Suspicion d'infection

Section d'analyse de rapports et de désinfection : malwares en tous genre et autres indésirables. Demandes de nettoyage uniquement. Prise en charge restreinte : équipe spécialisée.

Modérateur: Modérateurs

Règles du forum :arrow: Les désinfections sont prises en charge par un groupe spécifique, tout le monde ne peut pas intervenir pour désinfecter les machines (règles).
:arrow: Les procédures sont sur-mesure, ne faites pas la même chose chez vous (explications).
:arrow: Un topic par machine, chacun crée le sien. ;)

Suspicion d'infection

Messagepar mahdu972 » 05 Jan 2014 17:33

Bonjour à tous,

je viens vers vous pour demander de l'aide. En effet je pense est infecté par ou (ou plusieurs) virus.
En effet mon ordinateur est de plus en plus lent, firefox crache souvent ...
J'ai lancé hier un scan antivirus avec MSE et au bout de quelques heures la barre de progression était au milieu et tout d'un coup il m'a indiqué fin du scan pas de virus détecté.

Merci pour votre aide.

Configuration : Windows 7.
Dernière édition par mahdu972 le 29 Jan 2014 19:27, édité 2 fois.
mahdu972
 
Messages: 22
Inscription: 05 Jan 2014 17:27

Re: Suspicion d'infection

Messagepar Dell » 05 Jan 2014 17:35

Hello mahdu972

bienvenu sur libellules.ch

pour gagner du temps
merci de suivre cette procédure ,
:arrow: Procédure de demande de désinfection
puis de poster le rapport du scan en lien avec cet herbergeur :arrow: Image

Tous les rapports de scan demandé doivent être impérativement posté en lien

:arrow: :arrow: Un helper va prendre ton sujet en charge au plus vite


_DELL_
Windows 10/ 64 Bits, FireFox, F-Secure,
Internet InOne M , SwisscomTv InOne M, Téléphonie IP InOne M, Mobile InOne S
Avatar de l’utilisateur
Dell
Modérateur
Modérateur
 
Messages: 9469
Inscription: 16 Oct 2002 16:57
Localisation: Aigle (Suisse)

Re: Suspicion d'infection

Messagepar mahdu972 » 05 Jan 2014 18:20

Merci pour la réponse.

L'adresse du rapport généré par ZHPDiag :http://cjoint.com/?3AfstRxHh9S
mahdu972
 
Messages: 22
Inscription: 05 Jan 2014 17:27

Re: Suspicion d'infection

Messagepar mahdu972 » 11 Jan 2014 17:03

Je poste un nouveau lien cjoint, l'ancien n'était valide que 4 jours si un helper était en train de regarder : http://cjoint.com/?3AlrcYeX1X6
mahdu972
 
Messages: 22
Inscription: 05 Jan 2014 17:27

Re: Suspicion d'infection

Messagepar zaede » 11 Jan 2014 22:54

Bonsoir mahdu972, désolé je n'avais pas vu ce post

Script ZHPFix

Le temps de téléchargement du script a été volontairement limité à 4 jours

  • Clique sur ce lien http://cjoint.com/?3Alw0frVGzA
  • Sur la page qui s'ouvre clic droit et Tout sélectionner
  • Refais un clic droit et Copier
  • Double clique sur le raccourci de ZHPFix qui est sur le bureau.Image
  • Pour Vista et Seven fais un clic droit sur le raccourci de ZHPFix et Exécuter en tant qu'adminstrateur
  • Clique sur Importer
    Image
  • Le texte copié dans le presse papiers s'affichera dans la fenêtre de ZHPFix
  • Clique sur GO
  • Confirme le nettoyage des données si demandé
  • Patiente le temps du traitement
  • Un rapport nommé ZHPFixReport.txt sera créé et sauvegardé sur le bureau poste son contenu en lien dans ta prochaine réponse
  • Ce rapport se trouve aussi ici C:\ZHP\ZHPFix[R1].txt


Ensuite:

MBAM

Télécharge Malwarebytes' Anti-Malware (MBAM) et enregistre le sur ton bureau à partir de ce lien :
- Lance MalwareByte's Anti-Malware
- Onglet analyse, vérifie que "Exécuter un examen complet" est coché et clique sur le bouton Rechercher pour démarrer l'analyse.
- A la fin de l'analyse, un message s'affiche indiquant la fin de l'analyse. Clique sur OK pour poursuivre.
- Si MalwareByte's n'a rien détecté, clique sur Ok Un rapport va apparaître ferme-le.
- Si MalwareByte's a détecté des infections, clique sur:
Afficher les résultat
Cocher toutes les cases
Supprimer la sélection


- Enregistre le rapport sur ton Bureau comme cela il sera plus facile à retrouver, poste ensuite ce rapport.
- Le rapport peut être retrouvé sous l'onglet Rapports/logs
- Ferme MBAM en cliquant sur Quitter.

Note : MalwareByte's peut être amené à redémarrer pour terminer la suppression, accepte en cliquant sur Ok
Tutoriel pour MalwareByte's ici
- Poste le rapport de malwarebyte's
- Poste un nouveau rapport ZHPDiag

Tu as trois rapports a poster via cjoint
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Suspicion d'infection

Messagepar mahdu972 » 13 Jan 2014 19:31

Bonsoir zaede, merci pour ton aide !
Voici les 3 rapports demandés :
ZHPFix : http://cjoint.com/?3AntC5U5urw
MBAM : http://cjoint.com/?3AntEkjfqK0
et un nouveau ZHPDiag : http://cjoint.com/?3AntE7yuSXc
mahdu972
 
Messages: 22
Inscription: 05 Jan 2014 17:27

Re: Suspicion d'infection

Messagepar zaede » 14 Jan 2014 18:54

Re, tu as encore des soucis avec ce PC?
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Suspicion d'infection

Messagepar mahdu972 » 14 Jan 2014 18:56

Re, j'ai pas vu de grand changement mais je pense que c'est du au fait que j'ai un peu trop de donnée ...
mahdu972
 
Messages: 22
Inscription: 05 Jan 2014 17:27

Re: Suspicion d'infection

Messagepar mahdu972 » 18 Jan 2014 11:57

Désolé d'abuser de ta générosité mais j'ai refais un scan ZHPDiag parce que firefox n'arrive pas à installer une mise à jour et j'ai obtenu sa :

---\\ Recherche d'infection sur les navigateurs internet (SBI) (O69)
O69 - SBI: prefs.js [Paiite - x1fubbwh.default] user_pref("weboftrust.search.ask.display", "Ask.com Web Search");
O69 - SBI: SearchScopes [HKCU] {98A378BB-D541-44CB-8183-0F76ABA4FE92} - (Zinio) - http://services.zinio*com
~ Keys: Scanned in 00mn 00s

Il me semblait qu'on l'avait éliminé ?
Je met aussi le rapport complet :
http://cjoint.com/?3Asl5lEfaEX

Merci
mahdu972
 
Messages: 22
Inscription: 05 Jan 2014 17:27

Re: Suspicion d'infection

Messagepar zaede » 18 Jan 2014 23:30

Re, pas vraiment non

Réinitialisez Firefox


Dans la barre d'adresse de Firefox tapez about:support

Sur la page qui s'affiche cliquez sur Réinitialiser Firefox

http://img86.xooimage.com/files/0/f/e/a ... 8054ee.jpg


Tous Les paramètres Firefox et informations personnelles sont conservées dans votre dossier de profil.
La fonctionnalité de réinitialisation fonctionne en créant un nouveau dossier de profil pour vous tout en conservant :

- Les marque-pages,
- L'historique de navigation,
- Les mots de passe,
- Les cookies,
- Les informations auto-complétées de formulaires Web.

Ceci fait quittez Firefox et redémarrez le.


