[résolu]Hameçonnage

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

[résolu]Hameçonnage

Messagepar cirrus17 » 19 Avr 2012 14:47

Bonjour à tous et félicitations pour la qualité de votre forum
Ce qui m’amène: je me suis fait avoir bêtement par un hameçonnage et pourtant je m'en, méfie. un mail d'un vendeur informatique me confirme mon achat (la boite existe) un montant de 690,80 € et une facture en piéce jointe (format ZIP) je vérifie la pièce jointe par l'anti virus (correct) je décompresse le fichier rien ne s'ouvre par contre je découvre que c'est une application. J'appelle l'entreprise qui me confirma que cela ne venait pas de leur part et qu'ils recevaient beaucoup d'appels de particuliers à ce sujet bref.
J'ai effacé les fichiers passage de l'antivirus (trouve des objets cachés mais aucun virus) je scanne avec Malewarebytes (rien de particulier) je fais ZHP diag mais je ne sais pas l'interpréter, je passe un antivirus en ligne (négatif) et enfin Rogue Killer qui trouve 3 clés de registre mais je ne sais pas si ce sont de faux positifs. Je vous demande donc de l'aide pour vérifier si mon système est clean.
Merci d'avance pour votre attention
Dernière édition par cirrus17 le 28 Avr 2012 16:24, édité 2 fois.
cirrus17
 
Messages: 28
Inscription: 19 Avr 2012 14:33

Re: Hameçonnage

Messagepar zaede » 19 Avr 2012 16:17

Bonjour cirrus17, poste le rapport de ZHPDiag en lien stp

http://cjoint.com/
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Hameçonnage

Messagepar cirrus17 » 19 Avr 2012 17:28

zaede a écrit:Bonjour cirrus17, poste le rapport de ZHPDiag en lien stp

http://cjoint.com/

Merci Zaede
Je te mets le lien créé
Cordialement
http://cjoint.com/?3DtszSNJnmx
cirrus17
 
Messages: 28
Inscription: 19 Avr 2012 14:33

Re: Hameçonnage

Messagepar zaede » 19 Avr 2012 20:29

Et voici la suite

Attention le temps de téléchargement du script a été limité à 4 jours

- Clique sur http://cjoint.com/?3DtvDoAKgay

- Sur la page qui s'ouvre clic droit et Tout sélectionner

- Refais un clic droit et Copier

- Double clique sur ZHPFix qui est sur le bureau.

** Pour Vista et Seven fais un clic droit sur le fichier téléchargé et Exécuter en tant qu'administrateur

- Clique maintenant sur le H bleu Image (coller les lignes helper)

- Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix

Image

- Clique sur Go patiente le temps du traitement

- Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau poste son contenu dans ta prochaine réponse

Le rapport se trouve également dans c:\ZHP

** Redémarre ton PC et poste le rapport de ZHPFix


Ensuite:

Télécharge :

Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau


Mets le à jour


- Lance MalwareByte's Anti-Malware

- Onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.

- A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.

- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.


- Si MalwareByte's a détecté des infections, clique sur:

Afficher les résultat

Ensuite:

Supprimer la sélection


- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.

- Le rapport peut être retrouvé sous l'onglet Rapports/logs

- Ferme MBAM en cliquant sur Quitter.



Note : MalwareByte's peut être amené à redémarrer pour terminer la suppression, accepte en cliquant sur Ok

Tutoriel pour MalwareByte's


-Poste le rapport de malwarebyte's
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Hameçonnage

Messagepar cirrus17 » 19 Avr 2012 22:18

Zaede
Je te joins le rapport de ZHPfix et pendant ce temps je fais une analyse par malewarebytes (mais j'en ai fait déjà 3 toutes négatives si il y a quelque chose je te l'envoie)
Remerciements pour ton aide
http://cjoint.com/?BDtxnNxy0s7
cirrus17
 
Messages: 28
Inscription: 19 Avr 2012 14:33

Re: Hameçonnage

Messagepar cirrus17 » 20 Avr 2012 16:44

Bonjour
Les choses s'aggravent, au bout d'un certain temps l'écran devient noir, je suis obligé de faire redémarrer le PC, quand je fais une analyse par ZHPfix j'ai une violation d’accès annoncée et et je suis obligé d’arrêter le processus par le gestionnaire de taches sinon c'est bloqué car il me donne cet avertissement en permanence.
J'ai téléchargé le CD "rescue system" d'Avira et quand il arrive à l'analyse de Nvidia écran noir.
J'avoue franchement que j'arrive au bout de mes (faibles) moyens et je sais plus quoi faire.
Cordialement
cirrus17
 
