Takashi nous a virussé !
Résolu
the_dark_gost
Messages postés
153
Date d'inscription
Statut
Membre
Dernière intervention
-
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
juju666 Messages postés 35446 Date d'inscription Statut Contributeur sécurité Dernière intervention -
Bonjour,
donc hier un " pote " ( enfin c'est ce que je pensé ) ma envoyer une application ( que je pensé être un launcher pour jouer a Feed The Beast si vous voulais savoir ) mais j'était embêter déjà le fichier me semblé bizarre ...
je l'ai donc analyser avec mon AV ( microsoft security essentials ) et par VirusTotal les deux me disent aucun virus ton fichier est ok.
donc je le lance et la ... le drame survient ( non je rigole ).
en faite j'ai tout de suite vue que c'était un virus car le fichier en question a disparue de son dossier ( mon dossier téléchargement ) donc je me suis empresser de trouver le processus en question dans mon gestionnaire de tache et de le fermer.
mais le problème est que a chaque fois que je lance mon ordi des fenêtres CMD s'ouvre ( en sachant que d'habitude il y en a toujours une a cause de mon pilote CG ) mais la c'est 3 qui s'ouvre en même temps et je croit distinguer des écriture dedans mais trop tard elle on disparue. et je ne trouve aucun processus inhabituel dans mon gestionnaire de tache...
pouvez vous m'aider a savoir si oui u non c'est bien un virus et si je dois m'en soucier ou pas ? svp merci :)
( je fais une analyse complète avec mon AV en se moment même )
donc hier un " pote " ( enfin c'est ce que je pensé ) ma envoyer une application ( que je pensé être un launcher pour jouer a Feed The Beast si vous voulais savoir ) mais j'était embêter déjà le fichier me semblé bizarre ...
je l'ai donc analyser avec mon AV ( microsoft security essentials ) et par VirusTotal les deux me disent aucun virus ton fichier est ok.
donc je le lance et la ... le drame survient ( non je rigole ).
en faite j'ai tout de suite vue que c'était un virus car le fichier en question a disparue de son dossier ( mon dossier téléchargement ) donc je me suis empresser de trouver le processus en question dans mon gestionnaire de tache et de le fermer.
mais le problème est que a chaque fois que je lance mon ordi des fenêtres CMD s'ouvre ( en sachant que d'habitude il y en a toujours une a cause de mon pilote CG ) mais la c'est 3 qui s'ouvre en même temps et je croit distinguer des écriture dedans mais trop tard elle on disparue. et je ne trouve aucun processus inhabituel dans mon gestionnaire de tache...
pouvez vous m'aider a savoir si oui u non c'est bien un virus et si je dois m'en soucier ou pas ? svp merci :)
( je fais une analyse complète avec mon AV en se moment même )
18 réponses
Salut
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
▶ Clique ici pour voir la configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%LocalAppData%\*
%LocalAppData%\*.
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig
netsvcs
BASESERVICES
safebootminimal
safebootnetwork
CREATERESTOREPOINT
SAVEMBR:0
dir "%Homedrive%\*" /S /A:L /C
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
Faire un scan OTL pour diagnostiquer les programmes qui tournent et déceler des infections :
▶ Télécharge ici :OTL
▶ Fais un double clic sur l'icône pour le lancer (clic droit executer en tant qu'administrateur sous Vista, Windows 7 ou Windows 8). Vérifier que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.
▶ Clique ici pour voir la configuration
▶ Copie et colle le contenu de ce qui suit en gras dans la partie inférieure d'OTL "Personnalisation"
HKCU\Software
HKLM\Software
%Homedrive%\*
%Homedrive%\*.
%Userprofile%\*
%Userprofile%\*.
%Allusersprofile%\*
%Allusersprofile%\*.
%localappdata%\*
%localappdata%\*.
%Userprofile%\Local Settings\Application Data\*
%Userprofile%\Local Settings\Application Data\*.
%programFiles%\*
%programFiles%\*.
%Systemroot%\Temp\*.exe /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\system32\*.exe /lockedfiles
%systemroot%\system32\*.in*
%systemroot%\Tasks\*
%systemroot%\Tasks\*.
%systemroot%\system32\Tasks\*
%systemroot%\system32\Tasks\*.
%systemroot%\system32\drivers\*.sy* /lockedfiles
%systemroot%\system32\config\*.exe /s
%Systemroot%\ServiceProfiles\*.exe /s
%systemroot%\system32\*.sys
%temp%\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.exe /s
%ALLUSERSPROFILE%\Application Data\*.
%APPDATA%\*.exe /s
%LocalAppData%\*
%LocalAppData%\*.
