Suis-je totalement désinfecté ?

Question

Bonjour, 

J'ai récemment été infecté par un trojan / virus en téléchargeant un programme malicieux, celui-ci a envoyé un message à tous mes contact Steam afin qu'ils cliquent eux même pour être infectés à leurs tour. Le programme a aussi vidé mon inventaire de skin CS GO mais celui-ci est revenu comme par magie quelques heures plus tard.

J'ai passé un scan MalwareByte, Avira, Kapersky mais je ne suis pas sur de m'en être réellement débarrassé. Pouvez-vous me guider afin d'établir un diagnostic complet ? 

En effet, le malware m'a installé un proxy que j'ai depuis désactivé et j'ai hier eu mon premier écran bleu, coïncidence ? Je ne suis sur de rien.


Configuration: Windows 7 / Chrome 31.0.1650.59

Boulbix13 · Answer

Bonjour un programme tel que AdwCleaner pourrait bien vous aider !

Cordialement

pow444 · Answer

Déjà fait, oublié de le préciser...

miklhcos · Answer

Salut,
suis cette procédure:
1: Mets à jour chrom.
2: témécharges adwcleaner.
2: ouvres-le et acceptes la liscence.
4: cliquessur scanner et patientes.
5: cliques sur nettoyer puis redémarres 
6: un rapport va s'ouvrir une fois le système redémarer.
7: copie/colle ce rapport dans ta prochaine réponse.

Liens:
dernière version de chrom:
http://play.google.com/...

adwcleaner:
https://toolslib.net/downloads/viewdownload/1-adwcleaner/

bonne soirée.
Ça t'aide?

pow444 · Answer

Voici : 

# AdwCleaner v4.105 - Rapport créé le 21/12/2014 à 20:16:20
# Mis à jour le 08/12/2014 par Xplode
# Database : 2014-12-21.4 [Live]
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : Arnaud - ARNAUD-PC
# Exécuté depuis : C:\Users\Arnaud\Downloads\adwcleaner_4.105.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\apn
Dossier Supprimé : C:\Users\Arnaud\AppData\Local\CrashRpt
Fichier Supprimé : C:\Windows\Installer\a29a2.msi
Fichier Supprimé : C:\Users\Arnaud\AppData\Roaming\Mozilla\Firefox\Profiles\0okh14r5.default\user.js

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Classes\pokki
Clé Supprimée : HKCU\Software\AppDataLow\Software\adawarebp

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17496


-\ Mozilla Firefox v33.1.1 (x86 fr)


-\ Google Chrome v39.0.2171.95


*************************

AdwCleaner[R0].txt - [2271 octets] - [21/12/2014 04:07:39]
AdwCleaner[R1].txt - [1243 octets] - [21/12/2014 20:13:35]
AdwCleaner[S0].txt - [1170 octets] - [21/12/2014 20:16:20]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1230 octets] ##########

Malekal_morte- · Answer

Salut,



Suis ce tutorial : https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Cela va générer deux rapports FRST.
Envoie comme expliqué, ces deux rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.

pow444 · Answer

Bonjour Malekal, 
MAJ (les rapports précédemment up n'étaient pas les bons)

https://pjjoint.malekal.com/files.php?id=FRST_20141221_u13g15z6v13i15
https://pjjoint.malekal.com/files.php?id=20141221_e7t8h5v6v9
https://pjjoint.malekal.com/files.php?id=20141221_f8r712v14u11

Malekal_morte- · Answer

Désinstalle Ad-Aware Antivirus
Tu as déjà Kaspersky.

Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix

Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit : 

 2014-12-21 03:39 - 2014-12-21 03:39 - 00380416 _____ () C:\Users\Arnaud\Downloads\571bbkzy.exe  
 CHR HomePage: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3325585&octid=EB_ORIGINAL_CTID&ISID=M5934ABE3-9C5E-4C67-9202-DF3F349FB433&SearchSource=55&CUI=&UM=5&UP=SPA607BC21-FA00-4A16-8605-D6E9A07F0EAD&SSPV= [Pays NL - 195.78.120.88] 
 CHR StartupUrls: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3325585&octid=EB_ORIGINAL_CTID&ISID=M5934ABE3-9C5E-4C67-9202-DF3F349FB433&SearchSource=55&CUI=&UM=5&UP=SPA607BC21-FA00-4A16-8605-D6E9A07F0EAD&SSPV=, hxxp://mysearch.avg.com/?cid={0E46CAB0-F7F5-474D-B5F7-76A2EAB87C6B}&mid=b1c0133c2b3447d3b010d16a12ba8373-3d725c7b6432779e35f49a18572d5ce8e7d79ee4&lang=fr&ds=gm011&pr=sa&d=2013-07-25%2015:24:11&v=15.3.0.11&pid=safeguard&sg=0&sap=hp, hxxp://www2.delta-search.com/?babsrc=HP_ss&mntrId=18BB002637BD3942&affID=119357&tt=160913_m1&tsp=5012, hxxp://mysearch.avg.com/?cid={0E46CAB0-F7F5-474D-B5F7-76A2EAB87C6B}&mid=b1c0133c2b3447d3b010d16a12ba8373-3d725c7b6432779e35f49a18572d5ce8e7d79ee4&lang=fr&ds=gm011&coid=&pr=sa&d=2013-07-25%2015:24:11&v=17.0.1.12&pid=safeguard&sg=0&sap=hp, hxxp://www.google.com [Pays NL - 195.78.120.88] 
  
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.

Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. 

Redémarre l'ordinateur

pow444 · Answer

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 21-12-2014
Ran by Arnaud at 2014-12-21 20:41:28 Run:1
Running from C:\Users\Arnaud\Desktop
Loaded Profile: Arnaud (Available profiles: Arnaud)
Boot Mode: Normal
==============================================

Content of fixlist:
*****************
2014-12-21 03:39 - 2014-12-21 03:39 - 00380416 _____ () C:\Users\Arnaud\Downloads\571bbkzy.exe 
CHR HomePage: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3325585&octid=EB_ORIGINAL_CTID&ISID=M5934ABE3-9C5E-4C67-9202-DF3F349FB433&SearchSource=55&CUI=&UM=5&UP=SPA607BC21-FA00-4A16-8605-D6E9A07F0EAD&SSPV= [Pays NL - 195.78.120.88] 
CHR StartupUrls: Default -> hxxp://www.trovi.com/?gd=&ctid=CT3325585&octid=EB_ORIGINAL_CTID&ISID=M5934ABE3-9C5E-4C67-9202-DF3F349FB433&SearchSource=55&CUI=&UM=5&UP=SPA607BC21-FA00-4A16-8605-D6E9A07F0EAD&SSPV=, hxxp://mysearch.avg.com/?cid={0E46CAB0-F7F5-474D-B5F7-76A2EAB87C6B}&mid=b1c0133c2b3447d3b010d16a12ba8373-3d725c7b6432779e35f49a18572d5ce8e7d79ee4&lang=fr&ds=gm011&pr=sa&d=2013-07-25%2015:24:11&v=15.3.0.11&pid=safeguard&sg=0&sap=hp, hxxp://www2.delta-search.com/?babsrc=HP_ss&mntrId=18BB002637BD3942&affID=119357&tt=160913_m1&tsp=5012, hxxp://mysearch.avg.com/?cid={0E46CAB0-F7F5-474D-B5F7-76A2EAB87C6B}&mid=b1c0133c2b3447d3b010d16a12ba8373-3d725c7b6432779e35f49a18572d5ce8e7d79ee4&lang=fr&ds=gm011&coid=&pr=sa&d=2013-07-25%2015:24:11&v=17.0.1.12&pid=safeguard&sg=0&sap=hp, hxxp://www.google.com [Pays NL - 195.78.120.88] 
*****************

C:\Users\Arnaud\Downloads\571bbkzy.exe => Moved successfully.
Chrome HomePage deleted successfully.
Chrome StartupUrls deleted successfully.

==== End of Fixlog ====

pow444 · Answer

Depuis que mon PC a reboot impossible de me connecter à internet, la barre des taches indique que mon câble ethernet est débranché. J'ai vérifié et ça n'est pas le cas; j'ai aussi reboot la freebox mais ça n'a rien arrangé. Autre chose, un message d'erreur est apparu au redémarrage : winpk filter driver is not installed or failed to load. 

Fuck...

Malekal_morte- · Answer

Ca donne quoi pour les publicités ?
Tu as pu désinstaller Ad-Aware?

pow444 · Answer

Quelles publicités ? Oui pour adware.
Je n'ai juste plus de connexion internet+ un plantage de winpk filter au démarrage mais à part ça tout va bien.... :p

pow444 · Answer

Up :(

Malekal_morte- · Answer

Tu peux donner plus d'informations sur ce plantage?
Message d'erreur etc.

pow444 · Answer

Bonjour malekal, je n'ai pas plus d'information que "winpk filter driver is not installed or failed to load" je ne sais pas si ça a un rapport avec internet mais c'est très embêtant..

Malekal_morte- · Answer

C'est ce programme qui est à l'origine du message d'erreur :
NetworkGenie (HKLM-x32\...\{B416A23D-C2BD-4956-8BAE-5C3BAFF1AC1E}) (Version: 1.0.0.8 - MSI) 

Désintalle le.

miklhcos · Answer

Salut,
tu aurais dû te contenter d'adwcleaner.
Qu'en penses-tu?
Mets à jour firefox et je te cherche une solution pour ta connexion internet.
Tentes une restauration au dernier point de restauration connu.
Ça t'aide?

pow444 · Answer

Hey, je suis au boulot donc je ferai tout ça à mon retour, merci à vous en tout cas ça fait plaisir d'être épaulé :) en rebasculant sur la précédente restauration je ne risque pas de faire réapparaitre le malware ?

miklhcos · Answer

Elledate de quand ta dernière restauration?
Un conseil dès que ton ordi redémarre après la restauration tu refais adwcleaner.
Il faudra surment que tu redésintalles adwer antivirus.
Ok?
Tu es de retour chez toi à quelle heure pour plus d'aide en direct?

pow444 · Answer

Je serai chez moi aux alentours de 19h :)

miklhcos · Answer

Ok.
Je serais peut-être plus dans le coin mais je reviendrais demain matin.
Tous mes conseils tu vas les essayer?

pow444 · Answer

S'ils ne sont pas incompatibles avec les instructions de malekal alors oui pourquoi pas.

miklhcos · Answer

Je te rappel que ses instructions on empirer le fonctionement du pc dobc adwcleaner ne peut qu'aranger.

pow444 · Answer

Je vais tester et te tiens au courant, merci beaucoup.

miklhcos · Answer

Ok, no problemp.

Malekal_morte- · Answer

Désinstalle le programme mentionné là : https://forums.commentcamarche.net/forum/affich-31240308-suis-je-totalement-desinfecte#15

Pour la connexion internet, faudrait donner plus d'infos.
Ca parle de proxy ?
Y a un message ?

miklhcos · Answer

Essaie d'abords mes solutions.

pow444 · Answer

@malekal non ça m'indique aucune connexion réseau, comme si le câble était débranché, sauf que ça n'est pas le cas et qu'il est en très bon état. Je suis sur la route là je testerai vos propositions dès mon arrivée.

miklhcos · Answer

Tiens-nous au jus.

pow444 · Answer

Je suis là ! 

Donc, reprenons : @malekal, l'impossibilité de see connecter à internet + les plantages de plusieurs programmes étaient du à ta solution (même après avoir desinstallé network genius) puisque je viens de restaurer Windows et tout remarche très bien... Il faut être plus vigilant :(

Que dois-je faire maintenant ? Je lance adware cleaner et je vous poste le rapport ? C'est en cours.

pow444 · Answer

# AdwCleaner v4.105 - Rapport créé le 21/12/2014 à 20:16:20
# Mis à jour le 08/12/2014 par Xplode
# Database : 2014-12-21.4 [Live]
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : Arnaud - ARNAUD-PC
# Exécuté depuis : C:\Users\Arnaud\Downloads\adwcleaner_4.105.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Dossier Supprimé : C:\ProgramData\apn
Dossier Supprimé : C:\Users\Arnaud\AppData\Local\CrashRpt
Fichier Supprimé : C:\Windows\Installer\a29a2.msi
Fichier Supprimé : C:\Users\Arnaud\AppData\Roaming\Mozilla\Firefox\Profiles\0okh14r5.default\user.js

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Classes\pokki
Clé Supprimée : HKCU\Software\AppDataLow\Software\adawarebp

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17496


-\ Mozilla Firefox v33.1.1 (x86 fr)


-\ Google Chrome v39.0.2171.95


*************************

AdwCleaner[R0].txt - [2271 octets] - [21/12/2014 04:07:39]
AdwCleaner[R1].txt - [1243 octets] - [21/12/2014 20:13:35]
AdwCleaner[S0].txt - [1170 octets] - [21/12/2014 20:16:20]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [1230 octets] ##########
# AdwCleaner v4.106 - Rapport créé le 22/12/2014 à 19:43:22
# Mis à jour le 21/12/2014 par Xplode
# Database : 2014-12-21.4 [Live]
# Système d'exploitation : Windows 7 Ultimate Service Pack 1 (64 bits)
# Nom d'utilisateur : Arnaud - ARNAUD-PC
# Exécuté depuis : C:\Users\Arnaud\Downloads\AdwCleaner-4.106.exe
# Option : Nettoyer