Ensuite

Ouvre IE
Va dans Outils ==> Options Internet ==> Avancé
Clique sur rétablir les paramètres initiaux
Coche supprimer les paramètres personnel
Puis réinitialiser
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Suspicion d'infection

Messagepar mahdu972 » 19 Jan 2014 18:13

C'est bon c'est fait
mahdu972
 
Messages: 22
Inscription: 05 Jan 2014 17:27

Re: Suspicion d'infection

Messagepar zaede » 19 Jan 2014 22:31

Re, et tu as encore des problèmes avec ce pC?
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Suspicion d'infection

Messagepar mahdu972 » 20 Jan 2014 18:39

Oui c'est comme si j'avais plus les droits administrateur alors qu'il n'y a qu'une session sur mon PC.
Exemple : les mises à jour firefox ne passent toujours pas, il faut que je fasse clic droit exécuter en tant qu'administrateur.
Quand je télécharge un .exe il faut que je fasse pareil sinon il me dit Erreur 5 accès refusé.

Merci encore une fois pour ton aide
mahdu972
 
Messages: 22
Inscription: 05 Jan 2014 17:27

Re: Suspicion d'infection

Messagepar zaede » 21 Jan 2014 00:16

Re, bizarre ça

  • Télécharge Roguekiller (par tigzy) sur le bureau
  • Quitte tous tes programmes en cours
  • Lance RogueKiller.exe.
  • Sous Vista/Seven, clique droit et lancer en tant qu'administrateur
  • Attendre que le Prescan ait fini ...
  • Clique sur Scan.
  • Clique sur Rapport et copier coller le contenu du notepad dans la prochaine réponse
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Suspicion d'infection

Messagepar mahdu972 » 21 Jan 2014 19:57

Oui effectivement c'est bizarre ...
Voici le rapport demandé :
RogueKiller V8.8.2 _x64_ [Jan 17 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Paiite [Droits d'admin]
Mode : Recherche -- Date : 01/21/2014 19:40:01
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> TROUVÉ
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> TROUVÉ

¤¤¤ Tâches planifiées : 1 ¤¤¤
[V2][SUSP PATH] {C94E88F0-7D1F-4535-8040-D8DA23310D40} : C:\Users\Paiite\Desktop\EA Games\Command & Conquer The First Decade\Command & Conquer(tm) Tiberian Sun(tm)\SUN\Game.exe [x] -> TROUVÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 www.008k.com
127.0.0.1 008k.com
127.0.0.1 www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 www.032439.com
127.0.0.1 032439.com
127.0.0.1 www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 www.100888290cs.com
127.0.0.1 www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ SCSI) ATA WDC WD5000BPVT-5 SCSI Disk Device +++++
--- User ---
[MBR] f01e35c7e70d20c7fdfff460ae09bc2f
[BSP] ff8b7a622102ac16eeab2e9805ae028b : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 19589 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 40120320 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 40325120 | Size: 457249 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_S_01212014_194001.txt >>
mahdu972
 
Messages: 22
Inscription: 05 Jan 2014 17:27

Re: Suspicion d'infection

Messagepar zaede » 21 Jan 2014 23:13

Re, relance Roguekiller
Clique sur suppression
Afficher le rapport
Poste ensuite ce rapport
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Suspicion d'infection

Messagepar mahdu972 » 22 Jan 2014 18:51

Re,
voici le rapport demandé après la suppression :

RogueKiller V8.8.2 _x64_ [Jan 17 2014] par Tigzy
mail : tigzyRK<at>gmail<dot>com
Remontees : http://www.adlice.com/forum/
Site Web : http://www.sur-la-toile.com/RogueKiller/
Blog : http://www.adlice.com

Systeme d'exploitation : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Demarrage : Mode normal
Utilisateur : Paiite [Droits d'admin]
Mode : Suppression -- Date : 01/22/2014 18:49:46
| ARK || FAK || MBR |

¤¤¤ Processus malicieux : 0 ¤¤¤

¤¤¤ Entrees de registre : 2 ¤¤¤
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> REMPLACÉ (0)
[HJ DESK][PUM] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> REMPLACÉ (0)

¤¤¤ Tâches planifiées : 1 ¤¤¤
[V2][SUSP PATH] {C94E88F0-7D1F-4535-8040-D8DA23310D40} : C:\Users\Paiite\Desktop\EA Games\Command & Conquer The First Decade\Command & Conquer(tm) Tiberian Sun(tm)\SUN\Game.exe [x] -> SUPPRIMÉ