Messages: 28
Inscription: 19 Avr 2012 14:33

Re: Hameçonnage

Messagepar zaede » 20 Avr 2012 18:04

Bonjour cirrus17
Attention , ZHPFix supprime ce qu'on lui donne a manger comme dans le script que je t'avais fait télécharger
Une erreur est vite arrivé avec

Télécharger sur le bureau RogueKiller (by tigzy)

Quitter tous les programmes
Lancer RogueKiller.exe.
Attendre que le Prescan ait fini ...
Cliquer sur Scan. Cliquer sur Rapport et copier coller le contenu du notepad
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Hameçonnage

Messagepar cirrus17 » 20 Avr 2012 18:39

Bonjour Zaede
Là je pense que je vais vraiment avoir besoin de toi
Je te joins le rapport de Rogue Killer
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: PhP [Droits d'admin]
Mode: Recherche -- Date: 20/04/2012 19:32:21

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 3 ¤¤¤
[SCRSV] HKCU\[...]\Desktop : SCRNSAVE.EXE (C:\Windows\yowindow.scr) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++
--- User ---
[MBR] 653fd649b09a5b6840edeecfe50f7214
[BSP] 9b5886f4f4c085d26a088eaeb9212341 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15360 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 31664128 | Size: 468942 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 992057344 | Size: 469465 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[2].txt >>
RKreport[1].txt ; RKreport[2].txt
cirrus17
 
Messages: 28
Inscription: 19 Avr 2012 14:33

Re: Hameçonnage

Messagepar zaede » 20 Avr 2012 21:21

On dirait bien oui

Relance Roguekiller
Clique sur suppression
Poste le rapport


C'est mieux?
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Hameçonnage

Messagepar cirrus17 » 20 Avr 2012 22:34

Voila c'est fait
Je te joins le rapport de Rogue Killer il a effacé 3 lignes de registre.
C'était un truc bien planqué indétectable par 2 anti virus et MBAM, comment être sur qu'il est éradiqué? A propos avait tu vus quelque chose sur les rapports de ZHP diag ?
En tout cas merci de tes conseils
RogueKiller V7.3.2 [20/03/2012] par Tigzy
mail: tigzyRK<at>gmail<dot>com
Remontees: http://www.sur-la-toile.com/discussion- ... ntees.html
Blog: http://tigzyrk.blogspot.com

Systeme d'exploitation: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur: PhP [Droits d'admin]
Mode: Recherche -- Date: 20/04/2012 23:28:02

¤¤¤ Processus malicieux: 0 ¤¤¤

¤¤¤ Entrees de registre: 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver: [NON CHARGE] ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: WDC WD10 EADS-22M2B0 SCSI Disk Device +++++
--- User ---
[MBR] 653fd649b09a5b6840edeecfe50f7214
[BSP] 9b5886f4f4c085d26a088eaeb9212341 : Windows 7 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 15360 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 31459328 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 31664128 | Size: 468942 Mo
3 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 992057344 | Size: 469465 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Termine : << RKreport[5].txt >>
RKreport[1].txt ; RKreport[2].txt ; RKreport[3].txt ; RKreport[4].txt ; RKreport[5].txt
cirrus17
 
Messages: 28
Inscription: 19 Avr 2012 14:33

Re: Hameçonnage

Messagepar cirrus17 » 21 Avr 2012 17:07

Zaede
J'ai encore des alertes d'Avira concernant des objets cachés qui peuvent contenir des infections.
Je fais quoi???
Cordialement
cirrus17
 
Messages: 28
Inscription: 19 Avr 2012 14:33

Re: Hameçonnage

Messagepar zaede » 21 Avr 2012 22:07

Bonjour cirrus17, on va approfondir

Télécharge OTL sur le Bureau.

- Fait un double clic sur l'icône pour le lancer. Vérifie que toutes les autres fenêtres sont fermées afin qu'il s'exécute sans interruption.

* Coche la case "Tous les utilisateurs",
* Sous l'emplacement "Personnalisation", copie colle le contenu ce qui suit :

netsvcs
%SYSTEMDRIVE%\*.exe
/md5start
iexplorer.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
sceclt.dll
ntelogon.dll
logevent.dll
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
nvrd32.sys
/md5stop
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
%systemroot%\Tasks\*.job /lockedfiles



* Clique ensuite sur le bouton "Analyse" puis patiente pour que l'outil analyse le pc. Cela peut durer quelques minutes, selon l'état du système.
* Quand l'analyse est terminée, deux fenêtres du Bloc-notes vont s'ouvrir. OTL.Txt et Extras.Txt.
Ces fichiers sont sauvegardés au même endroit que OTL.

* Poste les via cjoint.com
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Hameçonnage

Messagepar cirrus17 » 22 Avr 2012 00:55

Bonjour Zaede
Je viens de m'apercevoir que je ne peux plus imprimer alors que tous les controles disent que c'est bon
Je te joins les rapports
http://cjoint.com/?BDwbZgLZhMh
http://cjoint.com/?BDwb2zkkrhL
Cordialement
cirrus17
 
Messages: 28
Inscription: 19 Avr 2012 14:33

Re: Hameçonnage

Messagepar zaede » 22 Avr 2012 15:46

Bonjour cirrus17


Relance OTL.exe


- Copie le texte qui se trouve en citation et colle le dans le cadre bleu de OTL.exe nommé "Personnalisation"
:OTL

O4 - Startup: C:\Users\PhP\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MultiViewer.lnk = C:\Program Files (x86)\CodeOps\MultiTabber\Screen Extender.exe (CodeOps)
O2 - BHO: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Program Files (x86)\IObit Toolbar\IE\4.6\iobitToolbarIE.dll File not found
O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll File not found
O3 - HKLM\..\Toolbar: (IObit Toolbar) - {0BDA0769-FD72-49F4-9266-E1FB004F4D8F} - C:\Program Files (x86)\IObit Toolbar\IE\4.6\iobitToolbarIE.dll File not found
O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program Files (x86)\ConduitEngine\prxConduitEngine.dll File not found
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
@Alternate Data Stream - 893 bytes -> C:\Users\PhP\Documents\Grille d'évaluation expert _doc.eml:OECustomProperty
@Alternate Data Stream - 85 bytes -> C:\ProgramData\Light Crafts:$ES_DESCRIPTOR_NBP2VBVKPVF9VPPP55N3EDT0ETX1JU0VSVLLV7J
@Alternate Data Stream - 36 bytes -> C:\Users\PhP\Documents\viewtopic.php.htm:KAVICHS
@Alternate Data Stream - 36 bytes -> C:\Users\PhP\Documents\Sinistre sécheresse.doc:KAVICHS
@Alternate Data Stream - 36 bytes -> C:\Users\PhP\Documents\messages.spamihilator.backup.gz:KAVICHS
@Alternate Data Stream - 36 bytes -> C:\Users\PhP\Documents\IMG_0529.JPG:KAVICHS
@Alternate Data Stream - 36 bytes -> C:\Users\PhP\Documents\Franck BOURGEOIS etCrédit Logement.doc:KAVICHS
@Alternate Data Stream - 36 bytes -> C:\Users\PhP\Documents\Drive_C.xml:KAVICHS
@Alternate Data Stream - 36 bytes -> C:\Users\PhP\Documents\bac.doc:KAVICHS
@Alternate Data Stream - 142 bytes -> C:\ProgramData\TEMP:4D066AD2
@Alternate Data Stream - 137 bytes -> C:\ProgramData\TEMP:E1F04E8D
@Alternate Data Stream - 136 bytes -> C:\ProgramData\TEMP:4CF61E54
@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:ABE89FFE
@Alternate Data Stream - 134 bytes -> C:\ProgramData\TEMP:0CFF5F08
@Alternate Data Stream - 133 bytes -> C:\ProgramData\TEMP:0B9176C0
@Alternate Data Stream - 130 bytes -> C:\ProgramData\TEMP:AB689DEA
@Alternate Data Stream - 128 bytes -> C:\ProgramData\TEMP:5D7E5A8F
@Alternate Data Stream - 125 bytes -> C:\ProgramData\TEMP:93DE1838
@Alternate Data Stream - 120 bytes -> C:\ProgramData\TEMP:9FB286BF
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:E3C56885
@Alternate Data Stream - 116 bytes -> C:\ProgramData\TEMP:1D32EC29

:Files
ipconfig /flushdns /c
C:\WINDOWS\tasks\*.job
C:\*.sqm
C:\WINDOWS\System32\*.tmp
C:\WINDOWS\*.tmp
C:\ProgramData\avalon2.2.ini
C:\Users\PhP\AppData\Roaming\mozilla\Firefox\Profiles\1p1qwp8b.default\extensions\{EEE6C361-6118-11DC-9C72-001320C79847}
C:\Program Files (x86)\CodeOps\MultiTabber\Screen Extender.exe (CodeOps)
c:\program files\codeops\multitabber\screen extender.exe
c:\program files\avalon2.2.ini

:Commands
[EmptyTemp]



Clique sur Correction

Poste le rapport qui sera généré
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Hameçonnage

Messagepar cirrus17 » 22 Avr 2012 21:46

Bonsoir Zaede
Excuses moi d'avoir tardé à te répondre mais je tenais un bureau de vote cet après midi.
Voici le rapport que tu m'as demandé (OTL as tué les fichiers demandés) mon imprimante ne marche toujours pas et mon scanner non plus.
http://cjoint.com/?BDwwRSWCItU
cirrus17
 
Messages: 28
Inscription: 19 Avr 2012 14:33

Re: Hameçonnage

Messagepar zaede » 22 Avr 2012 22:19

Le PC est plus fluide?