***** [ Services ] *****


***** [ Fichiers / Dossiers ] *****

Fichier Supprimé : C:\Windows\Installer\a29a2.msi
Fichier Supprimé : C:\Users\Arnaud\AppData\Roaming\Mozilla\Firefox\Profiles\0okh14r5.default\user.js

***** [ Tâches planifiées ] *****


***** [ Raccourcis ] *****


***** [ Registre ] *****

Clé Supprimée : HKCU\Software\Classes\pokki
Clé Supprimée : HKCU\Software\AppDataLow\Software\adawarebp

***** [ Navigateurs ] *****

-\ Internet Explorer v11.0.9600.17496


-\ Mozilla Firefox v33.0.3 (x86 fr)


-\ Google Chrome v39.0.2171.95


*************************

AdwCleaner[R0].txt - [3478 octets] - [21/12/2014 04:07:39]
AdwCleaner[R1].txt - [1243 octets] - [21/12/2014 20:13:35]
AdwCleaner[S0].txt - [2382 octets] - [21/12/2014 20:16:20]

########## EOF - C:\AdwCleaner\AdwCleaner[S0].txt - [2442 octets] ##########

Malekal_morte- · Answer

C'est plutôt étonnant car sur le fix FRST, il n'y aucun programme ou fichiers qui ont été supprimé(s). 

Tu avais désinstallé Ad-Aware ?

pow444 · Answer

j'en profite pour poser une question : quel est le meilleur anti-virus gratuit qui me permettrait de jouer sans subir de ralentissement ? C'est à dire sans chute de fps etc ?

pow444 · Answer

J'ai installé Avast ça m'a l'air bien :)

Malekal_morte- · Answer

oui, active les détections LPIs : https://www.commentcamarche.net/faq/32913-avast-et-avg-activer-la-detection-des-pups-lpis

~~


Quelques conseils :

Installe Malwarebyte's Anti-Malware : https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Fais des scans réguliers avec, il est efficace.


Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=


Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/

pow444 · Answer

Tout est dejà fait Malekale, merci encore ;)

miklhcos · Answer

Salut,
c'est moi qui t'es le plus aidé mais bon.
Pour l'antivirus prends ça car avast deviendrapayant au bout de 30 jours.
MSE.
Lien:
https://support.microsoft.com/en-us/windows/what-is-microsoft-security-essentials-c25ad47a-7d15-8072-1438-b07dffcbbb20

marques ton sujet comme résolu s'y c'est le cas.
Penses à faire régulièrement des scannes avec adwcleaner qui est d'après moi le meilleur outil de désinfection.
Pour l'antivirus mse est donc très bien mais le meilleur antivirus est nul autre que l'utilisateur.

pow444 · Answer

Miklhcos je te trouve super argneux avec Malekal, je ne sais pas ce qui se passe entre vous mais je trouve dommage que ça interfère autant sur les posts où vous cohabitez. 

Merci à toi pour avoir pris le temps de m'aider même si je t'avoue que j'aurai de toute façon effectuer une restauration du système.

Quoi qu'il en soit, si je vous remercie c'est pour avoir fait la démarche de m'aider même si malekal a à priori empirer les choses avec son Fix (ou pas) et que toi tu n'as sensiblement rien proposé d'autre que l'évidence même (restauration).

Pour finir, essaye de prendre un peu de recul et de gagner en sagesse parce-que tu agis envers malekal tel quelqu'un d'aigri et frustré. Je pense que tu as beaucoup à apprendre de lui au vu de sa réputation et de son énorme contribution sur ce forum et ailleurs.

Passez de bonnes fêtes, je passerai ce sujet sur résolu dès mon retour du taff. 

Encore merci à vous deux ;)

miklhcos · Answer

Voilà,
tu comprends donc pourquoi je ne l'apprssis pas trop?
Qu'est-ce qu'il y avait de mal dans ce message?

miklhcos · Answer

Je croyais vraiment que avast n'était pas gratuit mais pas besoin de m'engueuler.
J'étais très énervé car trop de trucs mais j'aurais pas du réagir comme ça sur CCM qui est un endroit ou on doit respecter les autres.
Malekal peux-tu m'excuser?
Merci.

miklhcos · Answer

Ok, cool.
Toi aussi et très bonne fin d'année à tous les répondeurs (mot surment inventé par moi à l'instant :D) de ce message.

pow444 · Answer

Héhé très heureux de la tournure qu'on prit les événements. 
Bonne fêtes à tous les amis ;)

miklhcos · Answer

Oui c'est beaucoup mieux comme ça.
On est même de retour avec Malekal dans un autre poste.

Suis-je totalement désinfecté ?

42 réponses

Newsletters