Au secours, mariage en péril !!! Fermé

Question

Bonjour,
Mon mari est allé pendant quelques temps sur des sites pour adultes. Jusque là, cela n'a rien de dramatique, bien que cela m'a fait un peu drôle de découvrir tous les liens et toutes les images enregistrées sur son PC... 3 semaines avant notre mariage au mois de juillet!
Arnaud était désolé et un peu penaud. Nous avons donc effacé les historiques de recherche, les dossiers temporaires et autres dossiers contenant les images en question. Depuis, il prétend ne plus avoir envie de regarder tous ces trucs et je suis toute prête à le croire, mais voilà, son disque dur est tombé en panne, il a été changé, et il a pu avoir une sauvegarde de ses dossiers, et... il y a toujours des liens qui s'enregistrent automatiquement sur son Explorer, et il a même une image qui s'est enregistrée dans un dossier (on l'avait peut être oubliée celle là)... Bref, je suis sûre que mon petit mari ne me ment pas lorsqu'il me dit qu'il n'y est pas retourné, et je me demande s'il n'a pas un virus qu'AVG n'aurait pas bloqué... 
J'ai regardé un peu les forums sur la question, et j'ai essayé de faire la manip décrite par un utilisateur de ce forum. Le truc, c'est que nous ne sommes pas des experts en informatique, loin de là, et que quiconque accepterait de nous aider serait peut être obligé de nous expliquer certaines manipulations ou certains termes en détails... :-(
Voici en tout cas la copie de la manip faite à l'instant:

Search Navipromo version 3.6.9 commencé le 02/12/2008 à 15:08:26,12

!!! Attention,ce rapport peut indiquer des fichiers/programmes légitimes!!!
!!! Postez ce rapport sur le forum pour le faire analyser !!!
!!! Ne lancez pas la partie désinfection sans l'avis d'un spécialiste !!!

Outil exécuté depuis C:\Program Files
avilog1
Session actuelle : "Utilisateur" 

Mise à jour le 05.11.2008 à 21h00 par IL-MAFIOSO


Microsoft Windows XP [version 5.1.2600]
Internet Explorer : 7.0.5730.13 
Système de fichiers : NTFS

Recherche executé en mode normal

*** Recherche Programmes installés ***


*** Recherche dossiers dans "C:\WINDOWS" ***


*** Recherche dossiers dans "C:\Program Files" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1\progra~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\All Users\menudm~1" ***


*** Recherche dossiers dans "c:\docume~1\alluse~1\applic~1" ***


*** Recherche dossiers dans "C:\Documents and Settings\Utilisateur\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Utilisateur\locals~1\applic~1" *** 


*** Recherche dossiers dans "C:\Documents and Settings\Utilisateur\menudm~1\progra~1" *** 


*** Recherche avec Catchme-rootkit/stealth malware detector par gmer ***
pour + d'infos : http://www.gmer.net



*** Recherche avec GenericNaviSearch ***
!!! Tous ces résultats peuvent révéler des fichiers légitimes !!!
!!! A vérifier impérativement avant toute suppression manuelle !!!

* Recherche dans "C:\WINDOWS\system32" *

* Recherche dans "C:\Documents and Settings\Utilisateur\locals~1\applic~1" * 



*** Recherche fichiers *** 



*** Recherche clés spécifiques dans le Registre ***


*** Module de Recherche complémentaire ***
(Recherche fichiers spécifiques)

1)Recherche nouveaux fichiers Instant Access :


2)Recherche Heuristique :

* Dans "C:\WINDOWS\system32" :


* Dans "C:\Documents and Settings\Utilisateur\locals~1\applic~1" : 


3)Recherche Certificats :

Certificat Egroup absent !
Certificat Electronic-Group absent !
Certificat Montorgueil absent !
Certificat OOO-Favorit absent !
Certificat Sunny-Day-Design-Ltd absent !

4)Recherche fichiers connus :



*** Analyse terminée le 02/12/2008 à 15:14:11,76 ***
 Est ce que quelqu'un pourrait nous aider et me rassurer sur l'honnêteté de mon mari???
Merci par avance,

Coralie.

