15 sujets de 1 à 15 (sur un total de 24)
  • Auteur
    Messages
  • Barbara
    Nombre d'articles : 0

    Bonjour,

    J’ai acheté il y a quelques semaines un pc portable (Windows 8), que j’utilise peu (bureautique), et le voilà infecté. J’ai tout d’abord eu un problème de lenteur extrême, j’ai réinitialisé le système et actualisé la carte vidéo Nvidia, le problème semblait avoir disparu, mais mon antivirus (Panda Cloud, installé depuis le début) a alors détecté des chevaux de troie :

    http://www.hostingpics.net/viewer.php?id=670915Panda01.jpg » onclick= »window.open(this.href);return false;
    http://www.hostingpics.net/viewer.php?id=641518Panda02.jpg » onclick= »window.open(this.href);return false;

    J’ai lancé une analyse complète Malwarebytes anti malware, qui a détecté des fichiers infectés et les a supprimés. Je colle le rapport ci-dessous ; après redémarrage et rapport rapide, il ne détecte plus rien.

    J’ai supprimé les trois .doc qui apparaissent dans les problèmes sur Panda.
    Je ne trouve rien dans les dossiers …windowstemporary internet filesContent.IE5 (en affichant les fichiers cachés)

    A chaque redémarrage, Panda m’annonce qu’un cheval de troie a été supprimé (cf liens ci-dessus), j’ai l’impression que c’est lié à l’ouverture de certains programmes, comme Google Chrome et Skype.

    J’utilise Comodo Firewall (depuis la réinitialisation).

    Si vous avez des idées pour m’aider, je vous en serai fort reconnaissante !

    (J’ai aussi contaminé mon ancien pc (qui a subi les mêmes analyses malwarebytes, panda et un spybot en cours), je ne sais pas trop comment, je pense que c’est via un mail qui contenait un des .doc qui apparaît dans Panda, ou peut-être via clé usb).

    Je vous remercie d’avance !

    Barbara

    Rapport Malwarebytes :

    Malwarebytes Anti-Malware (Essai) 1.75.0.1300
    http://www.malwarebytes.org

    Version de la base de données: v2013.10.08.06

    Windows 8 x64 NTFS
    Internet Explorer 10.0.9200.16688
    Barbara :: OSCAR [administrateur]

    Protection: Activé

    08-10-13 21:04:36
    mbam-log-2013-10-08 (21-04-36).txt

    Type d’examen: Examen complet (C:|)
    Options d’examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
    Options d’examen désactivées: P2P
    Elément(s) analysé(s): 544333
    Temps écoulé: 1 heure(s), 11 minute(s), 50 seconde(s)

    Processus mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Module(s) mémoire détecté(s): 0
    (Aucun élément nuisible détecté)

    Clé(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Valeur(s) du Registre détectée(s): 0
    (Aucun élément nuisible détecté)

    Elément(s) de données du Registre détecté(s): 0
    (Aucun élément nuisible détecté)

    Dossier(s) détecté(s): 0
    (Aucun élément nuisible détecté)

    Fichier(s) détecté(s): 11
    C:Windows.oldUsersBarbaraAppDataLocalMicrosoftWindowsTemporary Internet FilesContent.IE5UR529KH4Setup[1].exe (PUP.Optional.WebConnect.A) -> Mis en quarantaine et supprimé avec succès.
    C:Windows.oldUsersBarbaraAppDataLocalTempICReinstall_Paint.NET.3.5.11.Install.exe (PUP.Optional.InstallCore) -> Mis en quarantaine et supprimé avec succès.
    C:Windows.oldUsersBarbaraAppDataLocalTempis42483369707504_stpDeltaTB.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
    C:Windows.oldUsersBarbaraAppDataLocalTempis42483369707697_stpWebConnect.exe (PUP.Optional.WebConnect.A) -> Mis en quarantaine et supprimé avec succès.
    C:Windows.oldUsersBarbaraAppDataLocalTempis42483369956934_stpDeltaTB.exe (PUP.Optional.Babylon.A) -> Mis en quarantaine et supprimé avec succès.
    C:Windows.oldUsersBarbaraAppDataRoamingDefaultTabDefaultTabDefaultTabBHO.dll (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
    C:Windows.oldUsersBarbaraAppDataRoamingDefaultTabDefaultTabDefaultTabStart.exe (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
    C:Windows.oldUsersBarbaraAppDataRoamingDefaultTabDefaultTabDefaultTabStart64.exe (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
    C:Windows.oldUsersBarbaraAppDataRoamingDefaultTabDefaultTabDefaultTabWrap.dll (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
    C:Windows.oldUsersBarbaraAppDataRoamingDefaultTabDefaultTabDefaultTabWrap64.dll (PUP.Optional.DefaultTab) -> Mis en quarantaine et supprimé avec succès.
    C:Windows.oldUsersBarbaraAppDataRoamingDefaultTabDefaultTabDTUpdate.exe (PUP.Optional.DefaultTab.A) -> Mis en quarantaine et supprimé avec succès.

    (fin)

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonsoir, :)

    Ok on va s’occuper de ton PC qui est infecté ;)

    Ceci pour sécurisé ton PC et tes clés USB :

    [font=Comic Sans MS:2jj61icv]1.[/font:2jj61icv]

    • Télécharges UsbFix (de El Desaparecido) sur ton Bureau !
    • Branchez toutes vos sources de données externes à votre PC (clé USB, disque dur externe, etc…) sans les ouvrir.
    • Fais clic droit dessus, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Choisi l’option Recherche

    • Copie et Colle le contenu du rapport qui apparaît à la fin du scan dans ta réponse

    Ensuite pour le reste ;)

    [font=Comic Sans MS:2jj61icv]2.[/font:2jj61icv]

    • Télécharges Adwcleaner (de Xplode) sur ton Bureau !
    • Fais clic droit dessus, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
      1. Choisi l’option Scanner
      2. Clique sur Rapport
    • Copie et Colle le contenu du rapport

    [font=Comic Sans MS:2jj61icv]3.[/font:2jj61icv]

    • Télécharge ZHPDiag (de Nicolas Coolman) sur ton bureau.
    • Installe le logiciel.
    • Lance ZHPDiag, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      1. Clique sur Configurer
      2. Clique sur la loupe (« Lancer le diagnostic »)
      3. Une message va apparaître, clique sur Oui

      Note : Ne pas fermer le programme même si il est indiqué qu’il ne répond plus.


    • Une fois le scan terminé rends toi sur le bureau, le fichier ZHPDiag.txt à été créé.
    • Héberge le rapport ZHPDiag.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    Si tu as des questions n’hésite pas ! ;)

    ++ :)

    Barbara
    Nombre d'articles : 0

    Bonsoir,

    Merci pour votre réactivité !

    J’ai téléchargé les trois logiciels mais je n’arrive pas à exécuter USBfix ni ZHPDiag – message de W8 « windows SmartScreen a protégé votre ordinateur ».

    Voilà en tout cas le rapport de AdwCleaner :

    # AdwCleaner v3.006 – Rapport créé le 08/10/2013 à 23:43:27
    # Mis à jour le 01/10/2013 par Xplode
    # Système d’exploitation : Windows 8 (64 bits)
    # Nom d’utilisateur : Barbara – OSCAR
    # Exécuté depuis : C:UsersBarbaraDesktopadwcleaner.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    Dossier Supprimé : C:ProgramDataboost_interprocess

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    Clé Supprimée : HKLMSOFTWAREMicrosoftWindowsCurrentVersionUninstall{A92DAB39-4E2C-4304-9AB6-BC44E68B55E2}

    ***** [ Navigateurs ] *****

    -\ Internet Explorer v10.0.9200.16688

    -\ Google Chrome v30.0.1599.69

    [ Fichier : C:UsersBarbaraAppDataLocalGoogleChromeUser DataDefaultpreferences ]

