default][HomePage] https://search.safefinder.com/?q=   =>Hijacker.SmartBar
G0 - GCSP: Preference [User Data\Default] https://search.safefinder.com/?q=   =>Hijacker.SmartBar
G1 - GCS: Preference [User Data\Default] https://search.safefinder.com/?q=   =>Hijacker.SmartBar
G2 - GCE: Preference [User Data\Default] [pmjiimbdfdehinkdimcejlpgiocbhpfa] Browwsye2suave v.3.8 (Activé)   =>Adware.Browse2Save
M2 - MFEP: prefs.js [NICO - gt11yli1.default\{5900939a-d8b3-478f-8b75-5a0f242a01bf}] [] QuickShare Widget v (..)   =>PUP.QuickShare
EmptyCLSID
EmptyFlash
EmptyTemp



_____________________________________________

* Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur)
* Clique sur l'icone représentant le presse-papier ("coller le presse-papier")
e script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v)
* Clique sur le bouton GO pour lancer le nettoyage
* Copie/colle la totalité du rapport dans ta prochaine réponse.

élyptic · Answer

voici le rapport :
Rapport de ZHPFix 2013.5.24.2 par Nicolas Coolman, Update du 24/05/2013
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-05-06-2013-18-53-16.txt
Run by NICO at 05/06/2013 18:52:58
High Elevated Privileges : OK
Windows 7 Home Premium Edition, 64-bit Service Pack 1 (Build 7601)

Corbeille vidée

========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\23r4v.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\2rp7e.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\2yfd1.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\2z656.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\7csln.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\9qvb5.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\a45v3.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\atl9t.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\db1yb.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\df470.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\k5hne.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\m94h1.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\mor88.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\o5m5j.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\u3ipz.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\vd1es.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\who41.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\ybvd2.exe
SUPPRIME Memory Process: C:\Users\NICO\AppData\Roaming\z66gv.exe
SUPPRIME Memory Process: C:\Windows\AutoKMS.exe

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{31AD400D-1B06-4E33-A59A-90C2C140CBA0}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{75EBB0AA-4214-4CB4-90EC-E3E07ECD04F7}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A09AB6EB-31B5-454C-97EC-9B294D92EE2A}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{A4C272EC-ED9E-4ACE-A6F2-9558C7F29EF3}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{ae07101b-46d4-4a98-af68-0333ea26e113}
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASMANCS
SUPPRIME Key: HKCU\Software\DC3_FEXEC
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Tracing\BingBar_RASAPI32
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\64A6E60055D801F4BB8AC269354B72B8
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\29799DE249E7DBC459FC6C8F07EB8375
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\0238BBE24EA3A70408B81E4BB89C15E5
SUPPRIME Key*: HKLM\Software\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
ABSENT Key: HKLM\Software\Wow6432Node\Classes\Interface\{31E3BC75-2A09-4CFF-9C92-8D0ED8D1DC0F}
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\9EC6D81181F59F2459A84176A626F9ED
SUPPRIME Key: HKLM\Software\Classes\Installer\Products\9EC6D81181F59F2459A84176A626F9ED
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\9EC6D81181F59F2459A84176A626F9ED
ABSENT Key: HKLM\Software\Wow6432Node\Classes\Installer\Features\9EC6D81181F59F2459A84176A626F9ED
ABSENT Key: HKLM\Software\Wow6432Node\Classes\Installer\Products\9EC6D81181F59F2459A84176A626F9ED
SUPPRIME Key: HKLM\Software\Wow6432Node\Microsoft\Windows\CurrentVersion\Uninstall\SP_f2a323db
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\1EAD96AE2CB1DE84BAA9425A8CCA0817
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UpgradeCodes\F1057DD419AED0B468AD8888429E139A
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\BA71D41F6CC0B6247B05D473850A8AEA
SUPPRIME Key*: HKLM\Software\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Components\CA0054A5AB3EFFE4CB5660E44A1E7DCC

========== Valeur(s) du Registre ==========
SUPPRIME {34B03345-62BD-4FF7-826F-57E1E6355351}
SUPPRIME {2BA9662E-8A2E-4E00-AF7E-52FFD856A2AF}
SUPPRIME RunValue: jawaws

