Vol de mail et supp de vid youtube virus? [Résolu/Fermé]

sermons33 - 12 août 2011 à 16:04 - Dernière réponse : Fish66 17477 Messages postés dimanche 24 juillet 2011Date d'inscriptionContributeur sécuritéStatut 23 novembre 2017 Dernière intervention
- 15 août 2011 à 09:59
Bonjour,




Je joue à un jeu en ligne du nom de DOFUS depuis environ 6 ans.
Je suis très riche et très populaire dans le jeu et je fais aussi beaucoup de vidéo (étant étudiant en audiovisuel)

Le weekend dernier, quelqu'un à accédé à mon compte sur le jeu,a changé mes mot de passe et m'a complètement volé ma partie (équipement virtuel).
Quelques jours plus tard,après avoir scanné mon pc par avast...changé de boite mail pour mes comptes,changé de mot de pass , le support du jeu m'a redonné mes comptes et un modérateur a récupéré mes objets virtuels.

Le soir même je suis de nouveau attaqué,la personne accède à nouveau à mes mot de passe et les change.
En direct j'essaie de les changer,mais à chaque changement,lui aussi les rechange.Finalement le hackeur detruit tous mes objets virtuels,et comme mon compte youtube est connecté à mon adresse mail,il supprime également toutes mes vidéos,ainsi que mon blog google associé.Il a également changé les pass de la boite mail que j'ai du récuperer par téléphone...

Je me doute que j'ai une merde qui m'espionne.
Le formatage est exclu.
J'ai d''abord rescanné le pc avec avast puis avec le logiciel "malware anti malware" qui m'a trouvé un bon paquet de saleté.
Ensuite j'ai désinstallé avast ainsi que le norton par défaut que j'avais depuis 2/3ans, et j'ai mis "avira anti vir" et "comodo fire wall".
J'ai également utilisé "advance systeme care" qui a scanné mon pc en profondeur et corrigé plein de trucs.
J'ai également installé "anti keyloger shield".
j'ai aussi utilisé "easy cleaner" pour nettoyer le reste.

Mais je suis toujours pas rassuré,j'ai changé tous mes mdp de mes differents mail/skype via un ordinateur safe, mais j'aimerai savoir comment etre sur d'etre definitivement debarassé de l'espion ou du virus qui a reussi à me pirater...

merci d'avance
sermons
Afficher la suite 

46 réponses

Fish66 17477 Messages postés dimanche 24 juillet 2011Date d'inscriptionContributeur sécuritéStatut 23 novembre 2017 Dernière intervention - 13 août 2011 à 09:32
+1
Utile
Bonjour,

1/
* Télécharge sur le bureau RogueKiller (par tigzy)
http://www.sur-la-toile.com/RogueKiller/


*( Sous Vista/Seven,clique droit, lancer en tant qu'administrateur )

* Quitte tous tes programmes en cours
* Lance RogueKiller.exe.
* Lorsque demandé, tape 1 et valide
*Si le rogue empêche le lancement du programme, Renomme (RogueKiller) en "winlogon" ou "firefox". Sinon renomme le en winlogon.exe ou firefox.exe (rajouter l'extension .exe)
* Un rapport (RKreport.txt) a du se créer à côté de l'exécutable, colle son contenu dans la réponse
* Si le programme a été bloqué, ne pas hésiter a essayer plusieurs fois.


2/
Télécharge AdwCleaner (merci à Xplode)
Lance AdwCleaner
Clique sur le bouton [ Recherche ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)

@+
Cette réponse vous a-t-elle aidé ?  
zeboss74 751 Messages postés mardi 14 juillet 2009Date d'inscription 6 mai 2013 Dernière intervention - 12 août 2011 à 16:12
0
Utile
Essaie l'outil gratuit kaspersky virus removal tool. Il ne permet pas un scan quotidien mais il est bien adapte pour un gros nettoyage exceptionnel et est efficace (kaspersky)
Fish66 17477 Messages postés dimanche 24 juillet 2011Date d'inscriptionContributeur sécuritéStatut 23 novembre 2017 Dernière intervention - 12 août 2011 à 18:00
0
Utile
Salut,
1/
* Telecharge et install UsbFix par El Desaparecido , C_XX & Chimay8
Ou à partir ce lien : http://teamxscript.changelog.fr/too/UsbFix.exe

(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

- Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera

automatiquement

-Clique sur "Recherche"

- Laisse travailler l'outil

- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi

sauvegardé a la racine du disque dur)

2/
Nous allons effectuer un diagnostic de ton PC:
*Télécharge ZHPDiag sur ton bureau :

http://telechargement.zebulon.fr/zhpdiag.html
ou :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html

* Laisse toi guider lors de l'installation,coche "Ajouter une icône sur le bureau" et décoche la case "Exécuter ZHPDiag"

/!\Utilisateur de Vista et Seven : Clique droit sur le logo de ZHPdiag, « exécuter en tant qu'Administrateur »

* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur un des sites ci dessous, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum :
http://pjjoint.malekal.com/

Si indisponible:

http://www.toofiles.com/fr/documents-upload.html

ou :

http://www.casimages.com

* Tuto zhpdiag :
http://www.premiumorange.com/zeb-help-process/zhpdiag.html


Hébergement de rapport sur pjjoint.malekal.com

* Rends toi sur http://pjjoint.malekal.com/
* Clique sur le bouton Parcourir
* Sélectionne le fichier que tu veux heberger et clique sur Ouvrir
*Clique sur le bouton Envoyer
* Un message de confirmation s'affiche, copie le lien dans ta prochaine réponse.


@+
0
Utile
Merci pour vos réponses :
alors dans un premier temps le rapport de usbfix :


################## | Éléments infectieux |

Présent! F:\Windows6.0-KB936330-X86-wave0.exe

################## | Registre |


################## | Mountpoints2 |

HKCU\.\.\.\.\Explorer\MountPoints2\{64b10ca4-e021-11de-9768-001b38b30ac5}
Shell\AutoRun\Command = H:\Axi5Visit\Axi5\Axi5.exe
Shell\open\Command = H:\Axi5Visit\Axi5\Axi5.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{a9964ed9-e7e7-11df-a202-001b38b30ac5}
Shell\AutoRun\Command = E:\WDSetup.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{cee66955-d230-11df-bd81-001b38b30ac5}
Shell\AutoRun\Command = H:\LaunchU3.exe -a

HKCU\.\.\.\.\Explorer\MountPoints2\{d728326b-ec07-11df-9e2f-001b38b30ac5}
Shell\AutoRun\Command = H:\Toshiba\Launcher\start.exe

HKCU\.\.\.\.\Explorer\MountPoints2\{df919ad0-fc6d-11df-8ee0-001b38b30ac5}
Shell\AutoRun\Command = E:\setup.exe


################## | Vaccin |

(!) Cet ordinateur n'est pas vacciné!

################## | E.O.F |


et dans un 2nd temps le rapport ZHPDIAG :
http://pjjoint.malekal.com/files.php?id=304f8bd335d11o5x15o13m10c7g1511q7v6c9c9i7l12e6q11f5l5m12l11


J'attends la prochaine étape,et merci encore.
Fish66 17477 Messages postés dimanche 24 juillet 2011Date d'inscriptionContributeur sécuritéStatut 23 novembre 2017 Dernière intervention - Modifié par Fish66 le 12/08/2011 à 21:07
0
Utile
1
Re,

1/
On passe à l'étape suppression :


(!) Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptible d avoir été infectés sans les ouvrir

- Double clique sur le raccourci UsbFix sur ton Bureau (clique droit avec la souris

:exécuter en tant qu'administrateur pour vista/seven), l'installation se fera

automatiquement

-Clique sur "Suppression"

- Laisse travailler l'outil

- A la fin, le rapport va s'afficher : poste le dans ta prochaine réponse (il est aussi

sauvegardé a la racine du disque dur)

2/ Ensuite

Tu prépare le rapport ZHPDiag comme expliqué ici en 2/

@+

_ _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
suite des rapports
0
Utile
Rapport de usbfix apres suppression :
http://pjjoint.malekal.com/files.php?id=7099c1ceb6z8o15y9r10g513t5i5l7u6g5u13m12b9x5m13m7b9n14l9


et le rapport ZHPDIAG :
http://pjjoint.malekal.com/files.php?id=b9f8a23005g15f10v7w7x13e11x5f6y14v14l13o12l15l14y7i12f6r7o6n7
0
Utile
Merci encore pour ton aide,

voici le rapport de roguekiller :
http://pjjoint.malekal.com/files.php?id=8e520de47cw10b13w814d6b13y12g12r15p14b9c8k5l9h8m6t15o14l15m11

ainsi que le rapport de adwer cleaner :
http://pjjoint.malekal.com/files.php?id=78711a3778k5e15e6r15c11o8z9s12r7i12h11o6y13n11f8q6u6g12l12o14
Fish66 17477 Messages postés dimanche 24 juillet 2011Date d'inscriptionContributeur sécuritéStatut 23 novembre 2017 Dernière intervention - Modifié par Fish66 le 13/08/2011 à 09:55
0
Utile
Re,

De rien :)

1/
Relance RogueKiller puis tape 2 ensuite 3 puis poste les 2 rapports

2/
Lance AdwCleaner
Clique sur le bouton [ Suppression ]
Patiente...
Poste le rapport qui apparait en fin de recherche.
Il se trouve également à C:\AdwCleaner[SX] (où X est un chiffre)

3/
* Télécharge de AD-Remover sur ton Bureau.
http://www.teamxscript.org/adremoverTelechargement.html

/!\ Ferme toutes applications en cours /!\

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « chercher »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

-----------------------------------------------------------------------------------------

Donc il y'a en tous 4 rapports à préparer:
Pour RogueKiller : 2 Rapports correspondant aux options 2 et 3
-----------------------------------------------------------------------------------------


@+


_ _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
Utile
rogue killer etape 2 :
http://pjjoint.malekal.com/files.php?id=2c587f16efo11w13j7l9s15c11o14i14b8s10k12q10b6d7q8l11p14h15v10m7


rogue killer etape 3 :
http://pjjoint.malekal.com/files.php?id=99753be285h8v12d1511h9h10o811c13s11q14x13z13f6v7j8l14g12m9v15


suppression adcleaner :
http://pjjoint.malekal.com/files.php?id=46763eba33e12d10x9o8j10t9d13z5y6j15o11k10f9n6y15d8m14f6s7t10

scan addremover :
http://pjjoint.malekal.com/files.php?id=f9ca7f3025d108d5m8w6e5b6o7z5b11b13w7i15x9u5q15w11p11l7p14

voila
Fish66 17477 Messages postés dimanche 24 juillet 2011Date d'inscriptionContributeur sécuritéStatut 23 novembre 2017 Dernière intervention - Modifié par Fish66 le 13/08/2011 à 10:23
0
Utile
On continue !

1/
/!\ Ferme toutes applications en cours /!\

- Double-clique sur l'icône Ad-remover située sur ton Bureau.
- Sur la page, clique sur le bouton « Nettoyer »
- Confirme lancement du scan
- Laisse travailler l'outil.
- Poste le rapport qui apparaît à la fin.

(Le rapport est sauvegardé aussi sous C:\Ad-report(Scan/clean).Txt)

(CTRL+A pour tout sélectionner, CTRL+C pour copier et CTRL+V pour c

2/ Ensuite

Prépare stp un nouveau rapport ZHPDiag!

@+


_ _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
Utile
rapport adremover
http://pjjoint.malekal.com/files.php?id=452c0b0037w14b9u10d12n12s12i106r105w14o9c9z6h14w5b14y7h12g15

rapport zhpdiag
http://pjjoint.malekal.com/files.php?id=f1c5d46bddk12l8q7i11n7m9z14r8p11t8z7q11l6g12e12e14r13i11z14k9
Fish66 17477 Messages postés dimanche 24 juillet 2011Date d'inscriptionContributeur sécuritéStatut 23 novembre 2017 Dernière intervention - 13 août 2011 à 11:21
0
Utile
Re,
1/
Tu désinstalles maintenant le logiciel ci-dessous source d'infection :

O42 - Logiciel: Babylon - (.Babylon.) [HKLM] -- Babylon

2/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


[HKCU\Software\Totem] => Infection Diverse (Adware.VirtualGirl)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6A87B991-A31F-4130-AE72-6D0C294BF082}] => Infection PUP (PUP.Dealio)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6A87B991-A31F-4130-AE72-6D0C294BF082}] => Infection PUP (PUP.Dealio)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}] => Infection PUP (PUP.Dealio)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}] => Infection PUP (PUP.Dealio)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{e908b145-c847-4e85-b315-07e2e70decf8}] => Infection PUP (PUP.Dealio)
[HKLM\Software\Classes\Installer\Features\81337C0DA4B761D40A4CB3380F57AE88]
[HKCU\Software\Totem] => Infection Diverse (Adware.VirtualGirl)

FirewallRAZ
EmptyTemp
EmptyFlash



Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur le bouton GO

Copie/Colle le rapport à l'écran dans ton prochain message.

@+
0
Utile
j'ai remove babylon,cte saloprie était sur mon pc depuis pas mal de temps,cté même la page d'acceuil google,j'avais pas reussi à remove à l'époque, en tout cas,voila le rapport zhpfix :

Rapport de ZHPFix 1.12.3349 par Nicolas Coolman, Update du 11/08/2011
Fichier d'export Registre :
Run by jean at 13/08/2011 11:46:29
Windows Vista Home Premium Edition, 32-bit (Build 6000)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Clé(s) du Registre ==========
SUPPRIME Key: HKCU\Software\Totem
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6A87B991-A31F-4130-AE72-6D0C294BF082}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6A87B991-A31F-4130-AE72-6D0C294BF082}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{E67C74F4-A00A-4F2C-9FEC-FD9DC004A67F}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{e908b145-c847-4e85-b315-07e2e70decf8}
SUPPRIME Key: HKLM\Software\Classes\Installer\Features\81337C0DA4B761D40A4CB3380F57AE88

========== Valeur(s) du Registre ==========
ABSENT Valeur Standard Profile: FirewallRaz :
ABSENT Valeur Domain Profile: FirewallRaz :
SUPPRIME FirewallRaz (Public) : {0C63F3B7-4676-43B8-9755-48EBB52909D4}
SUPPRIME FirewallRaz (Public) : {04BCE2D6-9ED4-4B2D-8405-878D2157ECDF}
SUPPRIME FirewallRaz (Public) : {71736C15-ACA7-46F4-8E3B-819AE1A1ABE3}
SUPPRIME FirewallRaz (Public) : {378C52AB-3FDF-427B-AADB-404CB55D731A}
SUPPRIME FirewallRaz (None) : {96BAC1A9-D327-4215-8B01-29C0097281B1}

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 126
SUPPRIME Flash Cookies: 783

========== Fichier(s) ==========
SUPPRIME Temporaires Windows: : 180
SUPPRIME Flash Cookies: 6


========== Récapitulatif ==========
7 : Clé(s) du Registre
7 : Valeur(s) du Registre
2 : Dossier(s)
2 : Fichier(s)


End of the scan in 00mn 02s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt
Fish66 17477 Messages postés dimanche 24 juillet 2011Date d'inscriptionContributeur sécuritéStatut 23 novembre 2017 Dernière intervention - 13 août 2011 à 12:06
0
Utile
Lance Malwarebytes pour une analyse complète après avoir effectué la mise à jour puis poste le rapport stp!

0
Utile
hop le rapport :

Malwarebytes' Anti-Malware 1.51.1.1800
www.malwarebytes.org

Version de la base de données: 7454

Windows 6.0.6000
Internet Explorer 8.0.6001.18975

13/08/2011 14:43:02
mbam-log-2011-08-13 (14-43-02).txt

Type d'examen: Examen complet (C:\|D:\|F:\|I:\|)
Elément(s) analysé(s): 449095
Temps écoulé: 2 heure(s), 9 minute(s), 39 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 0

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
(Aucun élément nuisible détecté)
Fish66 17477 Messages postés dimanche 24 juillet 2011Date d'inscriptionContributeur sécuritéStatut 23 novembre 2017 Dernière intervention - 13 août 2011 à 15:01
0
Utile
Re,

Maintenant prépare stp un nouveau rapport ZHPDiag!


_ _ _ Fish66_ _ _ I''"""""I_ _ membre _ _I''"""""I_ _ contributeur _ _ _
¤¤¤ Le meilleur remède pour tous les problèmes, c'est la patience.... ¤¤¤
0
Utile
hop nouveau rapport zhpdiag :

http://pjjoint.malekal.com/files.php?id=2472879b87j9l13k13u5s13m8i13z8e11l11q11e14i7g12k5i15e15c12x10n12
Fish66 17477 Messages postés dimanche 24 juillet 2011Date d'inscriptionContributeur sécuritéStatut 23 novembre 2017 Dernière intervention - 13 août 2011 à 15:29
0
Utile
Il nous reste pas beaucoup de chose à faire :
1/
Tu désinstalle également :

C:\Users\jean\AppData\LocalLow\BabylonToolbar


2/
Copie tout le texte présent en gras ci-dessous ( tu le selectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )


R4 - HKCU\SOFTWARE\Microsoft\Internet Explorer\PhishingFilter,Enabled = 0
O4 - Global Startup: C:\Users\jean\Desktop\Corbeille.lnk - Clé orpheline
O53 - SMSR:HKLM\...\startupreg\fmulcjai [Key] . (...) -- c:\users\jean\appdata\local\fmulcjai.exe (.not file.)
O43 - CFD: 08/06/2010 - 08:36:18 - [1710] ----D- C:\ProgramData\regid.1986-12.com.adobe
O43 - CFD: 12/08/2011 - 13:06:14 - [3244000] ----D- C:\ProgramData\Spybot - Search & Destroy => Spybot - Search & Destroy
[HKLM\Software\BrowserChoice]




Puis Lance ZHPFix depuis le raccourci du bureau .

* Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ) .

* Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitrent .

Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.

Clique sur le bouton GO

Copie/Colle le rapport à l'écran dans ton prochain message.



@+



0
Utile
arf je n'arrive pas à le faire celui ci
j'ai supprimé toolbar,c'était un dossier vide,j'ai juste supprimé

par contre pour le rapport,des lors que je lance "go" ça me met un message d'erreur "violation blablabla" et il s'arrete
j'ai ptet fait une erreur de manip car la 1ere fois j'avais pas désactivé le firewall et il arretait pas de me demander l'autorisation,j'ai finalement annulé pour refaire,et la message d'erreur...
0
Utile
j'ai ce rapport qui s'est generé à 15h43...

C:\ZHP\Quarantine\corbeille.lnk.VIR,c:\users\jean\desktop\corbeille.lnk
C:\ZHP\Quarantine\regid.1986-12.com.adobe.DIR,C:\ProgramData\regid.1986-12.com.adobe
Vol de mail et supp de vid youtube virus? - page 2