%SYSTEMDRIVE%\*.*
/md5start
explorer.exe
winlogon.exe
userinit.exe
svchost.exe
services.exe
winsock.*
/md5stop
msconfig
netsvcs
BASESERVICES
safebootminimal
safebootnetwork
CREATERESTOREPOINT
SAVEMBR:0
dir "%Homedrive%\*" /S /A:L /C
▶ Clic sur Analyse.
A la fin du scan, 2 Bloc-Notes vont s'ouvrir avec les rapports (OTL.txt et extras.txt).
NE PAS COPIER/COLLER LE RAPPORT ICI - LIRE JUSQU'AU BOUT
Ces fichiers se trouvent à côté de l'exécutable OTL.exe
héberge OTL.txt et extra.txt sur FEC Upload et donne les liens obtenus en échange
NE PAS COPIER/COLLER LE LIEN DE SUPPRESSION, CONSERVE-LE SI TU DESIRE ENSUITE SUPPRIMER LES RAPPORTS DE LA BASE DE DONNEES FEC
▶ Télécharge ici (lien direct): AdwCleaner (de Xplode)
▶ Lance-le
▶ Clique sur Suppression et patiente le temps du nettoyage.
▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
▶ Lance-le
▶ Clique sur Suppression et patiente le temps du nettoyage.
▶ Poste le contenu du rapport que tu trouveras dans ton disque dur c:\ADwcleaner[Sx].txt ou son contenu s'il s'ouvre.
donc voilà pour le rapport : https://forums-fec.be/upload/www/?a=d&i=1562926760
et au démarrage de mon pc il me demande de lancer :
C:\User\moi\AppData\Local\Temp\MSDCSC\msdcsc.exe.
ne sachant pas se que c'est je dit non a chaque fois ( c'est depuis que j'ai lancer ce foutue fichier ).
mais quand je tente d'aller dans se dossier impossible de trouver le dossier MSDCSC qui est sensé se trouver dans le dossier temp.
et au démarrage de mon pc il me demande de lancer :
C:\User\moi\AppData\Local\Temp\MSDCSC\msdcsc.exe.
ne sachant pas se que c'est je dit non a chaque fois ( c'est depuis que j'ai lancer ce foutue fichier ).
mais quand je tente d'aller dans se dossier impossible de trouver le dossier MSDCSC qui est sensé se trouver dans le dossier temp.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
nouveau OTL : https://forums-fec.be/upload/www/?a=d&i=0146127740
nouveau extra : https://forums-fec.be/upload/www/?a=d&i=8295352671
nouveau extra : https://forums-fec.be/upload/www/?a=d&i=8295352671
Tes mots de passe ont été pompés faudra les changer.
Relance OTL, colle le texte en italique ci-dessous dans Personnalisation, clique CORRECTION et poste le rapport qui s'ouvrira au reboot.
:OTL
O4 - HKU\S-1-5-21-3190762313-3909631257-3097072904-1001\..\Run: [MicroUpdate] C:\Users\Quentin\AppData\Local\Temp\MSDCSC\msdcsc.exe ()
O4 - HKU\S-1-5-21-3190762313-3909631257-3097072904-1001\..\Run: [WindowsStart] %AppData%\Microsoft\taskhost.exe File not found
O20 - HKU\S-1-5-21-3190762313-3909631257-3097072904-1001 Winlogon: Shell - (expstart.exe) - C:\Windows\expstart.exe ()
[2013/08/10 18:52:12 | 000,000,000 | ---D | C] -- C:\Users\Quentin\AppData\Roaming\dclogs
[2013/08/11 10:18:08 | 000,002,490 | ---- | M] () -- C:\Users\Quentin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windows.lnk
:Files
C:\Users\Quentin\AppData\Local\Temp\MSDCSC\msdcsc.exe
C:\Users\Quentin\AppData\Roaming\Microsoft\taskhost.exe
C:\Windows\expstart.exe
:Commands
[EMPTYTEMP]
~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Sur le Dossier _OTL : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur https://www.forums-fec.be/upload
Merci.
Relance OTL, colle le texte en italique ci-dessous dans Personnalisation, clique CORRECTION et poste le rapport qui s'ouvrira au reboot.
:OTL
O4 - HKU\S-1-5-21-3190762313-3909631257-3097072904-1001\..\Run: [MicroUpdate] C:\Users\Quentin\AppData\Local\Temp\MSDCSC\msdcsc.exe ()
O4 - HKU\S-1-5-21-3190762313-3909631257-3097072904-1001\..\Run: [WindowsStart] %AppData%\Microsoft\taskhost.exe File not found
O20 - HKU\S-1-5-21-3190762313-3909631257-3097072904-1001 Winlogon: Shell - (expstart.exe) - C:\Windows\expstart.exe ()
[2013/08/10 18:52:12 | 000,000,000 | ---D | C] -- C:\Users\Quentin\AppData\Roaming\dclogs
[2013/08/11 10:18:08 | 000,002,490 | ---- | M] () -- C:\Users\Quentin\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\windows.lnk
:Files
C:\Users\Quentin\AppData\Local\Temp\MSDCSC\msdcsc.exe
C:\Users\Quentin\AppData\Roaming\Microsoft\taskhost.exe
C:\Windows\expstart.exe
:Commands
[EMPTYTEMP]
~~
Zip le dossier C:\_OTL
Ouvre Mon Ordinateur / Poste de travail => Disque C
Sur le Dossier _OTL : Clic droit / Envoyer vers dossier compressé.
Cela va créer un fichier C:\_OTL.zip
Envoie ce fichier _OTL.zip sur https://www.forums-fec.be/upload
Merci.
Oué.
ça se voit grâce à ça : [2013/08/10 18:52:12 | 000,000,000 | ---D | C] -- C:\Users\Quentin\AppData\Roaming\dclogs
Sinon ça je me doute c'est des RATS :
C:\Users\Quentin\AppData\Local\Temp\MSDCSC\msdcsc.exe
C:\Users\Quentin\AppData\Roaming\Microsoft\taskhost.exe
C:\Windows\expstart.exe
Pour ça j'aimerais les récup pour les remonter aux AV.
ça se voit grâce à ça : [2013/08/10 18:52:12 | 000,000,000 | ---D | C] -- C:\Users\Quentin\AppData\Roaming\dclogs
Sinon ça je me doute c'est des RATS :
C:\Users\Quentin\AppData\Local\Temp\MSDCSC\msdcsc.exe
C:\Users\Quentin\AppData\Roaming\Microsoft\taskhost.exe
C:\Windows\expstart.exe
Pour ça j'aimerais les récup pour les remonter aux AV.
Bon y'en avait plus qu'un d'actif, les 2 autres étaient déjà supprimés.
Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/
~~
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
~~
Sécurise ton PC !
Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
~~
Attention à ce que tu installes à l'avenir :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme S0ft0nic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.
Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Passe le mot à tes amis !
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
Passe un coup de delfix en cochant toutes cases : https://www.commentcamarche.net/telecharger/securite/7111-delfix/
~~
Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.
~~
Sécurise ton PC !
Un exploit sur site web permet l'infection de ton ordinateur de manière automatiquement à la visite d'un site WEB qui a été hacké, il tire partie du fait que tu as des logiciels (Java, Adobe Reader etc) qui sont pas à jour et possèdent des vulnérabilités qui permettent l'execution de code (malicieux dans notre cas) à ton insu.
Le fait de ne pas avoir des logiciels à jour et qui ont potentiellement des vulnérabilités permettent donc d'infecter ton système.
Exemple avec : Exploit Java
Il faut donc impérativement maintenir tes logiciels à jour afin de ne pas voir ces portes d'entrée sur ton système.
Tant que ces logiciels ne seront pas à jour, ton PC est vulnérable et les infections peuvent s'installer facilement.
IMPORTANT : mettre à jour tes programmes notamment Java/Adobe Reader et Flash :
https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
https://forum.malekal.com/viewtopic.php?t=15960&start=
Désactive Java de tes navigateurs WEB : https://www.commentcamarche.net/faq/35621-desactiver-java-sur-ses-navigateurs-web
~~
Attention à ce que tu installes à l'avenir :
Des logiciels additionnels sont proposés (barre d'outils, adwares) via l'installation de logiciel gratuit en général ou via certains sites de téléchargement comme S0ft0nic.
L'éditeur touche de l'argent à chaque installation réussie de ces programmes additionnels (un genre de sponsoring), ton PC se retrouve avec des barres d'outils qui ralentissent le navigateur ou des adwares qui ouvrent des popups de publicités.
Dès lors, lorsque tu installes un programme, lis bien ce qui est proposé car tu risques d'installé des barres d'outils sans le savoir.
Lire Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Passe le mot à tes amis !
~~
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Bonne lecture et n'oublie pas d'indiquer que ton sujet est résolu :)
très bien merci j'ai plus qu'a changé tous mes mot de passe et je ferai plus attention a l'avenire merci encore de ton aide !
une dernière question ( je suis lourd je sais (^_^) ) ma mère avais rentre le numéro de ça carte bleu sur Amazon vue que c'est pirater ça carte bleu l'a était aussi ou non ? je viens de supprimer la carte du site au cas ou
une dernière question ( je suis lourd je sais (^_^) ) ma mère avais rentre le numéro de ça carte bleu sur Amazon vue que c'est pirater ça carte bleu l'a était aussi ou non ? je viens de supprimer la carte du site au cas ou