========== Préférences navigateur ==========
SUPPRIME Mozilla Pref: user_pref("extensions.crossrider.bic", "13d7e0220bd2e0b510f5e3d047420bb8");
SUPPRIME Mozilla Pref: user_pref("extensions.helperbar.Country", "France");
SUPPRIME Mozilla Pref: user_pref("extensions.helperbar.countryiso", "fr");
SUPPRIME Mozilla Pref: user_pref("extensions.helperbar.DockingPositionDown", false);
SUPPRIME Mozilla Pref: user_pref("extensions.helperbar.downloadprovider", "quickobrw");
SUPPRIME Mozilla Pref: user_pref("extensions.helperbar.installationid", "5900939a-d8b3-478f-8b75-5a0f242a01bf");
SUPPRIME Mozilla Pref: user_pref("extensions.helperbar.publisher", "quickobrw");
SUPPRIME Mozilla Pref: user_pref("extensions.helperbar.UserID", "5900939a-d8b3-478f-8b75-5a0f242a01bf");
SUPPRIME Mozilla Pref: user_pref("extensions.helperbar.Visibility", false);
PRESENT Chrome File: C:\Users\NICO\AppData\Local\Google\Chrome\User Data\Default\Preferences
SUPPRIME Chrome Site: https://search.safefinder.com/?q=
SUPPRIME Chrome Site: https://search.safefinder.com/?q=
SUPPRIME Chrome Site: https://search.safefinder.com/?q=
SUPPRIME Chrome Site: https://search.safefinder.com/?q=
SUPPRIME Chrome Site: https://search.safefinder.com/?q=
SUPPRIME Chrome Site: https://search.safefinder.com/?q=
PRESENT Chrome File: C:\Users\NICO\AppData\Local\Google\Chrome\User Data\Default\Preferences
ABSENT Chrome Site: https://search.safefinder.com/?q=
PRESENT Chrome File: C:\Users\NICO\AppData\Local\Google\Chrome\User Data\Default\Preferences
ABSENT Chrome Site: https://search.safefinder.com/?q=
SUPPRIME Folder Chrome: C:\Users\NICO\AppData\Local\Google\Chrome\User Data\Default\Extensions\pmjiimbdfdehinkdimcejlpgiocbhpfa

========== Dossier(s) ==========
SUPPRIME Folder: C:\Users\NICO\AppData\Local\{34656778-1281-4E45-86C2-7C6E2847B671}
SUPPRIME Folder: C:\Users\NICO\AppData\Local\{FC443E0D-E939-4C13-ADFB-D89D4EA917EF}
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Fichier(s) ==========
SUPPRIME File*: c:\users
ico\appdataoaming\23r4v.exe
SUPPRIME File*: c:\users
ico\appdataoaming\2rp7e.exe
SUPPRIME File*: c:\users
ico\appdataoaming\2yfd1.exe
SUPPRIME File*: c:\users
ico\appdataoaming\2z656.exe
SUPPRIME File*: c:\users
ico\appdataoaming\7csln.exe
SUPPRIME File*: c:\users
ico\appdataoaming\9qvb5.exe
SUPPRIME File*: c:\users
ico\appdataoaming\a45v3.exe
SUPPRIME File*: c:\users
ico\appdataoaming\atl9t.exe
SUPPRIME File*: c:\users
ico\appdataoaming\db1yb.exe
SUPPRIME File*: c:\users
ico\appdataoaming\df470.exe
SUPPRIME File*: c:\users
ico\appdataoaming\k5hne.exe
SUPPRIME File*: c:\users
ico\appdataoaming\m94h1.exe
SUPPRIME File*: c:\users
ico\appdataoaming\mor88.exe
SUPPRIME File*: c:\users
ico\appdataoaming\o5m5j.exe
SUPPRIME File*: c:\users
ico\appdataoaming\u3ipz.exe
SUPPRIME File*: c:\users
ico\appdataoaming\vd1es.exe
SUPPRIME File*: c:\users
ico\appdataoaming\who41.exe
SUPPRIME File*: c:\users
ico\appdataoaming\ybvd2.exe
SUPPRIME File*: c:\users
ico\appdataoaming\z66gv.exe
SUPPRIME File: c:\windows\autokms.exe
ABSENT File: c:\users
ico\appdataoaming\jawax\dr551.vbs c:\users
ico\appdataoaming\jawax\xid25.bat
SUPPRIME Flash Cookies
SUPPRIME Temporaires Windows