Utilisateur anonyme · Accepted Answer

Fait un coup d'Ad-Aware, Spybot, CCleaner

--> n en tiens pas compte

ghosthacker · Answer

bonjour,
je veut bien t'aider mes je comprend pas se que tu veut exactement? tous effacé c sa ?

Utilisateur anonyme · Answer

Salut ;


quel vilain garçon lol

Télécharge HijackThis (outils de diagnostic) ici : 

->  Fais un clic droit sur un des liens et choisi enregistrer la cible sous .... le bureau

->  http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe 
->  HijackThis

-> Fais un double-clic sur HJTInstall.exe afin de lancer l'installation 

-> Clique sur Install ensuite sur I Accept 

-> Clique sur Do a scan system and save log file 

-> Le bloc-notes s'ouvrira, fais un copier-coller de tout son contenu ici dans ta prochaine réponse

ric025 · Answer

Pour suivre!!! lol

Merci. ;))

Utilisateur anonyme · Answer

RE

de rien 

c est apparrement une infection vundo 

j ai besoin d un rapport supplémentaire pour le confirmer :


Télécharge ici : 

http://images.malwareremoval.com/random/RSIT.exe 

random's system information tool (RSIT) par random/random et sauvegarde-le sur le Bureau. 

Double-clique sur RSIT.exe afin de lancer RSIT. 

Lis le contenu de l'écran Disclaimer puis clique sur Continue (si tu acceptes les conditions). 

Si l'outil HijackThis (version à jour) n'est pas présent ou non détecté sur l'ordinateur, RSIT le téléchargera (autorise l'accès dans ton pare-feu, si demandé) et tu devras accepter la licence. 

Lorsque l'analyse sera terminée, deux fichiers texte s'ouvriront. 

Poste le contenu de log.txt

Utilisateur anonyme · Answer

RE 

ok apres lecture ... 

explique exactement le probleme stp

Arnaud et Coralie · Answer

Alors, je vais essayer d'être plus précise. Il utilisait Internet Explorer pour ces petites visites. Les liens vers les sites qu'il visitait se chargeaient automatiquement dans son dossier de liens (et lui même devait en enregistrer). De plus, certaines images s'enregistraient automatiquement.
Bref, après avoir effacé tous ces contenus et ces liens, et en dépit du changement de disque dur, d'autres nouveaux liens se sont enregistrés on ne sait pas comment puisque lorsqu'on a fait clique droit, propriété, une date et une heure où son ordi était éteint se sont affichées. Comme si un virus lui proposait des liens au cas où il aurait envie d'y faire un petit tour...
Je commence à me demander si c'est possible que ces liens apparaissent tous seuls... :(

ghosthacker · Answer

si le disque dur a été changer il et IMPOSSIBLE que les liens soit encore la. la seul facon et de les remettres...

Utilisateur anonyme · Answer

ok 

avant de se poser des questions sur ton homme ...

Ce dossier apparemment exist .. il est ou ? situé ou ? 

donne moi son emplacement exact si possible

Fred910 · Answer

Le mariage est tant en péril que ça ou c'est juste le pretexte??  :))

Sinon je pense que y'a encore des saloperies qui trainent.. Fait un coup d'Ad-Aware, Spybot, CCleaner, ca devrait enlevé pas mal de choses

Sinon allez y ensemble sur les sites

Utilisateur anonyme · Answer

ecoute coralie ,


je regarde une derniere fois les rapports et te dis

afideg · Answer

Salut Chiquitine et TLM,

Mettre Kaspersky en service, et faire une analyse complète.
Quel est le pare-feu ?
Il y a toujours ce dossier "Recup" ==> 2008-11-17 14:55:50 ----D---- C:\recup 

Voir dans "Outils" > "Options Internet" > "Confidentialité" > [Sites] ==> indiquer les sites porno à "refuser".

Amusant; je prie pour le mari.
Il a dû acquérir de l'expérience, dis donc !

Al.

afideg · Answer

Salut Coraline,
Bonjour Chiquitine,

A)- Je ne voudrais pas empiéter sur la recherche en cours entreprise par mon ami Chiquitine29.

B)- Je crois personnellement (pour l'avoir exécuté chez moi), que tu puisses "ne pas retomber sur ses images sans les avoir sollicitées" en bloquant ces sites dans la liste indiquée plus haut, au fur et à mesure de leur apparition. Kaspersky contient également une fonction analogue et un "contrôle parental" qui trie déjà pas mal.

C)- Une solution complémentaire existe => IE-SPYAD devenu ZonedOut :
(qui ajoute plus de 5000 sites à la zone de restriction pour te protéger lorsque tu atterris sur un site douteux) 
Explications ici:   http://assiste.com.free.fr/p/logitheque/ie-spyad.php 
et page de téléchargement ici:  http://www.spywarewarrior.com/uiuc/resource.htm  
qui te conduit vers ZonedOut  https://www.funkytoad.com/?option=com_content&view=article&id=15&Itemid=33 
  
Le mieux est de lire attentivement ce topic https://forum.zebulon.fr/topic/76272-en-ie-spyad-for-zonedout-eric-l-howes 

D)- Cit: « J'ai envoyé un mail au site de Kaspersky pour savoir si un numéro de licence pouvait protéger l'ensemble des ordis de la maison. »

Je ne crois pas que la réponse te soit favorable.
Et depuis la version 2009, je crois que la licence ne couvre plus (comme précédemment) deux PC.
Mais demande autour de toi si pour un usage privé (familial) il ne serait pas possible de couvrir les PC d'une même habitation (même titulaire). 
Si c'est pour l'ensemble des PC dans un bureau d'entreprise, tu devras régler ce problème par contrat avec un revendeur sérieux éventuellement recommandé par Kaspersky (sauf à te faire assister par un club informatique local, éventuellement).

E)- Quant au dossier "résiduel" -situé en C:\recup-, vois s'il ne contiendrait pas des reliquats des exercices physiques de ton bien-aimé.
Et je crois aussi qu'il a certainement dû laisser traîner son adresse e-Mail lors des connexions vers ces sites.


Je laisse l'aspect "recherche & désinfection" à Chiquitine qui est plus au fait de l'actualité que moi.
Je reste cependant surpris par le peu de lignes sur ton rapport HijackThis. Je ne vois pas tes protections PC actives, entre autres. 

Bonne chance
Al.

Utilisateur anonyme · Answer

Salu Al

Coralie , de plus fais ceci :


Télécharger DirLook depuis l'un des rois liens ci-dessous: 
http://jpshortstuff.247fixes.com/DirLook.exe 
http://images.malwareremoval.com/jpshortstuff/DirLook.exe 
http://downloads.securitycadets.com/DirLook.exe 
Enregistrer ce fichier sur le Bureau. 

Faire un double clic sur DirLook.exe pour lancer l'exécution de l'outil. 

Vérifier que les deux cases situées derrière "Show hidden files/folders:" et BBCode Output:" sont cochées. 

Sélectionner toutes les lignes ci-dessous :


C:\recup 
 


Dans la petite fenêtre de DirLook, faire un clic droit dans la zone blanche et choisir Coller. 
Note: les lignes sélectionnées précédemment doivent avoir été recopiées dans la zone blanche de DirLook. 

Cliquer sur le bouton DirLook pour lancer la recherche. 

Lorsque l'outil a terminé cette recherche, il y a ouverture d'une fenêtre du Bloc-notes. 
Note: Dans le Bloc-notes, vérifier dans le menu Format (en haut) que l'option "Retour automatique à la ligne" n'est pas cochée. 
Enregistrer ce fichier affiché dans le Bloc-notes sous le nom DirLook1.txt 
Fermer le Bloc-notes. 
Fermer DirLook en cliquant sur le bouton Exit. 

Envoyer en réponse: 
*- le rapport de DirLook (contenu du fichier DirLook1.txt) 
Note: ce rapport se trouve aussi à la racine du disque système (dl_log.txt)

Au secours, mariage en péril !!!

14 réponses

Discussions similaires