    *************************

    AdwCleaner[R0].txt – [939 octets] – [08/10/2013 23:42:00]
    AdwCleaner[R1].txt – [996 octets] – [08/10/2013 23:42:56]
    AdwCleaner[S0].txt – [922 octets] – [08/10/2013 23:43:27]

    ########## EOF – C:AdwCleanerAdwCleaner[S0].txt – [981 octets] ##########

    Encore merci :)

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonsoir,

    Dernier message pour moi ce soir ;)

    Il te faut le désactiver, suis ceci : http://www.commentcamarche.net/faq/35353-windows-8-desactiver-le-smartscreen » onclick= »window.open(this.href);return false;

    Bonne nuit :)

    Barbara
    Nombre d'articles : 0

    Bonjour,

    J’ai donc désactivé smartcreen, antivirus et parefeu et j’ai lancé UsbFix en tant qu’administrateur. J’ai eu ces messages d’erreur :

    1/

    C:UsbFixAV.vbs
    Windows ne parvient pas à accéder au périphérique, au chemin d’accès ou au fichier spécifié. Vous ne disposez peut-être pas dedes autorisations appropriées pour avoir accès à l’élément.

    Ensuite UsbFix a effectué la recherche.

    Puis, à 97% de l’analyse :
    2/

    Autolt Error
    Line 19094 (File: « C:UsbFixGo.exe »):

    Error: Variable used without being declared.

    Le programme s’est alors fermé tout seul. J’ai retenté l’opération et ai eu les mêmes résultats.

    Ensuite j’ai relancé adwcleaner, voilà le rapport :

    # AdwCleaner v3.006 – Rapport créé le 09/10/2013 à 06:58:42
    # Mis à jour le 01/10/2013 par Xplode
    # Système d’exploitation : Windows 8 (64 bits)
    # Nom d’utilisateur : Barbara – OSCAR
    # Exécuté depuis : C:UsersBarbaraDesktopadwcleaner.exe
    # Option : Nettoyer

    ***** [ Services ] *****

    ***** [ Fichiers / Dossiers ] *****

    ***** [ Raccourcis ] *****

    ***** [ Registre ] *****

    ***** [ Navigateurs ] *****

    -\ Internet Explorer v10.0.9200.16688

    -\ Google Chrome v30.0.1599.69

    [ Fichier : C:UsersBarbaraAppDataLocalGoogleChromeUser DataDefaultpreferences ]

    *************************

    AdwCleaner[R0].txt – [939 octets] – [08/10/2013 23:42:00]
    AdwCleaner[R1].txt – [996 octets] – [08/10/2013 23:42:56]
    AdwCleaner[R2].txt – [952 octets] – [09/10/2013 06:56:08]
    AdwCleaner[S0].txt – [1060 octets] – [08/10/2013 23:43:27]
    AdwCleaner[S1].txt – [874 octets] – [09/10/2013 06:58:42]

    ########## EOF – C:AdwCleanerAdwCleaner[S1].txt – [933 octets] ##########

    Et ensuite j’ai lancé ZHPDiag2 et j’ai eu ce message d’erreur :

    Impossible d’exécuter un fichier depuis le fichier temporaire Abandon de l’installation.

    Erreur 5: Accès refusé.

    Merci encore de votre aide,

    Bonne journée

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonjour, :)

    Bien dormis ? :)

    Alors noté pour UsbFix, les développeurs sont ici, il vont régler ça ! Pour ZHPDiag, tu l’exécutes bien en tant qu’administrateur ?

    [hr:27kuyug6]

    • Télécharges RogueKiller (de Tigzy) sur ton Bureau.
    • Lance RogueKiller, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista

      Note : Attends que le PreScan ait fini.