========== Tache planifiée ==========
SUPPRIME Task: Funmoods
SUPPRIME Task: {86410670-88C2-4030-8E83-A28BA77B5341}


========== Récapitulatif ==========
20 : Processus mémoire
23 : Clé(s) du Registre
3 : Valeur(s) du Registre
4 : Dossier(s)
23 : Fichier(s)
21 : Préférences navigateur
2 : Tache planifiée


End of clean in 02mn 05s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 05/06/2013 18:53:12 [7879]

jlpjlp · Answer

ok 

analyse ce fichier aussi sur virus total et fais passer le rapport

C:\Users\NICO\AppData\Roaming\kt32k.exe

c'est toi qui a mis ceci: Office 2010 Toolkit: pour activer office?  https://www.virustotal.com/gui/file/3eb696008de29b3491c82e8c69b8382a7cb296a974a803b1f615f1d005b3be39 sinon en gratuit tu as le choix: https://forums.commentcamarche.net/forum/affich-37585761-les-suites-et-logiciels-bureautiques-office-googledocs

pour avancer aussi:
colle un rapport de recherche rapide avec malwarebyte antimalware après l'avoir mis à jour

puis

remets un rapport zhpdiag tout neuf

a plus

élyptic · Answer

voici le rapport de virus total : 

https://www.virustotal.com/gui/file/0f64eaa2ffb0fe3c9b48e0d7e535a96ead0b7fb518247337247615fefcd0046d


le rapport de malwarebyte arrive.

élyptic · Answer

le rapport malwarebytes :

https://pjjoint.malekal.com/files.php?id=20130606_e11h7e10n14u9

élyptic · Answer

et le rapport zhpdiag :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130606_g15k9v11w14s12

jlpjlp · Answer

supprime ce qui a été trouvé par malwarebyte antimalwre puis Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) Copie/colle les lignes en gras suivantes : ---------------------------------------------------------- [MD5.F5CAF8E15F172F9C10EA3995E7618FAD] [SPRF][18/05/2013] (.Windows Defender - Windows Defender.) -- C:\Users\NICO\AppData\Roaming\kt32k.exe [446758] O67 - Shell Spawning: <.html> [HKCU\..\open\Command] (.Not Key.) O44 - LFC:[MD5.1CD5EB2AD010F4B0CF582C61A2ED065C] - 05/06/2013 - 14:00:03 ---A- . (...) -- C:\Windows\AutoKMS.log [742] O44 - LFC:[MD5.E3E078200B2DFD9CB5F517BA5DE08384] - 05/06/2013 - 13:54:50 ---A- . (...) -- C:\Windows\DeleteOnReboot.bat [98] O43 - CFD: 05/06/2013 - 18:51:57 - [3,464] ----D C:\Users\NICO\AppData\Roaming\jawax O42 - Logiciel: BrowseToSave - (...) [HKLM][64Bits] -- {2E5601A3-698D-47C3-A528-21AFF5B52355} =>Adware.Browse2Save O42 - Logiciel: Image To PDF 1.4.8 - (.zxt2007.com.) [HKLM][64Bits] -- {D6CAA5A8-AC4B-45DC-8752-CAE32943C621}_is1 O42 - Logiciel: Lollipop - (.Lollipop Network, S.L..) [HKCU][64Bits] -- lollipop_04301529 =>Adware.Lollipop O42 - Logiciel: QuickShare - (.Linkury Inc..) [HKLM][64Bits] -- {AF860F85-54A3-4A28-879B-BF9E6E325776} =>PUP.QuickShare [MD5.00000000000000000000000000000000] [APT] [AutoKMS] (...) -- C:\Windows\AutoKMS.exe (.not file.) [0] O4 - GS\TaskBar: HP Recommended.LNK . (...) -- C:\Program Files (x86)\Hewlett-Packard\HP LaunchBox\HPTaskBar1.exe (.not file.) C:\Users\NICO\AppData\Roaming\dclogs C:\Users\NICO\AppData\Roaming\kt32k.exe C:\Users\NICO\AppData\Roaming\jawax\vmj.exe C:\Windows\Installer\1a2d96d3.msi C:\Users\NICO\AppData\Roaming\dclogs\2013-05-18-7.dc C:\Users\NICO\AppData\Roaming\dclogs\2013-05-19-1.dc O4 - HKUS\S-1-5-21-1214513112-17866985-3560033024-1000\..\Run: [AdobeBridge] Clé orpheline EmptyCLSID EmptyFlash EmptyTemp _____________________________________________ * Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur) * Clique sur l'icone représentant le presse-papier ("coller le presse-papier") e script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) * Clique sur le bouton GO pour lancer le nettoyage * Copie/colle la totalité du rapport dans ta prochaine réponse. puis remets un rapport avec malwarebyte

