Demande d'analyse SVP, soupçon d'infection

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Demande d'analyse SVP, soupçon d'infection

Messagepar OwnSpecialWay » 20 Déc 2011 04:18

Bonjour à tous,

Voilà ma situation:
En cette période de fêtes, que je vous souhaite joyeuses, j'ai réalisé quelques achats (Ebay et autres sites marchands...) sur la toile. Donc saisie de coordonnées bancaires (création d'un compte Paypal, numéro de carte le cas échéant), ce que je me refusais catégoriquement de faire auparavant (je ne gère pas non plus mon compte bancaire depuis internet) et là, je comprends pourquoi! Je m'explique:

Je ne suis pas très compétent en matière de sécurité informatique, mais j'ai un "minimum vital" mis à jour installé (Avast -aka "La Passoire"- , SpyBot S&D résident , mbam , ccleaner). Pour ma config: Acer Aspire m3640 / Chipset NVIDIA GeForce 7100 & nForce® 630i / IntelCore2 Duo E2140 / RAM 2GO / DD 160 GO / VistaHome Basic Sp2 (Mis à jour juste avant mes soucis) / Connexion Wifi NetGear sur Livebox. Et... Une période où j'ai eu tendance à DL pas mal en p2p, stockage sur DDext... Pas bien, ok.
Voilà pour l'existant.

Donc pour en revenir à mes moutons, depuis quelques jours, le PC a terriblement ralenti (30à50%) que ce soit en lecture sur le DD, ou surtout lors de la navigation (Firefox MAJ hier). Je scan par mbam et il me trouve 8 FICHIERS INFECTES dont, de mémoire, un truc qui finissait par "sh@@k", et deux avec "Key...Buttons" dans leurs noms. J'ai supprimé la sélection.

De plus, comme je vous l'ai indiqué, j'ai créé un compte Paypal avant-hier. Et aujourd'hui, impossible de m'y reconnecter. Mon adresse mail, mon nom, mon téléphone, rien n'y fait!!! Peut-être un bug ou un délai d'activation de leur part, mais ça ne me rassure pas. Un keylogger ??

Autre symptôme: mon DD (et peut-être que tout vient de là, j'ai parcouru nombre de forums, et le doute persiste chez tous dans ce cas de figure). Il m'a fait une frayeur ce matin en "freezant" 1-2min après l'accès au bureau tout en ayant émis deux 'tac-tac' au démarrage et avant le freeze. Redémarrage, encore un tactac, puis normal.

C'était un peu long à décrire, j'en conviens, mais j'ai voulu être précis.
Si vous aviez une solution, ou une batterie de tests à effectuer sur ce PC avant que je le donne, sain si possible, à ma mère (lol).
Moi je suis en train de m'assembler un truc un peu mieux niveau perfs.
_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ce n'est pas la faute de ceux qui flattent, mais de ceux qui veulent être flattés.
-JBP-
OwnSpecialWay
 
Messages: 6
Inscription: 20 Déc 2011 02:40

Re: Demande d'analyse SVP, soupçon d'infection

Messagepar OwnSpecialWay » 20 Déc 2011 04:29

Je vais scanner tout le système hors connection cette nuit avec Avast, Spybot, mais je doute que ça m'avance bcp...
Je me reconnecte demain.
_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ce n'est pas la faute de ceux qui flattent, mais de ceux qui veulent être flattés.
-JBP-
OwnSpecialWay
 
Messages: 6
Inscription: 20 Déc 2011 02:40

Re: Demande d'analyse SVP, soupçon d'infection

Messagepar nardino » 20 Déc 2011 10:19

Bonjour,
Je veux bien t'apporter une aide à la seule condition que tu vires tes logiciels de P2P.
Pas pour des raisons morales ou du moins pas celles que tu pourrais imaginer.
Cette pratique est un des véhicules principaux des infections sur le net et continuer en connaissance de cause est un acte de complicité à l'égard des pirates.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Demande d'analyse SVP, soupçon d'infection

Messagepar OwnSpecialWay » 23 Déc 2011 16:21

Ok super!

