[Résolu] PC infecté par un StealerRésolu/Fermé

Question

Bonjour,  

Il y a moins d'une heure j'ai télécharger un fichier (.exe) très suspect, et après ça dans les minutes qui ont suivis j'ai remarqué que certains de mes comptes ont été volés. J'ai l'impression d'avoir affaire à ce qui semble être un Stealer. 

J'ai donc changer mes mots de passe depuis un autre PC en y mettant des "strongpassword": mot de passe à 15 caractères (minuscules, majuscules, chiffres, symboles) sur la plus part de mes comptes. 

J'ai ensuite immédiatement lancer un scan rapide d'Avast mais il n'a rien trouver de concluant, je suis actuellement en train d'effectuer un scan minutieux. 

Que puis-je faire de plus? 

Merci pour votre aide. 

Configuration: Windows 7 / Firefox 7.0.1

juju666 · Accepted Answer

Pour moi c'est ok, prudence et bon surf ;)

juju666 · Answer

Salut,

Tu l'as chopé où l'exe ? (Dis moi par MP par sécurité).

Nous allons effectuer un diagnostic de ton PC: 
&#9654 Télécharge ZHPDiag 

&#9654 Laisse toi guider lors de l''installation,coche "Ajouter une icône sur le bureau" et  "Exécuter ZHPDiag" 

&#9654 Clique sur l''icône représentant une loupe (« Lancer le diagnostic ») 

&#9654 Une fois le scan aux 100%, ferme ZHPDiag. Héberge le rapport ZHPDiag.txt présent sur ton bureau :

Voici comment procéder

&#9654 Rends toi sur pjjoint.malekal.com 
&#9654 Clique sur le bouton Parcourir 
&#9654 Sélectionne le fichier que tu veux heberger et clique sur Ouvrir 
&#9654 Clique sur le bouton Envoyer 
&#9654 Un message de confirmation s''affiche (L''upload a réussi ! - Le lien à transmettre à vos correspondant pour visualiser le fichier est : https://pjjoint.malekal.com/files.php?id=df5ea299241015 Copie le lien dans ta prochaine réponse. 

A bientôt.

Ledodo · Answer

Merci de ta réponse si rapide.

Voici le lien du rapport ZHPDiag: http://pjjoint.malekal.com/files.php?id=ZHPDiag_q15s8y7z7e7o13q6c7c5h15m13j9p10l5m14s12b15m12h9s5

Sinon pour l'exe je l'ai chopper sur un forum de jeuxvideo.com.

juju666 · Answer

Mouhahaha.

Envoie le link du type qui propose en téléchargement son stealer :3

 Désactive ton antivirus le temps de l'utilisation de l'outil car l'outil est détecté à tort comme infectieux 

Télécharge ForceMove de Juju666    

Exécute le.  
Colle ça dans le fichier texte INSTRUCTIONS_SVP qui s'ouvre:    


C:\Users\Dorian\Desktop\guiminer\guiminer.exe     
C:\Users\Dorian\Desktop\guiminer\poclbm.exe 
C:\Users\Dorian\AppData\Roaming\Mozilla\Firefox\Profiles\5j08ikjp.default\searchplugins\daemon-search.xml   
C:\Program Files\Common Files\Spigot
C:\Program Files\Mozilla FireFox\extensions\dealio@mybrowserbar.com    
C:\Program Files\Mozilla FireFox\extensions\wtxpcom@mybrowserbar.com 
C:\Program Files\Dealio Toolbar
C:\Program Files\Application Updater    
C:\users\dorian\appdata\roaming\m    
C:\Program Files\Babylon    
C:\Users\Dorian\AppData\LocalLow\BabylonToolbar    
C:\Users\Dorian\AppData\LocalLow\Dealio     
C:\Users\Dorian\AppData\LocalLow\Search Settings     
C:\Program Files\DAEMON Tools Toolbar   
C:\Users\Dorian\AppData\LocalLow\Conduit    
C:\Users\Dorian\AppData\Roaming\Mozilla\Firefox\Profiles\5j08ikjp.default\SearchPlugins\conduit.xml   


Ferme le fichier texte. Accepte la modification par Oui.    

Une infobulle t'avertira que tout sera fermé. Accepte par Ok    

Poste le contenu du rapport qui s'ouvrira à terme  (s'il ne s'ouvre pas, il se trouve à C:\forcemovelog.txt)  

Si ton bureau ne réapparait pas fais ceci :
Ctrl + Alt + Delete > Fichier > Nouvelle tache > Exécuter > tape explorer.exe et valide

Ledodo01 · Answer

Je t'enverrais plus de détaille concernant l'origine du Stealer si ça t'intéresse (j'ai encore le lien de téléchargement etc..).

Voici le rapport:
########## ForceMove de Juju666 
version 1.0.0.4 du 18 avril 2011 | Mis à jour le 22 juin 2011 à 01:52 par Juju666 
Windows 7 Ultimate [7600.16841.x86fre.win7_gdr.110622-1503] 
Démarrage à  1:30:56  
 
##### Arrêt des processus 
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1088 'Firefox.exe'  
ArrÛtÚ : PID 1744 'explorer.exe'  
ArrÛtÚ : PID 1744 'explorer.exe'  
ArrÛtÚ : PID 1744 'explorer.exe'  
ArrÛtÚ : PID 1744 'explorer.exe'  
ArrÛtÚ : PID 1744 'explorer.exe'  
ArrÛtÚ : PID 1744 'explorer.exe'  
 
 
##### Fichiers|Dossiers 
  
Absent !!! : "C:\users\dorian\appdata\roaming\m    "   
 
Mis en quarantaine et supprimé ! : C:\Users\Dorian\Desktop\guiminer\guiminer.exe       
Mis en quarantaine et supprimé ! : C:\Users\Dorian\Desktop\guiminer\poclbm.exe   
Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\Roaming\Mozilla\Firefox\Profiles\5j08ikjp.default\searchplugins\daemon-search.xml     
Mis en quarantaine et supprimé ! : C:\Program Files\Common Files\Spigot  
Mis en quarantaine et supprimé ! : C:\Program Files\Mozilla FireFox\extensions\dealio@mybrowserbar.com      
Mis en quarantaine et supprimé ! : C:\Program Files\Mozilla FireFox\extensions\wtxpcom@mybrowserbar.com   
Mis en quarantaine et supprimé ! : C:\Program Files\Dealio Toolbar  
Mis en quarantaine et supprimé ! : C:\Program Files\Application Updater      
Mis en quarantaine et supprimé ! : C:\Program Files\Babylon      
Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\LocalLow\BabylonToolbar      
Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\LocalLow\Dealio       
Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\LocalLow\Search Settings       
Mis en quarantaine et supprimé ! : C:\Program Files\DAEMON Tools Toolbar     
Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\LocalLow\Conduit      
Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\Roaming\Mozilla\Firefox\Profiles\5j08ikjp.default\SearchPlugins\conduit.xml        
  
  
########## Terminé avec succès à  1:33:01  
  
########## ( EOF )

juju666 · Answer

Ok si tu peux le faire par MP ça m'intéresse merci ;)

&#9654 Télécharge MBAM et installe le selon l'emplacement par défaut
https://www.malwarebytes.com/mwb-download/
&#9654 Effectue la mise à jour et lance Malwarebytes' Anti-Malware

&#9654 &#9654 Si tu n''arrive pas à le mettre à jour, télécharge ce fichier , ferme MBAM, et exécute le

&#9654 Clique dans l'onglet du haut "Recherche"
&#9654 Coche l'option "Exécuter un examen complet" puis sur le bouton "Rechercher"
&#9654 Choisis de scanner tous tes disques durs, puis clique sur 'Lancer l'examen"

A la fin de l'analyse, si MBAM n'a rien trouvé :

&#9654 Clique sur OK, le rapport s'ouvre spontanément

Si des menaces ont été détectées :

&#9654 Clique sur OK puis "Afficher les résultats"
&#9654 Choisis l'option "Supprimer la sélection"
&#9654 Si MBAM demande le redémarrage de Windows : Clique sur "Oui"
&#9654 Une fois le PC redémarré, le rapport se trouve dans l'onglet "Rapports/Logs"
&#9654 Sinon le rapport s'ouvre automatiquement après la suppression

Quelque soit le résultat, copie/colle le rapport dans le prochain message

Ledodo01 · Answer

6 éléments infectés, j'ai donc supprimer, voici le rapport: 

Malwarebytes' Anti-Malware 1.51.2.1300
www.malwarebytes.org

Version de la base de données: 8008

Windows 6.1.7600
Internet Explorer 8.0.7600.16385

24/10/2011 04:02:47
mbam-log-2011-10-24 (04-02-47).txt

Type d'examen: Examen complet (C:\|)
Elément(s) analysé(s): 436109
Temps écoulé: 1 heure(s), 39 minute(s), 46 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 0
Valeur(s) du Registre infectée(s): 0
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Valeur(s) du Registre infectée(s):
(Aucun élément nuisible détecté)

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
c:\Users\Dorian\Desktop\guiminer\miners\ufasoft\bitcoin-miner.exe (PUP.BitMiner) -> Not selected for removal.
c:\Users\Dorian\downloads\ganjin_ktr_2012.exe (Trojan.Agent.CK) -> Quarantined and deleted successfully.
c:\forcemove\quarantine\Spigot.FM\wtxpcom\components\widgitoolbarff.dll.5 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\forcemove\quarantine\Spigot.FM\wtxpcom\components\widgitoolbarff.dll.6 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\forcemove\quarantine\Spigot.FM\wtxpcom\components\widgitoolbarff.dll.7 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.
c:\forcemove\quarantine\Spigot.FM\wtxpcom\components\widgitoolbarff.dll.8 (Adware.WidgiToolbar) -> Quarantined and deleted successfully.

juju666 · Answer

Salut !  

c:\Users\Dorian\Desktop\guiminer\miners\ufasoft\bitcoin-miner.exe (PUP.BitMiner) -> Not selected for removal. 

Pourquoi ne l'as-tu pas supprimé? 

Relance ForceMove 
  
Colle ça dans le fichier texte INSTRUCTIONS_SVP qui s'ouvre:     


%AppData%\Xenocode 
%ProgramFiles%\Xenocode 
c:\Users\Dorian\Desktop\guiminer\miners\ufasoft\bitcoin-miner.exe 


Ferme le fichier texte. Accepte la modification par Oui.     

Une infobulle t'avertira que tout sera fermé. Accepte par Ok     

Poste le contenu du rapport qui s'ouvrira à terme  (s'il ne s'ouvre pas, il se trouve à C:\forcemovelog.txt)   

Si ton bureau ne réapparait pas fais ceci : 
Ctrl + Alt + Delete > Fichier > Nouvelle tache > Exécuter > tape explorer.exe et valide 
 .::. Contributeur Sécurité .::.

Ledodo01 · Answer

Voilà qui est fait, je n'avais pas supprimer c:\Users\Dorian\Desktop\guiminer\miners\ufasoft\bitcoin-miner.exe car je pensais que ce n'était pas une menace réel puisque je sais parfaitement ce que c'est et je l'ai depuis longtemps mais on sait jamais.

########## ForceMove de Juju666 
version 1.0.0.4 du 18 avril 2011 | Mis à jour le 22 juin 2011 à 01:52 par Juju666 
Windows 7 Ultimate [7600.16841.x86fre.win7_gdr.110622-1503] 
Démarrage à 13:47:22  
 
##### Arrêt des processus 
ArrÛtÚ : PID 4812 'Firefox.exe'  
ArrÛtÚ : PID 1752 'explorer.exe'  
ArrÛtÚ : PID 1752 'explorer.exe'  
 
 
##### Fichiers|Dossiers 
  
Absent !!! : "%AppData%\Xenocode "   
Absent !!! : "%ProgramFiles%\Xenocode "   
 
Mis en quarantaine et supprimé ! : c:\Users\Dorian\Desktop\guiminer\miners\ufasoft\bitcoin-miner.exe      
  
  
########## Terminé avec succès à 13:47:44  
  
########## ( EOF )

juju666 · Answer

Re :)

Ouvre un dossier et tout en haut dans la barre de navigation tape %ProgramFiles%\Xenocode

est-ce qu'un dossier s'ouvre?

Pour bitcoin-miner.exe si MBAM le détecte c'est qu'il est néfaste. La détection de PUP signifie "Programme potentiellement nuisible" en français.

Ledodo01 · Answer

En effet il s'ouvre un dossier vide, à cette adresse C:\Program Files\Xenocode

juju666 · Answer

:)

Relance ForceMove et colle ça maintenant dans le bloc note qui s'ouvre pour voir: 

C:\Users\Dorian\AppData\Roaming\Xenocode
C:\Program Files\Xenocode

Fichier>Enregistrer>puis tu ferme le bloc note 

Poste le rapport

Ledodo01 · Answer

Voilà le rapport:

########## ForceMove de Juju666 
version 1.0.0.4 du 18 avril 2011 | Mis à jour le 22 juin 2011 à 01:52 par Juju666 
Windows 7 Ultimate [7600.16841.x86fre.win7_gdr.110622-1503] 
Démarrage à 14:02:26  
 
##### Arrêt des processus 
ArrÛtÚ : PID 1308 'Firefox.exe'  
ArrÛtÚ : PID 1308 'Firefox.exe'  
ArrÛtÚ : PID 4668 'explorer.exe'  
 
 
##### Fichiers|Dossiers 
  
Absent !!! : "C:\Users\Dorian\AppData\Roaming\Xenocode"   
 
Mis en quarantaine et supprimé ! : C:\Program Files\Xenocode     
  
  
########## Terminé avec succès à 14:04:02  
  
########## ( EOF )

juju666 · Answer

Voilà qui est mieux :)

Relance ZHPDiag, coche tout au tournevis vert, et clique ensuite sur la loupe.

On va voir qu'il ne reste plus rien avant de finaliser.

Ledodo01 · Answer

Voici le lien du rapport:

https://pjjoint.malekal.com/files.php?read=ZHPDiag_x10i6d11y11p5o15y9n14e9g11k12o9x14e14r12g6e5b13l8u15

juju666 · Answer

Ok, lu.

Désinstalle Spybot il ne sert plus rien 

~~

T'as téléchargé des programmes gratuits qui installent des toolbars et des adwares.
Pense à décocher les options quand tu installe un programme ;)

Télécharge AdwCleaner ( d'Xplode ) sur ton bureau.
Lance le, clique sur [Suppression] puis patiente le temps du nettoyage.
Une fois le scan fini, un rapport s'ouvrira. Poste moi son contenu dans ta prochaine réponse.

Note : Le rapport est également sauvegardé sous C:\AdwCleaner[S1].txt

Ledodo01 · Answer

J'ai supprimer Spybot, et voici le rapport:

# AdwCleaner v1.312 - Rapport créé le 24/10/2011 à 14:29:00
# Mis à jour le 18/10/11 à 21h par Xplode
# Système d'exploitation : Windows 7 Ultimate  (32 bits)
# Nom d'utilisateur : Dorian - DORIAN-PC-FIXE (Droits Limités)
# Exécuté depuis : C:\Users\Dorian\Desktop\adwcleaner.exe
# Option [Suppression]


***** [KillNav] *****

# firefox.exe [PID:4360] -> Tué

***** [Processus] *****


***** [Services] *****

Arrêté & Supprimé :  : Application Updater

***** [Fichiers / Dossiers] *****

Fichier Supprimé : C:\Program Files\Mozilla Firefox\searchplugins\babylon.xml

***** [Registre] *****

Clé Supprimée : HKCU\Software\AppDataLow\Software\Conduit
Clé Supprimée : HKCU\Software\AppDataLow\Software\Search Settings
Clé Supprimée : HKLM\SOFTWARE\Application Updater
Clé Supprimée : HKLM\SOFTWARE\Dealio
Clé Supprimée : HKLM\SOFTWARE\Search Settings
Clé Supprimée : HKLM\SOFTWARE\Messenger Plus!\OpenCandy
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Clé Supprimée : HKLM\SOFTWARE\Classes\AppID\{BDB69379-802F-4eaf-B541-F8DE92DD98DB}
Clé Supprimée : HKLM\SOFTWARE\Classes\CLSID\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{79FB5FC8-44B9-4AF5-BADD-CCE547F953E5}
Clé Supprimée : HKLM\SOFTWARE\Classes\Interface\{C2434722-5C85-4CA0-BA69-1B67E7AB3D68}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{09C554C3-109B-483C-A06B-F14172F1A947}
Clé Supprimée : HKLM\SOFTWARE\Classes\TypeLib\{AD25754E-D76C-42B3-A335-2F81478B722F}
Clé Supprimée : HKCU\Software\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{afdbddaa-5d3f-42ee-b79c-185a7020515b}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{64182481-4F71-486B-A045-B233BD0DA8FC}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{DB4E9724-F518-4DFD-9C7C-78B52103CAB9}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks [{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}]
Valeur Supprimée : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Internet Explorer\Toolbar [{01398B87-61AF-4FFB-9AB5-1A1C5FB39A9C}]
Valeur Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run [SearchSettings]

***** [Navigateurs] *****

-\ Internet Explorer v8.0.7600.16385

Remplacé : [HKLM\..\AboutURls - Tabs] = hxxp://start.facemoods.com/?a=ddr&f=2 --> res://ieframe.dll/tabswelcome.htm

-\ Mozilla Firefox v7.0.1 (fr)

Profil : 5j08ikjp.default
Fichier : C:\Users\Dorian\AppData\Roaming\Mozilla\Firefox\Profiles\5j08ikjp.default\prefs.js

Supprimée : user_pref("browser.search.defaulturl", "hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2604146&SearchSource=3&q={searchTerms}");
Supprimée : user_pref("extensions.facemoods.aflt", "_#ddr");
Supprimée : user_pref("extensions.facemoods.firstRun", false);
Supprimée : user_pref("extensions.facemoods.lastActv", "21");

-\ Google Chrome v14.0.835.202

Fichier : C:\Users\Dorian\AppData\Local\Google\Chrome\User Data\Default\Preferences

[OK] Le fichier ne contient aucune entrée illégitime.

*************************

AdwCleaner[S1].txt - [313 octets] - [24/10/2011 14:27:53]
AdwCleaner[S2].txt - [3940 octets] - [24/10/2011 14:29:00]

*************************

Dossier Temporaire : 53 dossier(s)et 106 fichier(s) supprimés

########## EOF - C:\AdwCleaner[S2].txt - [4162 octets] ##########

juju666 · Answer

héhé :)

On enchaine :

&#9654  Télécharge AD-Remover sur ton Bureau : (TeamXScript) 

https://www.androidworld.fr/  

/!\ Ferme toutes applications en cours /!\ 

&#9654 Double-clique sur l'icône Ad-remover située sur ton Bureau. 
&#9654 Sur la page, clique sur le bouton « Nettoyer » 
&#9654 Confirme le lancement du nettoyage
&#9654 Laisse travailler l'outil. 
&#9654 Quand il a fini, un rapport s'ouvrira : ferme le.

&#9830 Pour me transmettre le rapport

clique sur ce lien : http://www.cijoint.fr/

&#9654 Clique sur Parcourir et cherche le fichier C:\Ad-Report-CLEAN[1].txt

&#9654 Clique sur Ouvrir.

&#9654 Clique sur "Cliquez ici pour déposer le fichier".

Un lien de cette forme :

http://www.cijoint.fr/cjlink.php?file=cjge368/cijSKAP5fU.txt

est ajouté dans la page.

&#9654 Copie ce lien dans ta réponse.

Redémarre le pc comme le demandera AD-Remover, refais moi un ZHPDiag en prenant soin de tout cocher au tournevis vert et on finalisera :)

Ledodo01 · Answer

Voici le lien du rapport:

http://www.cijoint.fr/cjlink.php?file=cj201110/cijtb9OIl4.txt

Ledodo01 · Answer

Voici le lien du rapport ZHPDiag:

https://pjjoint.malekal.com/files.php?read=ZHPDiag_v11b7z11l8f9o12o7o8b10e15v15i12p12l15l13x10o6j15l6f5

juju666 · Answer

Vu :)

C:\Users\Dorian\AppData\Roaming\chrtmp   

J'aime pas ça :p

/!\ Ne pas utiliser ce logiciel en dehors du cadre de cette désinfection :   DANGEREUX /!\  
&#9654 /!\ IMPORTANT /!\  
Désactive ton Antivirus, antispyware et Pare feu avant le scan avec Combofix :
Protections résidentes : https://forum.pcastuces.com/default.asp
 et https://www.bleepingcomputer.com/forums/t/114351/how-to-temporarily-disable-your-anti-virus-firewall-and-anti-malware-programs/ 
~~
Pare feu Windows XP : http://support.microsoft.com/kb/283673/fr
Pare feu Windows Vista/7 : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
~~ 
Windows Defender : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
_______________________________________________________________

&#9654 Fais un clic droit sur le lien ci dessous, choisi "Enregistrer la cible du lien sous", comme destination : ton Bureau, change son nom (ton_pseudo.exe par exemple) :  

http://download.bleepingcomputer.com/sUBs/ComboFix.exe  

&#9654 Double-clique sur ComboFix.exe  
Un "pop-up" va apparaître qui dit que ComboFix est utilisé à vos risques et avec aucune garantie... Clique sur oui pour accepter  

&#9654 &#9654 Ne touche à rien (souris, clavier) tant que le scan n'est pas terminé, car tu risques de planter ton PC  

&#9654 En fin de scan, il est possible que ComboFix ait besoin de redémarrer le PC pour finaliser la désinfection, laisse-le faire.  
&#9654 Une fois le scan achevé, un rapport va s'afficher : Poste son contenu  
&#9654 &#9654 /!\ Réactive la protection en temps réel de ton antivirus avant de te reconnecter à Internet. /!\  

Notes: 
-> Le rapport se trouve également là : C:\ComboFix.txt   
-> tutoriel combofix

Ledodo01 · Answer

Petit problème avec Combofix après l'extraction des fichiers:

"Warning!!
Do not run ComboFix in Compatibility Mode.
Doing so may damage the machine."

juju666 · Answer

C'est étrange, je me renseigne

On va faire autre chose en attendant :

&#9654 Copie tout le texte présent dans la balise code ci-dessous ( tu le sélectionnes avec ta souris / Clique droit dessus et choisis "copier" ou fait Ctrl+C )    


O42 - Logiciel: Dealio Toolbar v4.7 - (.Spigot, Inc..) [HKLM] -- {67EA4F15-C7C4-436A-B6A2-352BC2CE11DC}    => Infection PUP (PUP.Dealio)
O87 - FAEL: "UDP Query User{2B115838-17D6-48FE-8E6F-0428A591FF03}C:\users\dorian\appdataoaming\macromedia\flash player\www.macromedia.com\bin\octoshape\octoshape.exe" | In - Private - P17 - TRUE | .(.Octoshape ApS.) -- C:\users\dorian\appdataoaming\m    => Infection Bagle
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}]    => Infection BT (Toolbar.Babylon)
[HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}]    => Infection BT (Toolbar.Babylon)
[HKCU\Software\AutoCashLinks]
O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} . (...) -- C:\Program Files\DAEMON Tools Toolbar\DTToolbar.dll
O42 - Logiciel: DAEMON Tools Toolbar - (.DT Soft Ltd.) [HKLM] -- DAEMON Tools Toolbar    => Toolbar.DaemonTools
[HKLM\Software\Classes	oolband.eb_explorerbar]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.eb_explorerbar.1]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.ipm_printlistitem]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.ipm_printlistitem.1]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.pm_launcher]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.pm_launcher.1]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.pm_printmanager]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.pm_printmanager.1]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.pr_bindstatuscallback]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.pr_bindstatuscallback.1]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.pr_cancelbuttoneventhandler]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.pr_cancelbuttoneventhandler.1]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.tbtoolband]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.tbtoolband.1]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.useroptions]    => Toolbar.Agent
[HKLM\Software\Classes	oolband.useroptions.1]    => Toolbar.Agent
[HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv]    => Toolbar.Agent
[HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar]    => Toolbar.DaemonTools
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}    => Toolbar.DaemonTools
[HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}    => Toolbar.DaemonTools
EMPTYTEMP
EMPTYFLASH


&#9654 Puis Lance ZHPFix depuis le raccourci du bureau .   

&#9654 Une fois l'outil ZHPFix ouvert , clique sur le bouton [ H ] ( "coller les lignes Helper" ).   

&#9654 Dans l'encadré principal tu verras donc les lignes que tu as copié précédemment apparaitre.   

&#9654 Vérifie que toutes les lignes que je t''ai demandé de copier (et seulement elles) sont dans la fenêtre.   

&#9654 Clique sur le bouton « GO » pour lancer le nettoyage 

&#9654 Copie/Colle le rapport à l''écran dans ton prochain message   

Note : le rapport se trouve aussi dans C:\ZHP sous le nom de ZHPFix[Rx].txt (où X correspond au numéro du lancement de ZHPFix)

Ledodo01 · Answer

Voici le rapport ZHPFix:

Rapport de ZHPFix 1.12.3365 par Nicolas Coolman, Update du 18/10/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-24-10-2011-15-44-36.txt
Run by Dorian at 24/10/2011 15:44:36
Windows 7 Ultimate Edition, 32-bit  (Build 7600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html

========== Logiciel(s) ==========
SUPPRIME O42 - Logiciel: Dealio Toolbar v4.7 - (.Spigot, Inc..) [HKLM] -- {67EA4F15-C7C4-436A-B6A2-352BC2CE11DC}
ABSENT Uninstall Process: c:\program files\daemon tools toolbar\uninst.exe

========== Clé(s) du Registre ==========
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{67EA4F15-C7C4-436A-B6A2-352BC2CE11DC}]
SUPPRIME [HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\DAEMON Tools Toolbar]
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}
SUPPRIME Key: HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{97F2FF5B-260C-4ccf-834A-2DDA4E29E39E}
SUPPRIME Key: HKCU\Software\AutoCashLinks
SUPPRIME Key: HKLM\Software\Classes	oolband.eb_explorerbar
SUPPRIME Key: HKLM\Software\Classes	oolband.eb_explorerbar.1
SUPPRIME Key: HKLM\Software\Classes	oolband.ipm_printlistitem
SUPPRIME Key: HKLM\Software\Classes	oolband.ipm_printlistitem.1
SUPPRIME Key: HKLM\Software\Classes	oolband.pm_launcher
SUPPRIME Key: HKLM\Software\Classes	oolband.pm_launcher.1
SUPPRIME Key: HKLM\Software\Classes	oolband.pm_printmanager
SUPPRIME Key: HKLM\Software\Classes	oolband.pm_printmanager.1
SUPPRIME Key: HKLM\Software\Classes	oolband.pr_bindstatuscallback
SUPPRIME Key: HKLM\Software\Classes	oolband.pr_bindstatuscallback.1
SUPPRIME Key: HKLM\Software\Classes	oolband.pr_cancelbuttoneventhandler
SUPPRIME Key: HKLM\Software\Classes	oolband.pr_cancelbuttoneventhandler.1
SUPPRIME Key: HKLM\Software\Classes	oolband.tbtoolband
SUPPRIME Key: HKLM\Software\Classes	oolband.tbtoolband.1
SUPPRIME Key: HKLM\Software\Classes	oolband.useroptions
SUPPRIME Key: HKLM\Software\Classes	oolband.useroptions.1
SUPPRIME Key: HKLM\SYSTEM\CurrentControlSet\Services\Eventlog\Application\HssSrv
ABSENT Key: HKLM\Software\Microsoft\Windows\CurrentVersion\Uninstall\daemon tools toolbar

========== Valeur(s) du Registre ==========
SUPPRIME UDP Query User{2B115838-17D6-48FE-8E6F-0428A591FF03}C:/users/dorian/appdata/roaming/macromedia/flash player/www.macromedia.com/bin/octoshape/octoshape.exe
SUPPRIME Toolbar: {32099AAC-C132-4136-9E9A-4E364A424E17}
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
ABSENT [HKLM\Software\Microsoft\Internet Explorer\Toolbar]:{32099aac-c132-4136-9e9a-4e364a424e17}

========== Dossier(s) ==========
SUPPRIME Temporaires Windows: : 75
SUPPRIME Flash Cookies: 253

========== Fichier(s) ==========
ABSENT File: c:\program files\daemon tools toolbar\dttoolbar.dll
SUPPRIME Temporaires Windows: : 76
SUPPRIME Flash Cookies: 137


========== Récapitulatif ==========
23 : Clé(s) du Registre
4 : Valeur(s) du Registre
2 : Dossier(s)
3 : Fichier(s)
2 : Logiciel(s)


End of clean in 00mn 15s

========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 24/10/2011 15:44:36 [3161]

juju666 · Answer

Pour l'instant on en reste là, j'attends des nouvelles sur le soucis de combofix :)

juju666 · Answer

Changement de tactique.
Suite à notre échange de MP, ComboFix est incompatible avec ton système.

Je vais tenter de remonter l'information chez sUbs. On verra mais ...

Fais un ForceMove avec çà dans le fichier d'instructions : 

C:\Users\Dorian\AppData\Roaming\chrtmp

Ledodo01 · Answer

C'est fait, voici le rapport:

########## ForceMove de Juju666 
version 1.0.0.4 du 18 avril 2011 | Mis à jour le 22 juin 2011 à 01:52 par Juju666 
Windows 7 Ultimate [7600.16841.x86fre.win7_gdr.110622-1503] 
Démarrage à 21:59:41  
 
##### Arrêt des processus 
ArrÛtÚ : PID 952 'Firefox.exe'  
ArrÛtÚ : PID 952 'Firefox.exe'  
ArrÛtÚ : PID 2504 'explorer.exe'  
 
 
##### Fichiers|Dossiers 
  
 
Mis en quarantaine et supprimé ! : C:\Users\Dorian\AppData\Roaming\chrtmp      
  
  
########## Terminé avec succès à 21:59:58  
  
########## ( EOF )

juju666 · Answer

Ok parfait.

On passe aux finitions, tu as ton temps pour faire tout ça ne t'inquiète pas :)

Procédure d'optimisation/d'entretien/de prévention   

&#9654 Télécharge ici : PureRa (par l''editeur de JavaRa) 

&#9654 Lance-le (clic droit "executer en tant qu''administrateur" pour Vista/7) 

=> Configuration en vidéo ( merci gen-hackman ) 

&#9654 clique sur "Clean" 

&#9654 L''outil va faire son scan puis son nettoyage 

&#9654 à la fin du rapport tu auras une ligne comme ca : 

Total space cleaned: 8140878 bytes 

&#9654 transmets juste cette ligne , le reste importe peu  

------ 

&#9654 télécharge et installe Ccleaner 

&#9654 double-clique sur le fichier pour lancer l''installation  

/!\Utilisateur de Vista et windows 7 : Clique droit sur le logo de Ccleaner, « exécuter en tant qu''administrateur »  

&#9654 &#9654 une fois ouvert tu cliques sur option et puis avancé  
&#9654 tu décoches "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures " 
&#9654 &#9654 cliques sur nettoyeur  
&#9654 cliques sur windows et dans la colonne avancé  
&#9654 coches la première case "vieilles données du perfetch"  
&#9654 cliques sur analyse une fois l''analyse terminé  
&#9654 cliques sur "lancer le nettoyage" et sur la demande de confirmation "OK" &#9654 &#9654 cliques maintenant sur registre et puis sur "rechercher les erreurs " 
&#9654 laisses tout cochées et cliques sur "réparer les erreurs sélectionnées"  
&#9654 il te demande de sauvegarder ==> OUI  
&#9654 tu lui donnes un nom pour pouvoir la retrouver et enregistre  
&#9654 cliques sur "corriger toutes les erreurs sélectionnées" et sur la demande de confirmation ==> OK  
&#9654 Vérifie qu''il ne reste plus rien en relançant "rechercher les erreurs"  
&#9654 tu retournes dans option et tu recoches la case "effacer uniquement les fichiers du dossier temp de windows plus vieux que 24 heures" et sur nettoyeur  windows, sous avancé, tu décoches la première case "vieilles données du perfetch"  
&#9654 tu peux fermer Ccleaner  

------  

Fais une recherche des erreurs de disque : 
ouvre Ordinateur/Poste de travail => clic droit sur C: => propriétés => outils => Vérification des erreurs cliquez sur vérifier maintenant. Ensuite cochez les deux cases puis cliquez sur démarrer. Répondez oui pour le message d''avertissement et redémarrez votre système. 

------ 

Défragmente tes disques dur : 
Télécharge Deffragler, et défragmente tes disques.  

------ 

&#9654 Désactivation, puis Réactivation de la restauration système après désinfection :  

Il est nécessaire de désactiver puis réactiver la restauration système pour la purger car les points de restauration peuvent être infectés :  

XP/Vista : http://www.forum-fec.net/t97-purger-la-restauration-du-systeme 
Seven: http://www.forum-fec.net/faq-tutoriel-astuces-f10/purger-la-restauration-du-systeme-sous-windows-7-t142.htm 

------  

&#9654 Maintiens tes logiciels à jour c'est important, utilise ce programme : https://www.commentcamarche.net/faq/13362-mettre-a-jour-son-pc-contre-les-failles-de-securite
Absolument à faire.

&#9654 idem pour les Mises à jour Windows :  

Il est très important de maintenir son OS à jour car ceci comble les failles de sécurité par lesquelles les malwares ("virus") s'introduisent ... 

&#9654 Windows Update XP (uniquement avec Internet Explorer): http://update.microsoft.com/windowsupdate/v6/ 


&#9654 Windows Update Vista/Seven : cliquer sur le logo windows, dans la rechercher taper "Windows Update", cliquer sur le résultat. 

----- 

&#9654 Mets à jour Java : https://www.java.com/fr/download/uninstalltool.jsp   

&#9654 Désinstaller les anciennes versions de Java :   

&#9654 Télécharge JavaRa.zip   

&#9654 Décompresse le fichier sur ton bureau (clique droit > Extraire tout.)   

&#9654 Double-clique sur le répertoire JavaRa obtenu.   

&#9654 Puis double-clique sur le fichier JavaRa.exe (le .exe peut ne pas s''afficher)   

&#9654 Clique sur Remove Older Versions.   

&#9654 Clique sur Oui pour confirmer. L''outil va travailler, clique ensuite sur Ok, puis une deuxième fois sur Ok.   

&#9654 Un rapport va s''ouvrir, copie-colle le dans ta prochaine réponse.   

&#9654 Note : le rapport se trouve aussi là : ( C:\JavaRa.log )   

&#9654 Tu peux fermer l''application    

&#9654 &#9654 Met à jour les logiciels Adobe :  

&#9654 Reader : https://get2.adobe.com/fr/reader/otherversions/ 

&#9654 Flash Player: https://get.adobe.com/flashplayer/?loc=fr 

----- 

Si tu utilise FireFox, vérifie que tes plug in sont à jour : https://support.mozilla.org/en-US/kb/npapi-plugins 

----- 

&#9654 &#9654 pour supprimer les outils de désinfection : 

&#9654 Télécharge et exécute Delfix sur ton bureau

&#9654 Clique sur le bouton « Suppression » et poste son rapport sur ton prochain message  
&#9654 &#9654 Pour le désinstaller, il suffit de le relancer et cliquer sur le bouton de désinstallation.  

------  

Tu peux garder Malwarebytes pour un scan de temps à autres  

-----  

Les antivirus ne font pas tout en ce qui concerne la sécurité de ta machine (mettre à jour ses logiciels etc etc)
La meilleur protection reste de connaître les infections pour pouvoir les éviter et avoir de bonne habitude.
Donc faut se documenter. 

Tu peux lire ce sujet sur les logiciels recommandés, et les attitudes responsables sur le web  
Et celui ci, sur les logiciels gratuits à éviter  

Si tu utilises Avast! ou AVG - regle le pour détecter les LPIs - voir : https://www.malekal.com/adwares-pup-protection/

Un peu de lecture pour éviter les infections :
- connaitre et éviter les infections : https://www.malekal.com/fichiers/projetantimalwares/ProjetAntiMalware-courte.pdf
- sécuriser son PC : http://forum.malekal.com/comment-securiser-son-ordinateur.html
- lire : http://www.commentcamarche.net/faq/27128-malwares-quels-enjeux-version-synthese

Ce qu'il ne faut pas faire :
Je télécharge n'importe quoi - je m'infecte - evite les programmes par publicités ou sur les liens commerciaux des moteurs de recherche - ce sont des arnaques ::
Les PUPs/LPIs : https://www.malekal.com/adwares-pup-protection/
Exemple de ce qu'il ne faut pas faire :
https://forums.commentcamarche.net/forum/affich-19719198-onglets-pub-intempestifs#14
https://forums.commentcamarche.net/forum/affich-18347759-le-nouveau-avast-sonne-trop-souvent#9
Je télécharge depuis n'importe où - je m'infecte : https://forums.commentcamarche.net/forum/affich-19916973-clickpotato-vlc-virus#6
Recommandations sur la sécurité : https://forums.commentcamarche.net/forum/affich-18680013-windows-7-et-antispyware#1

Fonctionnement de quelques catégories de malwares :
https://forums.commentcamarche.net/forum/affich-17725521-virus-programme-troyen
https://forums.commentcamarche.net/forum/affich-17746390-concernant-la-propagation-des-virus 
------  

&#9654 &#9654 Pense à marquer le fil comme résolu   

------  

Si tu as d'autres questions,
Sur le fonctionnement des malwares
Ou comment tu t'es fait infecté
N'hésites pas.
On se quitte si le rapport DelFix est ok... 

@+

Ledodo01 · Answer

Merci beaucoup pour tout.

Voici le rapport DelFix:

Total space cleaned: 482933140 bytes

Ledodo01 · Answer

Toute mes excuses, le rapport précédant était celui de PureRa.

Voici le rapport DelFix:

# DelFix v8.6 - Rapport créé le 24/10/2011 à 22:32:32
# Mis à jour le 13/10/11 à 18h par Xplode
# Système d'exploitation : Windows 7 Ultimate  (32 bits)
# Nom d'utilisateur : Dorian - DORIAN-PC-FIXE (Administrateur)
# Exécuté depuis : C:\Users\Dorian\Desktop\delfix.exe
# Option [Suppression]


~~~~~~ Dossiers(s) ~~~~~~

Supprimé : C:\32788R22FWJFW
Supprimé : C:\ForceMove
Supprimé : C:\ZHP
Supprimé : C:\ProgramData\Microsoft\Windows\Start Menu\Programs\ZHP
Supprimé : C:\Program Files\Ad-Remover
Supprimé : C:\Program Files\ZHPDiag

~~~~~~ Fichier(s) ~~~~~~

Supprimé : C:\Ad-Report-CLEAN[1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\AdwCleaner[S2].txt
Supprimé : C:\forcemovelog.txt
Supprimé : C:\PhysicalDisk0_MBR.bin
Supprimé : C:\Users\Dorian\Desktop\AD-R.lnk
Supprimé : C:\Users\Dorian\Desktop\adwcleaner.exe
Supprimé : C:\Users\Dorian\Desktop\ComboFix.exe
Supprimé : C:\Users\Dorian\Desktop\forcemove.exe
Supprimé : C:\Users\Dorian\Desktop\proxy.txt.txt
Supprimé : C:\Users\Dorian\Desktop\search.txt
Supprimé : C:\Users\Dorian\Desktop\Triangle.2011.TRUEFRENCH.720p.BluRay.AC3.x264_WwW.Movie-City.Org_.mkv
Supprimé : C:\Users\Dorian\Desktop\ZHPDiag.txt
Supprimé : C:\Users\Dorian\Desktop\ZHPFixReport.txt
Supprimé : C:\Users\Dorian\Downloads\Kill.Bill.Volume.2.2004.1080p.FRENCH.mkv
Supprimé : C:\Users\Dorian\Downloads\ZHPDiag2.exe
Supprimé : C:\Users\Public\Desktop\ZHPDiag.lnk
Supprimé : C:\Users\Public\Desktop\ZHPFix.lnk
Supprimé : C:\Users\Public\Desktop\MBRCheck.lnk

~~~~~~ Registre ~~~~~~

Clé Supprimée : HKCU\Software\Ad-Remover
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\Swearware
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Ad-Remover
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\procexp90.Sys
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\PEVSystemStart
Clé Supprimée : HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\procexp90.Sys

~~~~~~ Autres ~~~~~~

-> Prefetch Vidé

*************************

DelFix[S1].txt - [2274 octets] - [24/10/2011 22:32:32]

########## EOF - C:\DelFix[S1].txt - [2398 octets] ##########

[Résolu] PC infecté par un Stealer

30 réponses

Newsletters