PC avec spywares

Résolu
Balboa99 Messages postés 239 Statut Membre -  
Balboa99 Messages postés 239 Statut Membre -
Bonjour,

J'ai le cas d'un PC dont le fonctionnement est perturbé (fenêtres de pub, blocages, navigateur qui ne s'ouvre pas, etc.)

Voici les rapports de ZHPDiag et Malwarebytes

Merci pour votre aide

https://www.cjoint.com/c/CFvo7PDMFo7

Malwarebytes Anti-Malware 1.75.0.1300
www.malwarebytes.org

Version de la base de données: v2013.06.21.03

Windows Vista Service Pack 2 x86 NTFS (Mode sans échec/Réseau)
Internet Explorer 9.0.8112.16421
Rebecca :: JAPAN [administrateur]

21.06.2013 14:29:56
mbam-log-2013-06-21 (14-29-56).txt

Type d'examen: Examen rapide
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 241233
Temps écoulé: 6 minute(s), 53 seconde(s)

Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)

Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)

Valeur(s) du Registre détectée(s): 1
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Internet Security (Trojan.Agent.DPT) -> Données: C:\Users\Rebecca\AppData\Roaming\tdefender.exe -> Mis en quarantaine et supprimé avec succès.

Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)

Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)

Fichier(s) détecté(s): 10
C:\Users\Rebecca\AppData\Roaming\tdefender.exe (Trojan.Agent.DPT) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Roaming\697A.tmp (Trojan.Agent.DPT) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Local\Temp\01371791491760.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Local\Temp\01371791491819.exe (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Local\Temp\11371791491819.exe (Trojan.FakeAV) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Local\Temp\6304.tmp (Trojan.FakeAV) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Local\Temp\67B6.tmp (Trojan.FakeAV) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Local\Temp\6D71.tmp (Trojan.FakeAV) -> Mis en quarantaine et supprimé avec succès.
C:\Users\Rebecca\AppData\Local\Temp\msimg32.dll (Trojan.FakeMS) -> Mis en quarantaine et supprimé avec succès.
C:\$RECYCLE.BIN\S-1-5-21-3280845891-3083273887-2824725682-1000\$42059d83bda58591cc97d3ef23fd9c10\n (Trojan.0Access) -> Suppression au redémarrage.

(fin)

109 réponses

  • 1
  • 2
  • 3
  • 4
  • 5
  • 6
Résumé de la discussion

Un ordinateur affiche des perturbations de fonctionnement, avec des fenêtres publicitaires, des blocages et un navigateur qui ne démarre pas, suite à une infection détectée par Malwarebytes et ZHPDiag. Quarantaine et suppression de composants malveillants détectés par Malwarebytes, notamment la clé Run Internet Security et dix fichiers associés tels que tdefender.exe, 697A.tmp, msimg32.dll et plusieurs exécutables temporaires. Des recommandations complémentaires préconisent l’utilisation d’outils de nettoyage tels qu OTL et RogueKiller, puis la réalisation d’un pre-scan et d’un rapport à partager, afin d’identifier d’éventuels composants résiduels et vérifier les services système. Pour aller plus loin, d’autres analyses peuvent s’orienter vers Autoruns et la vérification des services réseau afin de confirmer l’absence de démarrage automatique résiduel et prévenir une réinfection.

Généré automatiquement par IA
sur la base des meilleures réponses
  1. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    ▶ Télécharge ici : RogueKiller (choisir entre la version 32 et 64 bits selon ton Windows, si tu ne sais pas, demande moi!)
    ▶ Enregistre et ferme tous les programmes en cours
    ▶ Lance RogueKiller et attend que le Prescan ait fini
    ▶ Accepte l'EULA puis clique sur Scan.
    ▶ Une fois terminé, clique sur Rapport et copie/colle le rapport dans ta prochaine réponse.
    1
  2. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Désinstaller Spybot

    ====================

    Click Suppression sur RogueKiller et poste le rapport

    ====================

    Click Hosts RAZ sur RogueKiller et poste également son rapport

    ====================

    Télécharge ici: AdwCleaner (de Xplode)

    ▶ Lance-le

    ▶ Clique sur Suppression et patiente le temps du nettoyage.

    ▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.

    ====================

    Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :

    ▶ Télécharge ici :OTL

    ▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

    Clique ici pour voir la configuration

    ▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"


    HKCU\Software
    HKLM\Software
    %Homedrive%\*
    %Homedrive%\*.
    %Userprofile%\*
    %Userprofile%\*.
    %Allusersprofile%\*
    %Allusersprofile%\*.
    %localappdata%\*
    %localappdata%\*.
    %Userprofile%\Local Settings\Application Data\*
    %Userprofile%\Local Settings\Application Data\*.
    %programFiles%\*
    %programFiles%\*.
    %Systemroot%\Temp\*.exe /s
    %systemroot%\system32\*.dll /lockedfiles
    %systemroot%\system32\*.exe /lockedfiles
    %systemroot%\system32\*.in*
    %systemroot%\Tasks\*
    %systemroot%\Tasks\*.
    %systemroot%\system32\Tasks\*
    %systemroot%\system32\Tasks\*.
    %systemroot%\system32\drivers\*.sy* /lockedfiles
    %systemroot%\system32\config\*.exe /s
    %Systemroot%\ServiceProfiles\*.exe /s
    %systemroot%\system32\*.sys
    %temp%\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.exe /s
    %ALLUSERSPROFILE%\Application Data\*.
    %APPDATA%\*.exe /s
    %LocalAppData%\*
    %LocalAppData%\*.
    %SYSTEMDRIVE%\*.*
    /md5start
    explorer.exe
    winlogon.exe
    userinit.exe
    svchost.exe
    services.exe
    winsock.*
    /md5stop
    msconfig
    netsvcs
    BASESERVICES
    safebootminimal
    safebootnetwork
    CREATERESTOREPOINT
    SAVEMBR:0
    dir "%Homedrive%\*" /S /A:L /C


    ▶ Clic sur Analyse.

    A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).

    NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT

    Ces fichiers se trouvent à côté de l'exécutable OTL.exe

    héberge OTL.txt et extra.txt sur CJOINT et donne les liens obtenus en échange

    1
  3. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    J'avais dis Hosts RAZ sur RogueKiller pas une nouvelle recherche
    1
  4. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Réinitialise le fichier hosts avec ça : http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/10-rsthosts

    1
  5. Vous n’avez pas trouvé la réponse que vous recherchez ?

    Posez votre question
  6. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bien, redémarre, et retente la manip avec OTL.

    Si ça ne fonctionne toujours pas fait-le en mode sans échec.
    1
  7. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,
    Bah chépa ce que tu as fait hein mais ça n'est jamais arrivé. Surtout qu'en principe c'était une ANALYSE, pas une correction, donc en principe on n'a fait que lister des trucs.

    Si tu fais CTRL+ALT+DEL ça t'ouvre le gestionnaire des tâches?
    1
  8. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Tente d'abord la réparation du démarrage ;)

    Tapote F8 au démarrage du pc.
    1
  9. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    De mémoire tous les CD sont les mêmes c'est juste la clé qui précise au CD quelle version installer :)
    1
  10. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    oui
    1
  11. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Désinstalle Java (pas à jour) , ccoantoinuuuEttosavve et Internet Explorer Toolbar 4.6 by SweetPacks (des m€rdes)

    =============================

    Relance OTL, sous personnalisation colle ceci : (bien prendre :OTL au début)

    :OTL
    IE - HKLM\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
    IE - HKLM\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate=29/03/2013
    IE - HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Bar = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate={installDate}
    IE - HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\SOFTWARE\Microsoft\Internet Explorer\Main,Search Page = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate={installDate}
    IE - HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate={installDate}
    IE - HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\SOFTWARE\Microsoft\Internet Explorer\Search,SearchAssistant = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate={installDate}
    IE - HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\..\SearchScopes,DefaultScope = {006ee092-9658-4fd6-bd8e-a21a348e59f5}
    IE - HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\..\SearchScopes\{006ee092-9658-4fd6-bd8e-a21a348e59f5}: "URL" = https://search.safefinder.com/?st=ds&q={searchTerms}&installDate={installDate}
    IE - HKU\S-1-5-21-3280845891-3083273887-2824725682-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = 127.0.0.1:9421;*.local
    [2012.11.15 21:29:08 | 000,213,316 | ---- | M] () (No name found) -- C:\Users\Rebecca\AppData\Roaming\mozilla\firefox\profiles\0\extensions\torntv@torntv.com.xpi
    O2 - BHO: (ccoantoinuuuEttosavve) - {31208AD4-B11B-138E-A2AC-4CB2025EFAFB} - C:\ProgramData\ccoantoinuuuEttosavve\518132df16547.dll ()
    [2013.06.22 17:30:28 | 000,000,000 | ---D | M] -- C:\Users\Rebecca\AppData\Roaming\OpenCandy
    [2013.06.22 17:30:40 | 000,000,000 | ---D | M] -- C:\ProgramData\ccoantoinuuuEttosavve
    [2011.04.18 10:19:46 | 000,000,000 | ---D | M] -- C:\ProgramData\fGa24500dDdIe24500
    [2013.06.22 17:30:13 | 000,000,000 | ---D | M] -- C:\ProgramData\InstallMate
    [2013.06.22 17:30:16 | 000,000,000 | ---D | M] -- C:\ProgramData\Tarma Installer
    [2013.03.25 20:29:00 | 000,003,712 | ---- | M] () -- C:\Windows\system32\Tasks\OpenCandyHelperD426ECE6E6874E4A9B738CCCF972ECA7
    [2012.11.29 15:39:47 | 000,000,000 | ---D | M] -- C:\Windows\system32\Tasks\ProtectedSearch
    @Alternate Data Stream - 123 bytes -> C:\ProgramData\TEMP:2683706C

    :Reg
    [-HKEY_CURRENT_USER\Software\1ClickDownload]
    [-HKEY_CURRENT_USER\Software\Alexa Internet]
    [-HKEY_CURRENT_USER\Software\APN PIP]
    [-HKEY_CURRENT_USER\Software\BabylonToolbar]
    [-HKEY_CURRENT_USER\Software\DataMngr]
    [-HKEY_CURRENT_USER\Software\DataMngr_Toolbar]
    [-HKEY_CURRENT_USER\Software\InstallCore]
    [-HKEY_CURRENT_USER\Software\ProtectedSearch]
    [-HKEY_CURRENT_USER\Software\Smartbar]
    [-HKEY_LOCAL_MACHINE\Software\Babylon]
    [-HKEY_LOCAL_MACHINE\Software\DataMngr]
    [-HKEY_LOCAL_MACHINE\Software\PIP]
    [-HKEY_LOCAL_MACHINE\Software\SP Global]
    [-HKEY_LOCAL_MACHINE\Software\SProtector]
    [-HKEY_LOCAL_MACHINE\Software\Tarma Installer]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C1C6816E-CBB3-A748-85F9-A8B47B68985B}]
    [-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{C3E85EE9-5892-4142-B537-BCEB3DAC4C3D}]

    :Commands
    reg query "HKEY_CURRENT_USER\Software\AEFD982674BD265F4FA10A26A12E146D" /S >> %HOMEDRIVE%\query.txt /C
    reg query "HKEY_CURRENT_USER\Software\f0dc8fb53fbe42" /S >> %HOMERDRIVE%\query.txt /C
    reg query "HKEY_LOCAL_MACHINE\Software\f0dc8fb53fbe42" /S >> %HOMERDRIVE%\query.txt /C
    [EMPTYTEMP]


    Click CORRECTION, le pc redémare, poste le rapport qui s'ouvrira de lui même.
    Poste aussi C:\query.txt
    1
  12. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Oups ^^

    Refais avec ça :