Je vire ce qu'il en reste, les cachés et ce que je peux (sais) faire.
Merci de bien vouloir me chapeauter dans ce processus. Bon, ces jours-ci je ne garantis pas d'être sur le forum 24/24... Mais j'ai hâte de commencer. D'ailleurs, on fait quoi en premier??
_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ce n'est pas la faute de ceux qui flattent, mais de ceux qui veulent être flattés.
-JBP-
OwnSpecialWay
 
Messages: 6
Inscription: 20 Déc 2011 02:40

Re: Demande d'analyse SVP, soupçon d'infection

Messagepar nardino » 23 Déc 2011 17:20

Bonjour

Pour faire un premier diagnostic, applique les deux propositions ci-dessous.

Image Malwarebytes Anti-Malware de RubbeR DuckY

Image Double-clique sur le fichier mbam-setup-1.50.exe (sous Vista et 7 autorise les modifications)
A la fin de l'installation, veille à ce que les options suivantes soient cochées
-Mettre à jour Malwarebytes' Anti-Malware
-Exécuter Malwarebytes' Anti-Malware
Image Clique sur Terminer
Une fenêtre Mise à jour de Malwarebytes' Anti-Malware va s'ouvrir avec une barre de progression.
Puis une autre annonçant le succès de la mise à jour de la base de données. Clique sur OK.
Le programme s'ouvre sur l'onglet Recherche.
Coche Image Exécuter un examen rapide, clique sur le bouton Image

Image A la fin du scan, sélectionne tout et clique sur Supprimer la sélection

Image Poste le rapport qui s'ouvre après cette suppression.
Redémarre le pc si cela est demandé
Tu peux retrouver le rapport dans l'onglet Rapports/Logs avec la date et l'heure d'exécution.

Image ZHPDiag de Nicolas Coolman sur ton bureau.

Image Clique sur le fichier ZHPDiag2.exe pour installer l'outil et suis la routine.
Image Coche Installer une icône sur le bureau quand cela te sera proposé.

Image Lance l'icône ZHPDiag affichée sur le bureau
Image
Image Dans l'interface, clique sur la loupe en haut dans la barre d'outil à gauche, laisse faire le scan jusqu'à ce que la barre de progression soit à 100%.
Image
Image Tu refermes ZHPDiag en cliquant sur la croix rouge en haut à droite.
Image Un fichier ZHPDiag.txt sera enregistré sur le bureau. http://i65.servimg.com/u/f65/11/05/93/83/zhpdia16.jpg/b]
Image
Image Tu l'héberges sur Cjoint en cochant 4 jours dans la ligne Et pour quelle durée ?
Image Tu me communiques le lien obtenu dans ta réponse.

Deux tutos si nécessaire.
ZHPDiag
Cjoint

Si besoin est, nous ferons appel à d'autres outils.

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02

Re: Demande d'analyse SVP, soupçon d'infection

Messagepar OwnSpecialWay » 26 Déc 2011 14:47

Bonjour,
Voici le log mbam:

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 911122602

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.19170

26/12/2011 14:44:28
mbam-log-2011-12-26 (14-44-28).txt

Type d'examen: Examen rapide
Elément(s) analysé(s): 193204
Temps écoulé: 5 minute(s), 29 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\firefox.exe (Security.Hijack) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ce n'est pas la faute de ceux qui flattent, mais de ceux qui veulent être flattés.
-JBP-
OwnSpecialWay
 
Messages: 6
Inscription: 20 Déc 2011 02:40

Re: Demande d'analyse SVP, soupçon d'infection

Messagepar OwnSpecialWay » 26 Déc 2011 15:25

Le lien ZHP:

http://cjoint.com/?3LApx6udD9k

Avec plein de **** (Tendance parano avec tout ça)
_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ce n'est pas la faute de ceux qui flattent, mais de ceux qui veulent être flattés.
-JBP-
OwnSpecialWay
 