élyptic · Answer

voici le rapport de zhpfix :

https://pjjoint.malekal.com/files.php?id=20130606_o12f15x11n11w12

élyptic · Answer

et la rapport malwarebytes :

https://pjjoint.malekal.com/files.php?id=20130606_n14b5f5b7y15

jlpjlp · Answer

ok

comment va le pc?

remetsun rapport zhpdiag tout neuf

et si tu as le temps passe kaspersky ce soir pour voir ce qu'il dit et passe le rapport si des infections sont trouvées

je regarde demain matin

élyptic · Answer

le pc va mieux il est moins lent et surtout la ventilation semble moins souffrir comparer a ces 2 derniers jours  le rapport arrive :

https://pjjoint.malekal.com/files.php?id=ZHPDiag_20130606_p7n8s7z13e15

jlpjlp · Answer

désinstalle les logiciels suivants si présents BrowseToSave Lollipop puis Lance ZHPFix (soit via le raccourci sur ton Bureau, soit via ZHPDiag en cliquant sur l'écusson vert) Copie/colle les lignes en gras suivantes : ---------------------------------------------------------- O67 - Shell Spawning: <.html> [HKCU\..\open\Command] (.Not Key.) O42 - Logiciel: BrowseToSave - (...) [HKLM][64Bits] -- {2E5601A3-698D-47C3-A528-21AFF5B52355} =>Adware.Browse2Save O42 - Logiciel: Lollipop - (.Lollipop Network, S.L..) [HKCU][64Bits] -- lollipop_04301529 =>Adware.Lollipop [HKCU\Software\Smartbar] =>Hijacker.SmartBar [HKLM\Software\DomaIQ] =>Toolbar.DomaIQ _____________________________________________ * Lance ZHPFix à partir du raccourci sur ton Bureau (si tu es sous Windows Vista ou Windows 7, fais le par un clic-droit --> Exécuter en tant qu'administrateur) * Clique sur l'icone représentant le presse-papier ("coller le presse-papier") e script doit automatiquement apparaitre dans ZHPFix, sinon, colle-le (Ctrl+v) * Clique sur le bouton GO pour lancer le nettoyage * Copie/colle la totalité du rapport dans ta prochaine réponse. puis tu peux mettre à jour google chrome et aussi internet explorer avec la version 10 a plus

élyptic · Answer

browsetosave et lollipop sont introuvable via la recherche

voici le rapport zhpfix :

https://pjjoint.malekal.com/files.php?id=20130607_i5e15p8w13i15

jlpjlp · Answer

ok
c'est bon

pour supprimer ce qui a été utilisé: https://www.commentcamarche.net/telecharger/securite/7111-delfix/

tu peux garder la version gratuite de malwarebyte pour chercher de temps en temps les logiciels espions en complements de kaspersky que tu as

changes tes mots de passe par précaution aussi

a plus

élyptic · Answer

eh bien un grand merci à toi jlpjlp et à toute la communauté de ce forum je ne sais trop ce que j'aurais fais sans vous!

bon j'espere ne pas avoir a faire a vous de ci-tôt!

un grand merci!!!

Je me fais hacker, à l'aide!

26 réponses

Discussions similaires