Ordi infecté via facebook...
Résolu/Fermé
A voir également:
- Ordi infecté via facebook...
- Mon ordi rame que faire - Guide
- Compte facebook piraté - Guide
- Qui regarde mon profil facebook - Guide
- Sondage facebook - Guide
- Piratage facebook changer mot de passe - Guide
7 réponses
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
22 mars 2012 à 13:50
22 mars 2012 à 13:50
Bonjour,
L'infection :
https://www.malekal.com/vers-facebook-en-vbs/
On va utiliser un outil de diagnostic plus complet qu'HijackThis :
--> Télécharge ZHPDiag (de Nicolas Coolman).
--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau ").
--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPDiag et choisir Exécuter en tant qu'administrateur)
--> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.
--> Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau.
--> Pour me transmettre le rapport, utilise le site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long.
L'infection :
https://www.malekal.com/vers-facebook-en-vbs/
On va utiliser un outil de diagnostic plus complet qu'HijackThis :
--> Télécharge ZHPDiag (de Nicolas Coolman).
--> Double-clique sur le fichier d'installation. Installe ZHPDiag avec les paramètres par défaut (N'oublie pas de cocher "Créer une icône sur le Bureau ").
--> Lance ZHPDiag en double-cliquant sur le raccourci présent sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPDiag et choisir Exécuter en tant qu'administrateur)
--> Clique sur la loupe (Lancer le diagnostic) puis laisse l'outil scanner.
--> Une fois le scan terminé, clique sur l'icône en forme de disquette et enregistre le fichier (le rapport de l'analyse) sur ton Bureau.
--> Pour me transmettre le rapport, utilise le site http://pjjoint.malekal.com/ car le rapport ZHPDiag est plutôt long.
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
22 mars 2012 à 14:15
22 mars 2012 à 14:15
--> Copie tout le texte présent en gras ci-dessous (Sélectionne-le, clique droit dessus et choisis "Copier").
M3 - MFPP: Plugins - [Dan AMOZIG] -- C:\Documents and Settings\Dan AMOZIG\Application Data\Mozilla\Firefox\Profiles\cry5bhwi.default\searchplugins\daemon-search.xml
O4 - HKLM\..\Run: [Pdll] . (...) -- C:\WINDOWS\system32\Knucker.A.vbe
O44 - LFC:[MD5.C28EA328499FB88AAED528771E11839E] - 08/02/2012 - 21:42:00 ---A- . (...) -- C:\Je_t'aime.vbe [2445]
O44 - LFC:[MD5.C28EA328499FB88AAED528771E11839E] - 08/02/2012 - 21:42:00 ---A- . (...) -- C:\WINDOWS\system32\Knucker.A.vbe [2445]
O69 - SBI: SearchScopes [HKCU] {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} - (DAEMON Search) - https://gamespace.daemon-tools.cc/fra/home
[MD5.FAE5ABB1E1C75D554AAF1BDFDF8E0BE4] [SPRF][27/07/2009] (...) -- C:\Program Files\MediaCoder-0.6.0.3905.exe [17743457]
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
EmptyFlash
EmptyTemp
--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)
--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper).
--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.
--> Une fois terminé, copie-colle le rapport dans ton prochain message.
M3 - MFPP: Plugins - [Dan AMOZIG] -- C:\Documents and Settings\Dan AMOZIG\Application Data\Mozilla\Firefox\Profiles\cry5bhwi.default\searchplugins\daemon-search.xml
O4 - HKLM\..\Run: [Pdll] . (...) -- C:\WINDOWS\system32\Knucker.A.vbe
O44 - LFC:[MD5.C28EA328499FB88AAED528771E11839E] - 08/02/2012 - 21:42:00 ---A- . (...) -- C:\Je_t'aime.vbe [2445]
O44 - LFC:[MD5.C28EA328499FB88AAED528771E11839E] - 08/02/2012 - 21:42:00 ---A- . (...) -- C:\WINDOWS\system32\Knucker.A.vbe [2445]
O69 - SBI: SearchScopes [HKCU] {AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8} - (DAEMON Search) - https://gamespace.daemon-tools.cc/fra/home
[MD5.FAE5ABB1E1C75D554AAF1BDFDF8E0BE4] [SPRF][27/07/2009] (...) -- C:\Program Files\MediaCoder-0.6.0.3905.exe [17743457]
[HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
EmptyFlash
EmptyTemp
--> Puis lance ZHPFix depuis le raccourci situé sur ton Bureau.