Messages: 6
Inscription: 20 Déc 2011 02:40

Re: Demande d'analyse SVP, soupçon d'infection

Messagepar OwnSpecialWay » 26 Déc 2011 15:27

Remarque: même après désinstal p2p, il reste des traces, visibles avec ZHP...
_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_-_
Ce n'est pas la faute de ceux qui flattent, mais de ceux qui veulent être flattés.
-JBP-
OwnSpecialWay
 
Messages: 6
Inscription: 20 Déc 2011 02:40

Re: Demande d'analyse SVP, soupçon d'infection

Messagepar nardino » 26 Déc 2011 16:09

Bonjour

Ces programmes ne sont pas à jour :
Internet Explorer v8.0
Mozilla Firefox 8.0.
Opera v9
Adobe Reader 8.1.0
Java 6 Update 11


Celui-ci peut être désinstallé en raison de son caractère obsolète.
C:\Program Files\Spybot

Passe navilog sur ton pc et envoie le rapport.

Lance ZHPFix par l'icône sur le bureau, avec élévation des privilèges pour Vista et Windows 7.
    Image
Elle a été créée lors de l'installation de ZHPDiag.
Image Copie le contenu de l'encadré ci-dessous dans le presse-papier.

Code: Tout sélectionner
[HKLM\Software\Classes\AppID\NCTAudioCDGrabber2.DLL]     
[HKLM\Software\Classes\toolband.easyhidebtn]   
[HKLM\Software\Classes\toolband.easyhidebtn.1]     
[HKLM\Software\Classes\toolband.skypeiehelper]   
[HKLM\Software\Classes\toolband.skypeiehelper.1]   
[HKLM\Software\Classes\Toolbar.CT2438727]     
[HKLM\Software\Classes\Interface\{115ccbae-27b0-47c3-ba42-bab708424393}]     
[HKLM\Software\Classes\TypeLib\{2D5E2D34-BED5-4B9F-9793-A31E26E6806E}]     
[HKLM\Software\Classes\TypeLib\{937936af-28ca-4973-b8ae-f250406149a2}]   
[HKLM\Software\Classes\CLSID\{CADAF6BE-BF50-4669-8BFD-C27BD4E6181B}] 
[HKCU\Software\Prodiff] 
O87 - FAEL: "TCP Query User{E3E8B12C-A287-4ACA-94AE-A042F22486DC}C:\program files\utorrent\utorrent.exe" |In - Public - P6 - TRUE | .(...) -- C:\program files\utorrent\utorrent.exe (.not file.) 
O87 - FAEL: "UDP Query User{801D11C4-D423-445F-853C-6C8F3BA8AFBF}C:\program files\utorrent\utorrent.exe" |In - Public - P17 - TRUE | .(...) -- C:\program files\utorrent\utorrent.exe (.not file.)   
O87 - FAEL: "TCP Query User{CECF1107-0B63-46AC-A02F-60D83C7C26F2}C:\program files\utorrent\utorrent.exe" |In - Private - P6 - TRUE | .(...) -- C:\program files\utorrent\utorrent.exe (.not file.)   
O87 - FAEL: "UDP Query User{03723459-B6C3-4020-9472-B1A758BE9D06}C:\program files\utorrent\utorrent.exe" |In - Private - P17 - TRUE | .(...) -- C:\program files\utorrent\utorrent.exe (.not file.) 
SS - | Demand 21/02/2008 86016 |  (PermissionResearch) . (.PermissionResearch.) - C:\Windows\System32\prservice.exe   


Image Clique sur le bouton Presse-papier encadré en rouge sur l'image.
Les lignes contenues dans le presse-papier vont s'afficher.
Image Clique sur le bouton GO en bas à gauche.
Une fois le résultat affiché, clique sur la croix rouge pour refermer l'outil par la croix rouge en haut à doite.