Pour le scanner et l'imprimante, je pense qu'il faudra réinstaller les pilotes
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Hameçonnage

Messagepar cirrus17 » 22 Avr 2012 23:09

Salut Zaede
Le PC n'a jamais manqué de fluidité mais des inchoérences de fonctionnement ponctuelles. As tu identifié la cochonnerie ?
Cordialement
cirrus17
 
Messages: 28
Inscription: 19 Avr 2012 14:33

Re: Hameçonnage

Messagepar zaede » 23 Avr 2012 13:03

Bonjour cirrus17

Surtout des nuisances de secondes zones plus que des infections proprement dites

Ce PC est clean
ESET Online Scanner

Télécharge ESET Online Scanner sur ton Bureau en cliquant sur ce lien:

http://download.eset.com/special/eos/es ... er_enu.exe


- Double-clique sur le fichier esetsmartinstaller_enu.exe présent sur ton Bureau pour installer le scanner.
Attention: si tu disposes de Windows VISTA, clique droit sur esetsmartinstaller_enu.exe puis sélectionne "exécuter en tant qu'administrateur"
- Accepte la licence en cochant la case "YES, i accept the terms of use", puis clique sur le bouton "Start"
- Une fois le scanner installé, configure-le en décochant la case "Remove found threats" et en cochant la case "Scan archives"

- Lance la recherche antivirale en cliquant sur le bouton "Start":
l'outil se met à jour puis lance le scan: une barre de progression indique où en est la recherche
- Quand le scan est terminé, si des virus ont été détectés, clique sur la ligne "List of found threats":
- Une nouvelle fenêtre apparaît:
clique sur "Export to text file" et enregistre le rapport sur ton Bureau en le nommant logESET.txt
- Clique sur le bouton "Back" pour retourner à l'interface précédente, puis coche la case "Uninstall application on close"
- Clique enfin sur le bouton "Finish" puis ferme la fenêtre du scanner
[*] Ouvre le fichier logESET sur ton Bureau et copie-colle son contenu dans ta prochaine réponse
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Hameçonnage

Messagepar cirrus17 » 23 Avr 2012 22:03

Bonsoir Zaede
J'ai executé tes instructions (9h de scan pour ESET PFUIIIT...)
je te joins le fichier
C:\Users\Public\Documents\My FBackup\Nouvelle sauvegarde(1)\1_My Documents.zip probably a variant of Win32/Adware.EoRezo.K application
C:\Windows\Installer\1d68109.msi a variant of Win32/Toolbar.Widgi application
D:\PHP-PC\Backup Set 2010-12-29 193413\Backup Files 2010-12-29 193413\Backup files 15.zip a variant of Win32/Toolbar.Widgi application
D:\PHP-PC\Backup Set 2010-12-29 193413\Backup Files 2010-12-29 193413\Backup files 7.zip probably a variant of Win32/Adware.EoRezo.K application
D:\PHP-PC\Backup Set 2011-01-16 190001\Backup Files 2011-01-16 190001\Backup files 16.zip a variant of Win32/Toolbar.Widgi application
D:\PHP-PC\Backup Set 2011-01-16 190001\Backup Files 2011-01-16 190001\Backup files 7.zip probably a variant of Win32/Adware.EoRezo.K application
D:\PHP-PC\Backup Set 2011-03-13 190000\Backup Files 2011-03-13 190000\Backup files 16.zip a variant of Win32/Toolbar.Widgi application
D:\PHP-PC\Backup Set 2011-03-13 190000\Backup Files 2011-03-13 190000\Backup files 7.zip probably a variant of Win32/Adware.EoRezo.K application
D:\PHP-PC\Backup Set 2011-03-27 190000\Backup Files 2011-03-27 190000\Backup files 16.zip a variant of Win32/Toolbar.Widgi application
D:\PHP-PC\Backup Set 2011-03-27 190000\Backup Files 2011-03-27 190000\Backup files 7.zip probably a variant of Win32/Adware.EoRezo.K application
cirrus17
 
Messages: 28
Inscription: 19 Avr 2012 14:33

Re: Hameçonnage

Messagepar zaede » 24 Avr 2012 16:31

Bonjour cirrus17

Tu les a s supprimé?

Tu as encore des soucis?
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités