Soupçons d'infection
Résolu/Fermé
Adam
-
8 févr. 2015 à 04:11
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 8 févr. 2015 à 17:14
Malekal_morte- Messages postés 180304 Date d'inscription mercredi 17 mai 2006 Statut Modérateur, Contributeur sécurité Dernière intervention 15 décembre 2020 - 8 févr. 2015 à 17:14
A voir également:
- Soupçons d'infection
- [Pnkbstra]infection ✓ - Forum Virus
- Infection: URL:Mal !!!???? - Forum Virus
- Infection virus ✓ - Forum Virus
- Infection Bloom ? ✓ - Forum Virus
- Techscam...infection ✓ - Forum Virus
7 réponses
Utilisateur anonyme
Modifié par RLoom le 8/02/2015 à 08:24
Modifié par RLoom le 8/02/2015 à 08:24
Tu as fait quelque chose pour être infecté? Tu as téléchargé quelque chose?
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
8 févr. 2015 à 10:25
8 févr. 2015 à 10:25
Salut,
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Suis ce tutoriel FRST: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/
Télécharge et lance le scan FRST, cela va générer trois rapports FRST :
* FRST.txt
* Shortcut.txt
* Additionnal.txt
Envoie comme expliqué, ces trois rapports sur le site http://pjjoint.malekal.com et donne les trois liens pjjoint de ces rapports afin qu'ils puissent être consultés.
Voici les adresses :
http://pjjoint.malekal.com/files.php?id=20150208_15h8t7k814
http://pjjoint.malekal.com/files.php?id=20150208_h10m6z9q13w6
http://pjjoint.malekal.com/files.php?id=20150208_n6e9w11i8i7
http://pjjoint.malekal.com/files.php?id=20150208_15h8t7k814
http://pjjoint.malekal.com/files.php?id=20150208_h10m6z9q13w6
http://pjjoint.malekal.com/files.php?id=20150208_n6e9w11i8i7
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
8 févr. 2015 à 15:20
8 févr. 2015 à 15:20
Voici la correction à effectuer avec FRST.
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-1918566329-1994387332-3789626236-1000\...\Run: [nvxasync] => C:\Users\adam\AppData\Roaming\nvxasync\nvxasync.exe [142678016 2015-02-07] ()
HKU\S-1-5-21-1918566329-1994387332-3789626236-1000\...\Winlogon: [Shell] C:\ProgramData\nvxasync\cvxasync.exe [142678016 2015-02-07] () <==== ATTENTION
2015-02-07 18:05 - 2015-02-08 04:50 - 00000000 _RSHD () C:\Users\adam\AppData\Roaming\nvxasync
2015-02-07 18:05 - 2015-02-08 03:25 - 00000000 _RSHD () C:\ProgramData\nvxasync
2015-02-07 18:05 - 2015-02-07 18:05 - 00000000 ____D () C:\Users\adam\AppData\Roaming\chportu
2015-02-03 23:32 - 2014-07-09 23:27 - 00000000 ____D () C:\Users\adam\AppData\Roaming\WiseUpdate
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Tu peux t'inspirer de cette note explicative avec des captures d'écran pour t'aider: https://www.malekal.com/tutoriel-farbar-recovery-scan-tool-frst/#fix
Ouvre le bloc-notes : Touche Windows + R, dans le champs executer, tape notepad et OK.
Copie/colle dedans ce qui suit :
HKU\S-1-5-21-1918566329-1994387332-3789626236-1000\...\Run: [nvxasync] => C:\Users\adam\AppData\Roaming\nvxasync\nvxasync.exe [142678016 2015-02-07] ()
HKU\S-1-5-21-1918566329-1994387332-3789626236-1000\...\Winlogon: [Shell] C:\ProgramData\nvxasync\cvxasync.exe [142678016 2015-02-07] () <==== ATTENTION
2015-02-07 18:05 - 2015-02-08 04:50 - 00000000 _RSHD () C:\Users\adam\AppData\Roaming\nvxasync
2015-02-07 18:05 - 2015-02-08 03:25 - 00000000 _RSHD () C:\ProgramData\nvxasync
2015-02-07 18:05 - 2015-02-07 18:05 - 00000000 ____D () C:\Users\adam\AppData\Roaming\chportu
2015-02-03 23:32 - 2014-07-09 23:27 - 00000000 ____D () C:\Users\adam\AppData\Roaming\WiseUpdate
Une fois, le texte coller dans le bloc-note.
Menu Fichier puis Enregistrer sous.
A gauche, place toi sur le bureau.
Dans le champs en bas, nom du fichier mets : fixlist.txt
Clic sur Enregistrer - cela va créer un fichier fixlist.txt sur le bureau.
Relance FRST et clic sur le bouton Fix
Selon comment un redémarrage est nécessaire (pas obligatoire).
Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message.
Redémarre l'ordinateur
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Excellent. Très bon travail !
Donc, j'ai retrouvé l'accès au gestionnaire, malwarebyte et a son setup.
En revanche firefox ne garde toujours pas mes onglets épinglés ou mes sessions en mémoire.
"Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. " - C'est le fichier fixlog.txt ?
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 07-02-2015
Ran by adam at 2015-02-08 15:32:31 Run:2
Running from C:\Users\adam\Desktop
Loaded Profiles: adam (Available profiles: adam)
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
HKU\S-1-5-21-1918566329-1994387332-3789626236-1000\...\Run: [nvxasync] => C:\Users\adam\AppData\Roaming\nvxasync\nvxasync.exe [142678016 2015-02-07] ()
HKU\S-1-5-21-1918566329-1994387332-3789626236-1000\...\Winlogon: [Shell] C:\ProgramData\nvxasync\cvxasync.exe [142678016 2015-02-07] () <==== ATTENTION
2015-02-07 18:05 - 2015-02-08 04:50 - 00000000 _RSHD () C:\Users\adam\AppData\Roaming\nvxasync
2015-02-07 18:05 - 2015-02-08 03:25 - 00000000 _RSHD () C:\ProgramData\nvxasync
2015-02-07 18:05 - 2015-02-07 18:05 - 00000000 ____D () C:\Users\adam\AppData\Roaming\chportu
2015-02-03 23:32 - 2014-07-09 23:27 - 00000000 ____D () C:\Users\adam\AppData\Roaming\WiseUpdate
*****************
HKU\S-1-5-21-1918566329-1994387332-3789626236-1000\Software\Microsoft\Windows\CurrentVersion\Run\\nvxasync => Value not found.
HKU\S-1-5-21-1918566329-1994387332-3789626236-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value not found.
"C:\Users\adam\AppData\Roaming\nvxasync" directory move:
C:\Users\adam\AppData\Roaming\nvxasync\com.apple.Safari.plist => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\klite.exe => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\nvxasync.exe => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\oldfilenotused => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\Prefaddon => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\Preferences => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\prefs.js => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\Secure Preferences => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\setting.dat => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\starter.xml => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\Web Data => Moved successfully.
Could not move "C:\Users\adam\AppData\Roaming\nvxasync" directory. => Scheduled to move on reboot.
"C:\ProgramData\nvxasync" => File/Directory not found.
C:\Users\adam\AppData\Roaming\chportu => Moved successfully.
C:\Users\adam\AppData\Roaming\WiseUpdate => Moved successfully.
=> Result of Scheduled Files to move (Boot Mode: Normal) (Date&Time: 2015-02-08 15:35:16)<=
C:\Users\adam\AppData\Roaming\nvxasync => Is moved successfully.
==== End of Fixlog 15:35:16 ====
Donc, j'ai retrouvé l'accès au gestionnaire, malwarebyte et a son setup.
En revanche firefox ne garde toujours pas mes onglets épinglés ou mes sessions en mémoire.
"Un fichier texte apparaît, copie/colle le contenu ici dans un nouveau message. " - C'est le fichier fixlog.txt ?
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 07-02-2015
Ran by adam at 2015-02-08 15:32:31 Run:2
Running from C:\Users\adam\Desktop
Loaded Profiles: adam (Available profiles: adam)
Boot Mode: Normal
==============================================
Content of fixlist:
*****************
HKU\S-1-5-21-1918566329-1994387332-3789626236-1000\...\Run: [nvxasync] => C:\Users\adam\AppData\Roaming\nvxasync\nvxasync.exe [142678016 2015-02-07] ()
HKU\S-1-5-21-1918566329-1994387332-3789626236-1000\...\Winlogon: [Shell] C:\ProgramData\nvxasync\cvxasync.exe [142678016 2015-02-07] () <==== ATTENTION
2015-02-07 18:05 - 2015-02-08 04:50 - 00000000 _RSHD () C:\Users\adam\AppData\Roaming\nvxasync
2015-02-07 18:05 - 2015-02-08 03:25 - 00000000 _RSHD () C:\ProgramData\nvxasync
2015-02-07 18:05 - 2015-02-07 18:05 - 00000000 ____D () C:\Users\adam\AppData\Roaming\chportu
2015-02-03 23:32 - 2014-07-09 23:27 - 00000000 ____D () C:\Users\adam\AppData\Roaming\WiseUpdate
*****************
HKU\S-1-5-21-1918566329-1994387332-3789626236-1000\Software\Microsoft\Windows\CurrentVersion\Run\\nvxasync => Value not found.
HKU\S-1-5-21-1918566329-1994387332-3789626236-1000\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value not found.