Image
Image Poste le contenu du rapport ZHPFixReport.txt, enregistré sur le bureau.

Image
Image

Image Remarque.
Renomme le fichier ZHPFixReport en ajoutant 1 par exemple, avant de relancer l'outil en cas de nécessité.

Complément
Pour nettoyer les outils, ouvre ZHPFix et clique sur l'icône A rouge - nettoyeur d'outils et clique sur le bouton Nettoyer.
Supprime le rapport ZHPFixReport.txt enregistré sur le bureau après me l'avoir communiqué.

Conseils pour la sécurisation et l'entretien de l'ordinateur.

*Tenir à jour le système d'exploitation
En activant les mises à jour automatiques de Windows.
Il est possible de choisir le moment où elles seront installées.

*Tenir à jour la suite bureautique
Microsoft Office ou Open Office, par exemple

*Tenir à jour le ou les navigateurs
Internet Explorer 9 - Mozilla Firefox - Opéra - Chrome - Safari , Comodo Dragon, etc.
Faire un clic sur le navigateur pour ouvrirla page de téléchargement.
Pour Windows XP Internet Explorer version 8 est la dernière disponible. Choisir la langue du système et cliquer sur Télécharger

*Java Runtime Environment
Image Ouvre cette page
Coche Accept License Agreement
Clique sur Windows x86 Offline - 16.1 MB -Imagejre-6u30-windows-i586.exe
Installe le fichier téléchargé.
Lis les clauses en cours d'installation. (Il n'est pas nécessaire d'installer les programmes tiers proposés).
Il existe une version pour les programmes 64bits du système.
Il existe aussi une version 7u2.
Pourquoi la version 7 de Java n'est-elle pas encore disponible sur java.com ? (dixit le site java.com)

La nouvelle version de Java est la toute première version mise à la disposition des développeurs pour garantir qu'aucun problème majeur ne survienne avant que nous la lancions sur le site Web java.com pour permettre aux utilisateurs finaux de télécharger la dernière version.


*Acrobat Reader X
Image Ouvre cette page
Choisis ton système d'exploitation, la langue souhaitée, la version Reader 10.1.1
Décoche Image Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur ImageTélécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_reader10_fr_mssd_aih.exe

*Adobe Flash Player
Image Ouvre cette page
Décoche Image Oui, installer McAfee Security Scan Plus (facultatif) (0.98MO)
Clique sur ImageTélécharger dès maintenant
L'installation se fera automatiquement en cliquant sur le fichier obtenu :
install_flashplayer11x64_mssa_aih.exe

*Tenir à jour les programmes antivirus et antimalwares
En activant les mises à jour automatique ou en lançant régulièrement une recherche pour les logiciels comme Malwarebytes en version gratuite.

*Un travail collectif à lire attentivement pour une bonne sensibilisation aux problèmes posés sur Internet.
Image Prévention et sécurité

*L'installation de logiciels sans les sponsors ou barres d'outils
Attention lors de l'installation d'un programme, gratuit ou même commercial, de ne pas installer les barres d'outils, de ne pas changer la page d'accueil du navigateur et/ou le moteur de recherche.
Prendre le temps de lire chaque message lors de l'installation. Le plus souvent ces "options" sont pré-cochées.
Liste maintenue à jour régulièrement

*Les comportements à risque
Les dangers du P2P
Le P2P et ses conséquences
Le danger des cracks
Le danger des cracks

*Les programmes d'optimisation et nettoyeurs de registre
Problème avec CCleaner 1
Problème avec CCleaner 2
Article de Mikiemoes
Article de Stephane Ruscher
Article de Malekal
Généralités
Microsoft
Témoignage 1
Témoignage 2
Et bien d'autres en cherchant sur Internet.

*Les programmes d'installation et les sponsors
Lire cette page

@+
Image
Avatar de l’utilisateur
nardino
Super Libellulien
Super Libellulien
 
Messages: 1103
Inscription: 03 Avr 2009 22:02


Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités