Suspicion de virus, besoin de votre aide.

Résolu
angy31200 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention   -  
angy31200 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention   -
Bonjour,

Je viens solliciter votre aide pour le pc fixe d'un couple d'ami qui ne fonctionne plus très bien depuis quelques jours.. Les symptômes sont les suivants : avast détecte une menace au niveau de chrome mais ne trouve rien lors du scan, l'ordi rame énormément (il est plus tout jeune mais il marchait pas trop mal jusque là) et quand elle va sur le net ma copine me dis qu'elle a pas mal de pub x qui apparaissent et ce malgré les nettoyage de ccleaner.

Quelqu'un peut t'il me conseiller et m'aider afin de nettoyer un peu ce pc et voir s'il est vraiment infecté ??

Le PC est pc à tour Acer sous XP SP3.

D'avance merci de vos réponses et de votre aide.

11 réponses

  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Télécharge ici: AdwCleaner (de Xplode)

    ▶ Lance-le

    ▶ Clique sur Suppression et patiente le temps du nettoyage.

    ▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

    A+
    0
  2. angy31200 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
     
    Bonjour juju666 et merci pour ta réponse, ci-dessous le rapport de ADwcleaner :

    # AdwCleaner v2.303 - Rapport créé le 09/06/2013 à 10:30:03
    # Mis à jour le 08/06/2013 par Xplode
    # Système d'exploitation : Microsoft Windows XP Service Pack 3 (32 bits)
    # Nom d'utilisateur : CHRISTIAN - ACER-6DEC4164D2
    # Mode de démarrage : Normal
    # Exécuté depuis : C:\Documents and Settings\CHRISTIAN\Bureau\adwcleaner.exe
    # Option [Suppression]

    ***** [Services] *****

    ***** [Fichiers / Dossiers] *****

    Dossier Supprimé : C:\Documents and Settings\All Users\Application Data\Ask
    Dossier Supprimé : C:\WINDOWS\Installer\{1577A05B-EE62-4BBC-9DB7-FE748FA44EC2}
    Supprimé au redémarrage : C:\Documents and Settings\CHRISTIAN\Local Settings\Application Data\Google\Chrome\User Data\Default\Extensions\kaankaoacjlcnkdfagcnnncmeojkoeai

    ***** [Registre] *****

    Clé Supprimée : HKCU\Software\Grand Virtual
    Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{171DEBEB-C3D4-40B7-AC73-056A5EBA4A7E}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{00000000-6E41-4FD3-8538-502F5495E5FC}
    Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
    Clé Supprimée : HKCU\Software\YahooPartnerToolbar
    Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

    ***** [Navigateurs] *****

    -\\ Internet Explorer v8.0.6001.18702

    [OK] Le registre ne contient aucune entrée illégitime.

    -\\ Google Chrome v27.0.1453.94

    Fichier : C:\Documents and Settings\CHRISTIAN\Local Settings\Application Data\Google\Chrome\User Data\Default\Preferences

    [OK] Le fichier ne contient aucune entrée illégitime.

    *************************

    AdwCleaner[S1].txt - [1956 octets] - [09/06/2013 10:30:03]

    ########## EOF - C:\AdwCleaner[S1].txt - [2016 octets] ##########
    0
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bien l'extension néfaste de google chrome a sauté :)

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

    ▶ Télécharge ici :OTL

    ▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

    ▶ Quand la fenêtre apparaît, Coche la case Tous les utilisateurs
    ▶ Coche les cases à coté de Recherche Lop et Recherche Purity.
    Laisse tous les autres paramètres par défaut

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


    HKCU\Software
    HKLM\Software
    %Homedrive%\*
    %Homedrive%\*.
    %Userprofile%\*
    %Userprofile%\*.
    %Allusersprofile%\*
    %Allusersprofile%\*.
    %LocalAppData%\*
    %LocalAppData%\*.
    %programFiles%\*
    %programFiles%\*.
    %Systemroot%\Temp\*.exe /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.in*
    %systemroot%\Tasks\*
    %systemroot%\Tasks\*.
    %systemroot%\system32\Tasks\*
    %systemroot%\system32\Tasks\*.
    %systemroot%\system32\drivers\*.sy* /lockedfiles
    %systemroot%\system32\config\*.exe /s
    %Systemroot%\ServiceProfiles\*.exe /s
    %systemroot%\system32\*.sys
    %temp%\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s
    %LocalAppData%\*
    %LocalAppData%\*.
    %SYSTEMDRIVE%\*.*
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    winsock.*
    /md5stop
    msconfig
    netsvcs
    BASESERVICES
    safebootminimal
    safebootnetwork
    CREATERESTOREPOINT
    SAVEMBR:0


    ▶ Clic sur Analyse.