¤¤¤ Entrées Startup : 0 ¤¤¤

¤¤¤ Navigateurs web : 0 ¤¤¤

¤¤¤ Addons navigateur : 0 ¤¤¤

¤¤¤ Fichiers / Dossiers particuliers: ¤¤¤

¤¤¤ Driver : [NON CHARGE 0x0] ¤¤¤

¤¤¤ Ruches Externes: ¤¤¤

¤¤¤ Infection : ¤¤¤

¤¤¤ Fichier HOSTS: ¤¤¤
--> %SystemRoot%\System32\drivers\etc\hosts


127.0.0.1 http://www.007guard.com
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 http://www.008k.com
127.0.0.1 008k.com
127.0.0.1 http://www.00hq.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 http://www.032439.com
127.0.0.1 032439.com
127.0.0.1 http://www.0scan.com
127.0.0.1 0scan.com
127.0.0.1 http://www.1000gratisproben.com
127.0.0.1 1000gratisproben.com
127.0.0.1 1001namen.com
127.0.0.1 http://www.1001namen.com
127.0.0.1 100888290cs.com
127.0.0.1 http://www.100888290cs.com
127.0.0.1 http://www.100sexlinks.com
127.0.0.1 100sexlinks.com
[...]


¤¤¤ MBR Verif: ¤¤¤

+++++ PhysicalDrive0: (\\.\PHYSICALDRIVE0 @ SCSI) ATA WDC WD5000BPVT-5 SCSI Disk Device +++++
--- User ---
[MBR] f01e35c7e70d20c7fdfff460ae09bc2f
[BSP] ff8b7a622102ac16eeab2e9805ae028b : Windows 7/8 MBR Code
Partition table:
0 - [XXXXXX] ACER (0x27) [VISIBLE] Offset (sectors): 2048 | Size: 19589 Mo
1 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 40120320 | Size: 100 Mo
2 - [XXXXXX] NTFS (0x07) [VISIBLE] Offset (sectors): 40325120 | Size: 457249 Mo
User = LL1 ... OK!
User = LL2 ... OK!

Termine : << RKreport[0]_D_01222014_184946.txt >>
RKreport[0]_S_01212014_194001.txt;RKreport[0]_S_01222014_184826.txt




Merci

Edit : toujours les mêmes symptômes
mahdu972
 
Messages: 22
Inscription: 05 Jan 2014 17:27

Re: Suspicion d'infection

Messagepar zaede » 23 Jan 2014 00:29

Re, on va changer d'armes cette fois



Télécharge Combofix.exe (par sUBs) sur ton Bureau et nulle part ailleurs.
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

Ferme le navigateur et tous les programmes ouverts et désactive tous les logiciels de sécurité (antivirus antimalwares spybot etc) et ne clique pas dans la fenêtre pendant l'exécution du scan

- Fais un clic droit surComboFix.exe et choisis "Exécuter en tant que... Administrateur".

Laisse ensuite le scan se dérouler sans toucher au clavier ni à la souris

* Lorsque le scan sera complété, un rapport apparaîtra. Copie/colle ce rapport dans ta prochaine réponse via un lien cjoint.

NOTE : Le rapport se trouve également ici : C:\Combofix.txt
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Re: Suspicion d'infection

Messagepar mahdu972 » 24 Jan 2014 20:27

Re,

voici le rapport ComboFix : http://cjoint.com/?3AyuzX2NPou

Merci !

PS : le problème de firefox de mise à jour semble avoir disparu ! (j'attends la prochaine pour confirmer)
mahdu972
 
Messages: 22
Inscription: 05 Jan 2014 17:27

Re: Suspicion d'infection

Messagepar zaede » 24 Jan 2014 23:10

Ok, ce PC fonctionne bien maintenant?
Avatar de l’utilisateur
zaede
Super Libellulien
Super Libellulien
 
Messages: 2747
Inscription: 10 Sep 2011 21:53

Suivante

Retourner vers Désinfections et demandes d'analyse

Qui est en ligne

Utilisateurs parcourant ce forum: Aucun utilisateur enregistré et 0 invités