    • Clique sur Scan.
    • Une fois le scan terminé rends toi sur le bureau, le rapport RKreport[X]¤S¤.txt à été créé.
    • Héberge le rapport RKreport[X]¤S¤.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

    ++ ;)

    Anonyme
    Nombre d'articles : 0

    Hello :hello: ,

    Pour le soucis avec UsbFix, le service WMI doit être non – opérationnel, il doit être réparé Thomas …

    Barbara
    Nombre d'articles : 0

    Bonjour,

    J’ai télécharge Roguekiller, le scan est fait, des éléments sont détectés, le .txt est créé (vide), mais je n’arrive pas à l’héberger sur le serveur, à chaque fois j’ai le message d’erreur « some files were not added to the queue ».

    Pour les autres logiciels, je les exécute effectivement en tant qu’administrateur… Je précise aussi que pour le Roguekiller, j’ai dû le lancer 5 ou 6 fois avant que qqch n’apparaisse.

    Encore merci de votre aide !

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Bonsoir,

    Bon ok ceci alors ;)

      Seuls ces liens sont officiels ne pas télécharger l’outil sur d’autres liens !

      Note : Pendant le scan le bureau peu disparaître à plusieurs reprise

    • Désactive toutes tes protections si possible, antivirus, sandbox, pare-feux … ( >> Aide << )
    • Télécharge Pre_Scan sur ton bureau !
    • Si le lien n’est pas fonctionnel :
      • #ICI (renommé winlogon)

    • Note : Si l’outil est relancé plusieurs fois, clique sur Scan|Kill

    • Si l’outil est bloqué par l’infection essayes avec d’autres exetensions :

    • Si des Proxy sont détectés :
      • Clique sur Supprimer le Proxy

    • A la fin du scan, rends toi à la racine de ton disque dur ( C: )
    • Héberge le rapport Pre_Scan¤¤¤¤¤¤¤¤¤.txt sur SosUpload

    ++

    Barbara
    Nombre d'articles : 0

    Bonsoir,

    J’ai lancé Pre scan, j’ai enfin le rapport mais je n’arrive pas à l’héberger sur sos upload. « Le fichier choisi est invalide » (idem pour le rapport rogue killer)…

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Fais un copier coller ici ;)

    Barbara
    Nombre d'articles : 0

    … et là, j’ai relancé Pre_Scan en espérant que ça fonctionne, mais ça a juste fait planter le pc (erreur Windows 8, j’ai pas eu le temps de noter la référence)

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Non pourquoi as tu fais ça ? :shame:

    Le rapport ce trouve dans C:Pre_scan¤¤¤¤¤¤¤.txt :)

    Barbara
    Nombre d'articles : 0

    Ah j’ai fait une bêtise ? :electriksock:

    Les rapports sont vides… 0Ko, et rien dedans

    H.A.W.X
    Participant
    Nombre d'articles : 1809

    Hum étrange tout ça :nothing:

    On va utiliser un autre outil de diagnostic :

    • Télécharge OTL (by OldTimer) sur ton bureau.
      ~ Comment Télécharger sur son Bureau ?

    • Lance OTL, exécuter en tant qu’administrateur sous Windows : 7/8 et Vista
    • Coche les cases suivantes :
      • Tous les utilisateurs
      • Recherche Lop
      • Recherche Purity
      • Avec Analyses 64 bit Uniquement pour les systèmes en 64 bit

    • Copie et colle le Script dans le lien ci dessous dans la partie inférieure d’OTL « Personnalisation »

      [glow=red:35pe6naz]~ Le Script à copier est[/glow:35pe6naz] >> ici <<

    • Clique sur Analyse

    • Une fois le scan terminé 1 ou 2 rapports vont s’ouvrir OTL.txt et Extras.txt.
    • Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum

      Note : Au cas où, tu peux les retrouver dans le dossier C:OTL ou sur ton bureau en fonction des cas rencontrés

15 sujets de 1 à 15 (sur un total de 24)

Vous devez être connecté pour répondre à ce sujet.