    A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

    NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

    Ces fichiers se trouvent à côté de l'exécutable OTL.exe

    héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange

    NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
    0
    1. angy31200 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
       
      Le scan est en cours, sorry je mets un peu de temps à chaque fois car le pc en question à pas le wifi du coup chui obliger de tout dl avec mon pc et tout rebalancer dans l'autre via clé usb et vice versa, pratique... :)
      J'avais pourtant farfouiller dans les extensions chrome ect, sans rien voir, ils avaient effectivement des moteurs de recherches en carton de toolbars et cie que j'avais eu du mal à enlever d'ailleurs mais l'extension je ne l'avais pas vu ;)
      Ma cops et son homme sont pas trop internet et ils ont du installer ces cochonneries en installant autre chose sans faire attention...
      Étant donner qu'ils jouent au poker en ligne avec le pc, quand j'ai vu ça je leur ai dis qu'il fallait mieux le faire diagnostiquer son pc avant qu'il remette des sous...
      0
    2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      Ah oui effectivement, et les trucs de poker ça apporte plein de m€rdes aussi ...
      0
    3. angy31200 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
       
      Oui surement, enfin moi sur mon pc j'en ai un seul de log de pok et j'ai pas de souci, je sais pas du tout ce qu'ils ont fait pour choper ça.
      Ahhh ça vient de finir j't'heberges tout ça et je re ;)
      0
    4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ok o/
      0
  4. angy31200 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
     
    https://forums-fec.be/upload/www/?a=d&i=9244161683 --> Extras
    0
    1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      reçu
      0
    2. angy31200 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
       
      et otl : https://forums-fec.be/upload/www/?a=d&i=0337937294
      0
    3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ok en attendant que je lise l'OTL tu peux désinstaller tout java et tout adobe (flash et reader) ils sont useless
      0
    4. angy31200 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
       
      ok je fais ça ;)
      0
    5. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
       
      ouais bah il est propre en fait le pc ^^

      java hors ligne 32 bits : https://sdlc-esd.oracle.com/ESD6/JSCDL/jdk/7u21-b11/jre-7u21-windows-i586.exe?GroupName=JSC&FilePath=/ESD6/JSCDL/jdk/7u21-b11/jre-7u21-windows-i586.exe&BHost=javadl.sun.com&File=jre-7u21-windows-i586.exe&AuthParam=1581090445_f746f7196b9c7bf5572b6361e6f5d8c3&ext=.exe
      flash player hors ligne pour IE : http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_active_x.exe
      flash player hors ligne pour les autres navigateurs : http://download.macromedia.com/get/flashplayer/current/licensing/win/install_flash_player_11_plugin.exe
      adobe reader hors ligne : ftp://ftp.adobe.com/pub/adobe/reader/win/11.x/11.0.03/fr_FR/AdbeRdr11003_fr_FR.exe

      ensuite installe MBAM (n'accepte PAS la version d'essai, ça se décocher au dernier écran à l'installation) fait un scan complet et poste le rapport.
      0
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. angy31200 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
     
    j'ai fait toute les maj et installé MBAM mais je ne peux pas le mettre à jour comme le pc n'a pas le net, je fais quand meme le scan avec le logiciel non a jour ?? ca m'a dit que la base de données et perimé depuis 63 jours ?
    0
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ouais t'façon les mise à jour hors ligne vont pas 63 jours en arrière :/
    0
    1. angy31200 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
       
      Oky jm 'en doutais donc j'avais commencer le scan complet, ya plus qu'a patienter maintenant ;)
      Thanks en tout cas.
      0
  8. angy31200 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
     
    Voilà le rapport de MBAM

    Malwarebytes Anti-Malware 1.75.0.1300
    www.malwarebytes.org

    Version de la base de données: v2013.04.04.07

    Windows XP Service Pack 3 x86 NTFS
    Internet Explorer 8.0.6001.18702
    CHRISTIAN :: ACER-6DEC4164D2 [administrateur]

    09/06/2013 11:45:19
    MBAM-log-2013-06-09 (12-30-04).txt

    Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|I:\|J:\|)
    Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d'examen désactivées: P2P
    Elément(s) analysé(s): 288426
    Temps écoulé: 44 minute(s), 12 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 3
    HKLM\SOFTWARE\Microsoft\Security Center|AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.
    HKLM\SOFTWARE\Microsoft\Security Center|FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.
    HKLM\SOFTWARE\Microsoft\Security Center|UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Mauvais: (1) Bon: (0) -> Aucune action effectuée.

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    (fin)
    0
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Il a rétablit ce que je voulais, la flemme de te faire un script OTL pour si peu ^^

    Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

    ~~

    Désactive Java des navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

    ~~

    Dis-leur de faire des scans réguliers avec MBAM il est efficace :)

    ~~

    Un peu de lecture pour tes amis :

    Sécurise ton PC !

    Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

    https://forum.malekal.com/viewtopic.php?t=15960&start=

    ~~

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
    0
  10. angy31200 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
     
    Merci beaucoup à toi, j'ai fait delfix mais je me demande si je désactive java sur les navigateurs, ça ne pose pas des souci avec les jeux facebook ect ??
    0
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Nan c'est du flash ça :)
    0
  12. angy31200 Messages postés 2 Date d'inscription   Statut Membre Dernière intervention  
     
    Oki très bien je leur fais ça alors, et vais en faire de même sur le mien. Merci encore ;)
    0