    :Files
    reg query "HKEY_CURRENT_USER\Software\AEFD982674BD265F4FA10A26A12E146D" /S >> %HOMEDRIVE%\query.txt /C
    reg query "HKEY_CURRENT_USER\Software\f0dc8fb53fbe42" /S >> %HOMERDRIVE%\query.txt /C
    reg query "HKEY_LOCAL_MACHINE\Software\f0dc8fb53fbe42" /S >> %HOMERDRIVE%\query.txt /C


    ça ira mieux :)
    1
  13. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    :)

    Refais OTL avec ça maintenant :

    :Reg
    [-HKEY_CURRENT_USER\Software\AEFD982674BD265F4FA10A26A12E146D]
    [-HKEY_CURRENT_USER\Software\f0dc8fb53fbe42]
    [-HKEY_LOCAL_MACHINE\Software\f0dc8fb53fbe42]


    ~~

    Encore des soucis ?
    1
  14. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Avast! sans hésitation.

    Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/

    ~~

    Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
    Fais des scans réguliers avec, il est efficace.

    ~~

    Sécurise ton PC !

    Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
    Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
    Exemple avec : Exploit Java

    Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
    Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.

    IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
    https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite

    https://forum.malekal.com/viewtopic.php?t=15960&start=

    Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web

    ~~

    Attention à ce que tu installes à l'avenir :
    Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme S0ft0nic.
    L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
    Les barres d'outils sont là pour t'affilier à un service (moteur de recherche de Yahoo! ou Google), ça rajoute des fonctionnalités mais en général les navigateurs les ont par défaut.
    De plus, elles enregistrent les sites que tu visites pour les transmettre (tracking) à faire de la publicité ciblée, c'est pas super niveau protection de la vie privée.
    Plusieurs toolbars ralentissent le PC et peuvent faire planter les navigateurs WEB.
    Au final, il est pas conseillé d'en utiliser.

    Enfin l'accumulation de ces programmes ralentissent l'ordinateur/navigateur WEB.

    Ces programmes additionnels sont proposées à l'installation de programmes et très souvent ces ajouts sont précochés.
    Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.

    Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/

    Passe le mot à tes amis !

    ~~

    Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html

    Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
    1
  15. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Bien oui, pourquoi ne redémarrerait-il pas ?
    1
  16. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Salut,

    Pour ta connexion.

    Démarrer -> Tous les programmes
    Click droit -> admin sur Invite de commandes

    Tape, avec appui sur ENTER entre chaque lignes :

    netsh winsock reset

    netsh int ip reset all

    ipconfig /flushdns

    ipconfig /release

    ipconfig /renew

    Redémare.

    ~~

    au démarrage j'ai une erreur avec le prgm Tempro de Toshiba

    Réinstalle-le : http://eu.computers.toshiba-europe.com/tempro/ToshibaTEMPRO.zip
    1
  17. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Télécharge Farbar Service Scanner sur ton Bureau.

    ● Coche les cases suivantes :
    Internet Services
    Windows Firewall
    System Restore
    Security Center
    Windows Update
    Windows Defender
    Others Services


    ● Clique sur "Scan".
    ● Un rapport FSS.txt est crée dans le dossier où se trouve l'outil.

    Héberge le rapport sur FEC Upload et poste le lien obtenu en échange
    1
  18. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    C'est étrange?

    ▶ Télécharge ici : Windows Repair (all in one) (choisir Portable (3.34 MB) - Direct Download
    ▶ Lance le programme, à l'onglet Step 3 clique sur Do it , laisse se dérouler la vérification des fichiers système.
    ▶ Ensuite onglet Start Repairs, clique sur Start
    Coche les cases suivantes :
    
    Repair Winsock & DNS Cache
    Repair Proxy Settings
    

    ● Coche la case Restart/Shutdown System when finished et Restart System
    ▶ Clique sur Start et laisse l'outil travailler.
    1
  19. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    Réinstalle la carte réseau.
    1
  20. juju666 Messages postés 35446 Date d'inscription   Statut Contributeur sécurité Dernière intervention   4 796
     
    C'est moche ça !

    J'ai épuisé mes connaissances sur le sujet, moi tu sais sorti des virus ...
    Je demande aux collègues ;)
    1
  • 1
  • 2
  • 3
  • 4
  • 5
  • 6