"C:\Users\adam\AppData\Roaming\nvxasync" directory move:
C:\Users\adam\AppData\Roaming\nvxasync\com.apple.Safari.plist => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\klite.exe => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\nvxasync.exe => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\oldfilenotused => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\Prefaddon => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\Preferences => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\prefs.js => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\Secure Preferences => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\setting.dat => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\starter.xml => Moved successfully.
C:\Users\adam\AppData\Roaming\nvxasync\Web Data => Moved successfully.
Could not move "C:\Users\adam\AppData\Roaming\nvxasync" directory. => Scheduled to move on reboot.
"C:\ProgramData\nvxasync" => File/Directory not found.
C:\Users\adam\AppData\Roaming\chportu => Moved successfully.
C:\Users\adam\AppData\Roaming\WiseUpdate => Moved successfully.
=> Result of Scheduled Files to move (Boot Mode: Normal) (Date&Time: 2015-02-08 15:35:16)<=
C:\Users\adam\AppData\Roaming\nvxasync => Is moved successfully.
==== End of Fixlog 15:35:16 ====
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
8 févr. 2015 à 15:58
8 févr. 2015 à 15:58
ok fais un nettoyage Malwarebytes et ça devrait rouler,
Voila, c'est terminé, tu peux supprimer les programmes utilisés.
Quelques conseils :
Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=
Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
Voila, c'est terminé, tu peux supprimer les programmes utilisés.
Quelques conseils :
Pour prévenir les sites malicieux, tu peux installer Blockulicious : https://forum.malekal.com/viewtopic.php?t=46656&start=
Pour ne plus te faire avoir.
A lire - Programmes parasites / PUPs : https://www.malekal.com/adwares-pup-protection/
Le reste de la sécurité : http://forum.malekal.com/comment-securiser-son-ordinateur.html
J'avais anticipé le scan malwarebyte déjà. 3 nuisibles trouvé, mis en quarantaine et supprimé.
j'ai également retrouver les sauvegardes de sessions et les épinglés, c'est parfait.
Est il nécessaire de modifier les mots de passe que j'ai pu utiliser au cours de mon infection ? (League of legend / gmail / dropbox notament)
Je pense aussi au MdP comme paypal ou id de banque ? Je ne les ai pas utilisé et j'imagine qu'ils ne sont pas accessible, mais je demande au cas ou.
Oui normalement je fais attention mais là je me suis fais avoir en faisant des recherches sur un patch pour un jeu sorti il y a 15 ans. Ironie du sort ce jeu ressort en remake HD le mois prochain. Dans la précipitation j'ai confondu les deux version et je suis passé sur des sites sensible (que mon addon WOT m'a signalé et aurait normalement dû bloquer)
Ainsi qu'une installation louche sur un autre site, sans alarme cette fois. Setup sans intitulé, installation d'un assez gros fichier "data" (~200 Mo, de mémoire) dans un répertoire avec 1 autre fichier et un uninstall.
Je pense que c'est ça.
Sur le coup je ne l'ai réalisé qu'a la fin de l'installation et j'ai réagis immédiatement.
J'ai supprimé le tout avec unlocker, analyse avast + malwarebyte (qui n'avaient rien trouvé a ce moment là) et adwcleaner dans la foulé.
j'ai également retrouver les sauvegardes de sessions et les épinglés, c'est parfait.
Est il nécessaire de modifier les mots de passe que j'ai pu utiliser au cours de mon infection ? (League of legend / gmail / dropbox notament)
Je pense aussi au MdP comme paypal ou id de banque ? Je ne les ai pas utilisé et j'imagine qu'ils ne sont pas accessible, mais je demande au cas ou.
Oui normalement je fais attention mais là je me suis fais avoir en faisant des recherches sur un patch pour un jeu sorti il y a 15 ans. Ironie du sort ce jeu ressort en remake HD le mois prochain. Dans la précipitation j'ai confondu les deux version et je suis passé sur des sites sensible (que mon addon WOT m'a signalé et aurait normalement dû bloquer)
Ainsi qu'une installation louche sur un autre site, sans alarme cette fois. Setup sans intitulé, installation d'un assez gros fichier "data" (~200 Mo, de mémoire) dans un répertoire avec 1 autre fichier et un uninstall.
Je pense que c'est ça.
Sur le coup je ne l'ai réalisé qu'a la fin de l'installation et j'ai réagis immédiatement.
J'ai supprimé le tout avec unlocker, analyse avast + malwarebyte (qui n'avaient rien trouvé a ce moment là) et adwcleaner dans la foulé.
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
8 févr. 2015 à 16:41
8 févr. 2015 à 16:41
Si tu as un doute change tes mots de passe oui =)
Malekal_morte-
Messages postés
180304
Date d'inscription
mercredi 17 mai 2006
Statut
Modérateur, Contributeur sécurité
Dernière intervention
15 décembre 2020
24 663
8 févr. 2015 à 17:14
8 févr. 2015 à 17:14
De rien =)