(Sous Vista/Win7, il faut cliquer droit sur le raccourci de ZHPFix et choisir Exécuter en tant qu'administrateur)
--> Une fois ZHPFix ouvert, clique sur le bouton "H" (Coller les lignes Helper).
--> Dans l'encadré principal, tu verras donc les lignes que tu as copié précédemment apparaître. Vérifie que toutes les lignes que je t'ai demandé de copier (et seulement elles) sont dans la fenêtre.
--> Clique sur "GO" pour lancer le nettoyage. Laisse l'outil travailler et ne touche à rien.
--> Une fois terminé, copie-colle le rapport dans ton prochain message.
Voici mon rapport:
Rapport de ZHPFix 1.12.3381 par Nicolas Coolman, Update du 08/02/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-23-03-2012-10-28-52.txt
Run by Dan AMOZIG at 23/03/2012 10:28:52
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/
========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Program Files\MediaCoder-0.6.0.3905.exe
========== Clé(s) du Registre ==========
SUPPRIME Key: SearchScopes :{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}
========== Valeur(s) du Registre ==========
ABSENT RunValue: Pdll
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
========== Dossier(s) ==========
SUPPRIME Flash Cookies: 17
SUPPRIME Temporaires Windows: : 76
========== Fichier(s) ==========
SUPPRIME File: c:\documents and settings\dan amozig\application data\mozilla\firefox\profiles\cry5bhwi.default\searchplugins\daemon-search.xml
SUPPRIME File: c:\windows\system32\knucker.a.vbe
SUPPRIME File: c:\je_t'aime.vbe
ABSENT File: c:\windows\system32\knucker.a.vbe
SUPPRIME File: c:\program files\mediacoder-0.6.0.3905.exe
SUPPRIME Flash Cookies: 9
SUPPRIME Temporaires Windows: : 58
========== Récapitulatif ==========
1 : Processus mémoire
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
2 : Dossier(s)
7 : Fichier(s)
End of clean in 00mn 01s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 23/03/2012 10:28:52 [1480]
Rapport de ZHPFix 1.12.3381 par Nicolas Coolman, Update du 08/02/2011
Fichier d'export Registre : C:\ZHP\ZHPExportRegistry-23-03-2012-10-28-52.txt
Run by Dan AMOZIG at 23/03/2012 10:28:52
Windows XP Professional Service Pack 2 (Build 2600)
Web site : http://www.premiumorange.com/zeb-help-process/zhpfix.html
Web site : http://nicolascoolman.skyrock.com/
========== Processus mémoire ==========
SUPPRIME Memory Process: C:\Program Files\MediaCoder-0.6.0.3905.exe
========== Clé(s) du Registre ==========
SUPPRIME Key: SearchScopes :{AD22EBAF-0D18-4fc7-90CC-5EA0ABBE9EB8}
========== Valeur(s) du Registre ==========
ABSENT RunValue: Pdll
SUPPRIME [HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]:{32099aac-c132-4136-9e9a-4e364a424e17}
========== Dossier(s) ==========
SUPPRIME Flash Cookies: 17
SUPPRIME Temporaires Windows: : 76
========== Fichier(s) ==========
SUPPRIME File: c:\documents and settings\dan amozig\application data\mozilla\firefox\profiles\cry5bhwi.default\searchplugins\daemon-search.xml
SUPPRIME File: c:\windows\system32\knucker.a.vbe
SUPPRIME File: c:\je_t'aime.vbe
ABSENT File: c:\windows\system32\knucker.a.vbe
SUPPRIME File: c:\program files\mediacoder-0.6.0.3905.exe
SUPPRIME Flash Cookies: 9
SUPPRIME Temporaires Windows: : 58
========== Récapitulatif ==========
1 : Processus mémoire
1 : Clé(s) du Registre
2 : Valeur(s) du Registre
2 : Dossier(s)
7 : Fichier(s)
End of clean in 00mn 01s
========== Chemin de fichier rapport ==========
C:\ZHP\ZHPFix[R1].txt - 23/03/2012 10:28:52 [1480]
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
23 mars 2012 à 13:39
23 mars 2012 à 13:39
Ok, fais un examen rapide avec Malwarebytes' Anti-Malware (mets-le à jour avant), supprime tout ce qu'il trouve et poste le rapport :
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/
Voici mon rapport!
Merci encore pour ton aide mec!
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.24.02
Windows XP Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.18702
Dan AMOZIG :: UNICORNI-94A7D9 [administrateur]
24/03/2012 18:05:51
mbam-log-2012-03-24 (18-05-51).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 271121
Temps écoulé: 46 minute(s), 29 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
F:\Incoming Emule\Adobe.Illustrator.CS4[hamlet][www.DivxTotaL.com]\keygen-RE-X-FORCE.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
(fin)
Merci encore pour ton aide mec!
Malwarebytes Anti-Malware 1.60.1.1000
www.malwarebytes.org
Version de la base de données: v2012.03.24.02
Windows XP Service Pack 2 x86 NTFS
Internet Explorer 8.0.6001.18702
Dan AMOZIG :: UNICORNI-94A7D9 [administrateur]
24/03/2012 18:05:51
mbam-log-2012-03-24 (18-05-51).txt
Type d'examen: Examen complet
Options d'examen activées: Mémoire | Démarrage | Registre | Système de fichiers | Heuristique/Extra | Heuristique/Shuriken | PUP | PUM
Options d'examen désactivées: P2P
Elément(s) analysé(s): 271121
Temps écoulé: 46 minute(s), 29 seconde(s)
Processus mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Module(s) mémoire détecté(s): 0
(Aucun élément nuisible détecté)
Clé(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Valeur(s) du Registre détectée(s): 0
(Aucun élément nuisible détecté)
Elément(s) de données du Registre détecté(s): 0
(Aucun élément nuisible détecté)
Dossier(s) détecté(s): 0
(Aucun élément nuisible détecté)
Fichier(s) détecté(s): 1
F:\Incoming Emule\Adobe.Illustrator.CS4[hamlet][www.DivxTotaL.com]\keygen-RE-X-FORCE.exe (Trojan.Agent) -> Mis en quarantaine et supprimé avec succès.
(fin)
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
25 mars 2012 à 04:00
25 mars 2012 à 04:00
Plus de souci ?
Poste un nouveau rapport HijackThis.
Poste un nouveau rapport HijackThis.
Vous n’avez pas trouvé la réponse que vous recherchez ?
Posez votre question
Destrio5
Messages postés
85985
Date d'inscription
dimanche 11 juillet 2010
Statut
Modérateur
Dernière intervention
17 février 2023
10 290
26 mars 2012 à 02:23
26 mars 2012 à 02:23
Pour finir :
1/
---> Télécharge DelFix sur ton Bureau.
* Lance DelFix puis clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.
2/
CCleaner risque de supprimer les identifiants et mots de passe enregistrés dans ton navigateur, tu pourras les remettre.
* Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
3/
---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.
==Prévention==
Désinstalle Java 6 Update 7. Adobe Reader n'est pas à jour :
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/
Conserve Malwarebytes' Anti-Malware pour faire un scan de temps en temps.
Par rapport au P2P : Lien
Voici un dossier complet (A lire avec Adobe Reader) : Lien
Sois plus vigilant(e) sur Internet ;)
1/
---> Télécharge DelFix sur ton Bureau.
* Lance DelFix puis clique sur le bouton Suppression.
* Poste le rapport (C:\DelFixSuppr.txt).
* Supprime DelFix.
2/
CCleaner risque de supprimer les identifiants et mots de passe enregistrés dans ton navigateur, tu pourras les remettre.
* Télécharge et installe CCleaner.
* Lance-le. Va dans Options puis Avancé et décoche la case Effacer uniquement les fichiers etc....
* Va dans Nettoyeur, choisis Analyse. Une fois terminé, lance le nettoyage.
3/
---> Il est nécessaire de désactiver puis réactiver la restauration système pour la purger.
==Prévention==
Désinstalle Java 6 Update 7. Adobe Reader n'est pas à jour :
https://www.malekal.com/maintenir-java-adobe-reader-et-le-player-flash-a-jour/
Conserve Malwarebytes' Anti-Malware pour faire un scan de temps en temps.
Par rapport au P2P : Lien
Voici un dossier complet (A lire avec Adobe Reader) : Lien
Sois plus vigilant(e) sur Internet ;)
# DelFix v8.8 - Rapport créé le 30/03/2012 à 10:22:29
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : Dan AMOZIG - UNICORNI-94A7D9 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Dan AMOZIG\Bureau\delfix.exe
# Option [Suppression]
~~~~~~ Dossiers(s) ~~~~~~
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\Trend Micro\Hijackthis
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\Extras.Txt
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\HiJackThis.lnk
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\hijackthis.log
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\log hijackthis 22-03-2012
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\OTL.exe
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\OTL.Txt
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\HijackThis
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
~~~~~~ Autres ~~~~~~
-> Prefetch Vidé
*************************
DelFix[S1].txt - [2033 octets] - [30/03/2012 10:22:29]
########## EOF - C:\DelFix[S1].txt - [2157 octets] ##########
# Mis à jour le 12/02/12 par Xplode
# Système d'exploitation : Microsoft Windows XP Service Pack 2 (32 bits)
# Nom d'utilisateur : Dan AMOZIG - UNICORNI-94A7D9 (Administrateur)
# Exécuté depuis : C:\Documents and Settings\Dan AMOZIG\Bureau\delfix.exe
# Option [Suppression]
~~~~~~ Dossiers(s) ~~~~~~
Supprimé : C:\ZHP
Supprimé : C:\Documents and Settings\All Users\Menu Démarrer\Programmes\ZHP
Supprimé : C:\Program Files\ZHPDiag
Supprimé : C:\Program Files\Trend Micro\Hijackthis
~~~~~~ Fichier(s) ~~~~~~
Supprimé : C:\AdwCleaner[R1].txt
Supprimé : C:\AdwCleaner[S1].txt
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\Extras.Txt
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\HiJackThis.lnk
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\hijackthis.log
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\log hijackthis 22-03-2012
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\OTL.exe
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\OTL.Txt
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\ZHPDiag.txt
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\ZHPDiag2.exe
Supprimé : C:\Documents and Settings\Dan AMOZIG\Bureau\ZHPFixReport.txt
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPDiag.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\ZHPFix.lnk
Supprimé : C:\Documents and Settings\All Users\Bureau\MBRCheck.lnk
~~~~~~ Registre ~~~~~~
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\ZHP
Clé Supprimée : HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu2\Programs\HijackThis
Clé Supprimée : HKLM\SOFTWARE\OldTimer Tools
Clé Supprimée : HKLM\SOFTWARE\AdwCleaner
Clé Supprimée : HKLM\SOFTWARE\TrendMicro\Hijackthis
Clé Supprimée : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ZHPDiag_is1
~~~~~~ Autres ~~~~~~
-> Prefetch Vidé
*************************
DelFix[S1].txt - [2033 octets] - [30/03/2012 10:22:29]
########## EOF - C:\DelFix[S1].txt - [2157 octets] ##########
22 mars 2012 à 14:03
voici mon lien ZHPdiag:
http://pjjoint.malekal.com/files.php?id=ZHPDiag_20120322_k10v6i911x12
Qu'en penses-tu?
menilmontant
22 mars 2012 à 14:12
Merci beaucoup pour ton aide!