Est-ce un virus ?Résolu/Fermé

Question

Bonjour, 

Voilà mon problème :

Il y a peu, j'ai tenté de télécharger sur un site pourtant tout à fait respectable, un lecteur vidéo de renommée. Mais juste après cela, mon PC a connu de nombreux problèmes. Après téléchargement d'un anti-virus (Avira Antivir control center), ce dernier m'indiqua qu'il y avait plusieurs trojans et autres choses peu recommandables sur mon PC. Il y eu mise en quarantaine (d'ailleurs, est-ce que cela est réellement efficace ? Ne peut-on complètement supprimer ces éléments perturbateurs ?) et les choses semblaient s'etre calmées.

Sauf que, après avoir discuté du problème subséquent avec un ami, il m'a confié que mon ordinateur était sans doute "infecté".

Le problème en question : dès que je clique sur une touche de mon clavier type ^^, ¨¨ ou parfois certaines autres, tout s'écrit en double. Ce qui fait que je ne peux plus utiliser l'accent circonflexe... c'est assez problématique. 

Auriez-vous une idée de la procédure à suivre pour retrouver un état normal ?

D'avance un grand merci,
Pierre.

neo*** · Answer

salut 

peux tu poster le rapport antivir stp ?

Pour analyser ton pc :

* Télécharge ZHPDiag
* Laisse toi guider lors de l'installation
* Il se lancera automatiquement à la fin de l'installation
* Clique sur l'icône représentant une loupe (« Lancer le diagnostic »)
* Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette
* Héberge le rapport ZHPDiag.txt sur ce site : http://www.cijoint.fr , puis copie/colle le lien fournit dans ta prochaine réponse sur le forum

glops · Answer

bonjour

d'abord commencer par faire un diagnostic complet de ton ordinateur en utilisant ce logiciel:

=> Télécharge  ce logiciel: https://www.zebulon.fr/telechargements/securite/systeme/zhpdiag.html 
=> Laisse toi guider lors de l'installation, il se lancera automatiquement à la fin. 
=> Clique sur l'icône représentant une loupe (« Lancer le diagnostic ») 
=> Enregistre le rapport sur ton Bureau à l'aide de l'icône représentant une disquette 
=> Héberge le rapport ZHPDiag.txt sur http://www.cijoint.fr/  puis copie/colle le lien fourni dans ta prochaine réponse sur le forum.

Pierre · Answer

Très bien, le voila :
http://www.cijoint.fr/cjlink.php?file=cj201004/cijiDDe7C3.txt

Merci.

glops · Answer

il faut cliquer sur le bouton vert "j'ai une réponse"

glops · Answer

oups pas vu neo*** je te laisse faire ;)

neo*** · Answer

hello glops ;)

pierre pour répondre il faut cliquer sur "j'ai une reponse" ;)

tu as plusieurs infections, on va sans doute utiliser plusieurs outils, meme si je ne repond pas de suite, je ne t'oublie pas ;)


==> Désactive le contrôle des comptes utilisateurs (tu le réactiveras après ta désinfection):
UAC

* Va dans démarrer puis panneau de configuration 
* Double Clique sur l'icône "Comptes d'utilisateurs" 
* Clique ensuite sur désactiver et valide.

ENSUITE

* Telecharge UsbFix (de C_XX & el desaparecido) sur ton bureau

* Branche tes sources de données externes à ton PC, (clé USB, disque dur externe, etc...) suceptibles d'avoir été infectées sans les ouvrir
* Double clic sur le raccourci UsbFix présent sur ton bureau
* choisi l'option 2 ( Suppression )
* Ton bureau disparaîtra et le pc redémarrera .
* Au redémarrage , UsbFix scannera ton pc , laisse travailler l'outil.

* Ensuite post le rapport UsbFix.txt qui apparaîtra avec le bureau .
* Note : Le rapport UsbFix.txt est sauvegardé a la racine du disque.( C:\UsbFix.txt )

Un tutoriel pour t'aider ici

* :!: UsbFix te proposera peut être d'uploader un dossier compressé à cette adresse
* Ce dossier a été créé par UsbFix et est enregistré sur ton bureau.
* Il faut l'envoyer à l'adresse indiquée afin d'aider l'auteur de UsbFix dans ses recherches.
* Merci d'avance pour ta contribution !!

* Note : "Process.exe", une composante de l'outil, est détecté par certains antivirus (AntiVir, Dr.Web, Kaspersky Anti-Virus) comme étant un RiskTool.
Il ne s'agit pas d'un virus, mais d'un utilitaire destiné à mettre fin à des processus.
Mis entre de mauvaises mains, cet utilitaire pourrait arrêter des logiciels de sécurité (Antivirus, Firewall...) d'où l'alerte émise par ces antivirus

Pierre · Answer

Merci beaucoup pour ta précieuse aide Neo. De même pour Glops. 

Voilà le rapport UsbFix :

http://www.cijoint.fr/cjlink.php?file=cj201005/cij16Rtd3C.txt

Faut-il autre chose ?
Je suis en attente de vos directives.

neo*** · Answer

salut 

je te dirai quand on aura fini, rassure toi ;)

Télécharge Malwarebytes' Anti-Malware 

- Sur la page cliques sur Télécharger Malwarebyte's Anti-Malware 
- Enregistres le sur le bureau 
- Double cliques (clic droit en tant qu'administrateur sous vista/seven) sur le fichier téléchargé pour lancer le processus d'installation 
- Mets le a jour /!\  
-  Double-cliques (clic droit en tant qu'administrateur sous vista/seven) sur l'icône de malwarebytes pour le relancer 
- Dans l'onglet, Recherche, probablement ouvert par défaut, 
- Sélectionne Exécuter un examen complet et Rechercher 
- Si des malwares ont été détectés, cliques sur Afficher les résultats 
- Sélectionnes tout (ou laisses cochés) et cliques sur Supprimer la sélection Malwarebytes va détruire les fichiers et clés de registre et en mettre une copie dans la quarantaine. 
- Colle le rapport ici, il se trouve dans l'onglet rapport/log

Si tu as besoin d'aide regarde ce tutoriel 
https://www.malekal.com/tutoriel-malwarebyte-anti-malware/

ps: s'il te demande de redemarrer : fais le !

Pierre · Answer

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Version de la base de données: 4056

Windows 6.0.6001 Service Pack 1
Internet Explorer 7.0.6001.18000

01/05/2010 14:19:32
mbam-log-2010-05-01 (14-19-32).txt

Type d'examen: Examen complet (C:\|D:\|E:\|F:\|G:\|H:\|)
Elément(s) analysé(s): 247840
Temps écoulé: 1 heure(s), 33 minute(s), 57 seconde(s)

Processus mémoire infecté(s): 0
Module(s) mémoire infecté(s): 0
Clé(s) du Registre infectée(s): 1
Valeur(s) du Registre infectée(s): 4
Elément(s) de données du Registre infecté(s): 0
Dossier(s) infecté(s): 0
Fichier(s) infecté(s): 6

Processus mémoire infecté(s):
(Aucun élément nuisible détecté)

Module(s) mémoire infecté(s):
(Aucun élément nuisible détecté)

Clé(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

Valeur(s) du Registre infectée(s):
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\mcexecwin (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87sdhfush87fsufhuie3fddf (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\winid (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hsf87efjhdsf87f3jfsdi7fhsujfd (Trojan.Downloader) -> Quarantined and deleted successfully.

Elément(s) de données du Registre infecté(s):
(Aucun élément nuisible détecté)

Dossier(s) infecté(s):
(Aucun élément nuisible détecté)

Fichier(s) infecté(s):
C:\Users\Pierre\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\LPQUAML1vqxfn[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Pierre\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Q01AISCZ
ewupdate1142C[1].exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\Pierre\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\Q01AISCZ\hypwhc[1].htm (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Pierre\AppData\Local\Temp\gmfrxpgv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Pierre\AppData\Roaming\002A951AABAFFF012CD480A9184B290A
ewupdate1142C.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\Pierre\AppData\Local\Temp\jisfije9fjoiee.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

neo*** · Answer

Je voudrais vérifier quelque chose, ce sera un des derniers outils a passer ensuite on devrait pouvoir terminer :

 /!\ Il faut impérativement désactiver tous tes logiciels de protection pour utiliser ce programme/!\

    * Rends toi sur cette page, et clique sur "Download EXE" pour télécharger Gmer (sous un nom aléatoire, pour éviter qu'il soit bloqué par une infection)
    * Lance Gmer
    * Dans l'onglet "Rootkit", clique sur "Scan" puis patiente.
    * A la fin, clique sur "Save" et enregistre le rapport sur ton Bureau.
    * si le rapport est long, heberge le stp comme pour zhpdiag

Pierre · Answer

Je fais ça de suite. 

J'ai oublié de dire que dans la manipulation précédente, Avira Antivir a plusieurs fois bippé pour me prévenir de présence de virus ou tentatives d'intrusions.

Je pense que ça doit être normal mais je préférais te le dire...

Pierre · Answer

J'ai suivi tes instructions et lancé le scan. Malheureusement, cela a eu pour conséquence de littéralement bloquer mon ordinateur. Je l'ai alors rebooté et les choses sont revenues à la normale...

neo*** · Answer

Utilise Defogger pour permettre à Gmer de fonctionner :
* Télécharge Defogger et lance le
* Une fenêtre apparait clique sur Disable
* Redémarre le PC si demandé

Puis réessaye Gmer stp :)

Pierre · Answer

Même chose.
Dès que je lance Gmer, le PC se bloque complètement et je suis obligé de l'éteindre...

neo*** · Answer

pas grave, on va faire autrement 

/!\ Le logiciel qui suit n'est pas à utiliser à la légère ! Ne le faites que si un helpeur vous l'a recommandé. /!\ 

Ce logiciel est puissant et une mauvaise utilisation peut faire des dégâts... Suis exactement cette procedure :

Télécharge ComboFix (de sUBs) sur ton Bureau (et pas ailleurs !). Pour cela, fais un clic droit sur ce lien et choisis "enregistrer la cible sous ... " et tape C-Fix  dans la fenêtre qui s'ouvre et valide.

Déconnecte toi, ferme toutes tes applications en cours et DESACTIVE TOUTES TES DEFENCES, antivirus... 
(qui pourraient gêner fortement l'outil...Tu les réactiveras donc après ! )
(pour antivir, clic droit sur le parapluie dans la barre des taches et arreter guard)


Tuto ici pour installer la Console de récupération (important en cas de problème) : https://www.bleepingcomputer.com/combofix/fr/comment-utiliser-combofix 

postes le rapport stp

(ne touche a rien pendant que l'outil travaille pour ne pas figer ton pc)

Pierre · Answer

Je vais tenter.
Il faut également désactiver les protections windows ? Je sais qu'il y a un pare-feu inclus mais le reste, pas la moindre idée. 

Je n'aimerais pas faire quelque chose de mal ;)

neo*** · Answer

parefeu pas grave, pour windows defender, c'est la : https://support.microsoft.com/en-us/windows?ui=en-US&rs=en-001&ad=US
mais le + important c'est antivir

Pierre · Answer

Bonsoir,

Voilà le fichier que tu as demandé :

 http://www.cijoint.fr/cjlink.php?file=cj201005/cijNgXHR2r.txt

Pierre · Answer

Ne m'oublie pas s'il te plait ^^

neo*** · Answer

Salut Pierre, 

desole pour le délai mais beaucoup de taf en ce moment , je n'ai jamais laissé tomber personne, je ne vais pas commencer avec toi :) 

As tu encore des soucis ? lenteur, message erreur ... ton dernier rapport est Ok ! 

Si la réponse est non, dis le moi, on pourra passer a la fin, mises a jour de tes programmes , nettoyer les outils qui nous ont servis et optimiser ta sécurité, je te donnerai ca ce soir ou demain sans faute ;) 

pour cela, peux tu me remettre un dernier rapport Zhpdiag stp 

On réfléchit et on clique, PAS L' INVERSE, sinon => CCM. Lorsque vous vous faites aider, 
MERCI de rester jusqu'au bout, ce n'est pas parce que ca va mieux, que votre pc est clean !!

Pierre · Answer

Salut Neo !

Désolé moi également assez surchargé en ce moment. Alors effectivement je n'ai vraisemblablement plus de messages d'erreur de la part de mon antivirus ou autre, et mon accent circonflexe fonctionne de nouveau (^^). 

Cela veut-il dire que tout est bon ?

Merci à toi, vraiment...

neo*** · Answer

salut 

pense a mettre un dernier rapport zhpdiag pour terminer stp comme je t'ai demandé, il reste quelques manips a faire pour ne pas te reinfecter

Pierre · Answer

Hello,

Désolé du retard, voilà le rapport : 

http://www.cijoint.fr/cjlink.php?file=cj201005/cijylKUGw5.txt

neo*** · Answer

hello pierre :)

Très bien, ton ordinateur n'est plus infecté ! 

Il reste quelques petites choses a faire pour finir le nettoyage et pour optimiser ton pc, tout est important pour ne pas te reinfecter :

==>Sécurité

MAJ:
MAJ vista sp2 : https://support.microsoft.com/en-us/windows/install-windows-vista-service-pack-2-sp2-468d1d75-4f9b-0855-6900-47d65cbdac1b


MAJ IE8 : https://support.microsoft.com/en-us/office/internet-explorer-help-23360e49-9cd3-4dda-ba52-705336cc0de2?ui=en-US&rs=en-001&ad=US


* Adobe Reader n'est pas à jour, ouvre Adobe, onglet Aide puis rechercher des mises a jour
A cause de ca


Java n'est pas à jour, c'est une faille de sécurité.
Il faut d'abord désinstaller l'ancienne version : Ouvre le menu démarrer --> panneau de configuration --> ajout/suppression de programmes --> sélectionne toutes les versions de java présentes et désinstalle les.
Ensuite, télécharge et installe la nouvelle version depuis le site officiel de java : https://java.com/fr/


* Tu dois aussi mettre à jour tous tes autres programmes pour combler des failles de sécurité... Vérifie les mises disponibles à l'aide de ce petit programme (choisis la version sans installation) : Update Checker 

pourquoi tenir ses programmes a jour

Tu as des restes de Norton, utilises ceci pour les supprimer proprement :
http://service1.symantec.com/SUPPORT/INTER/tsgeninfointl.nsf/fr_docid/20050414110429924

* En complément, garde MalwareBytes pour son scan de nettoyage performant. (1 fois par mois en fonction de ta navigation

 Pour naviguer sur internet plus en sécurité et à l'abri des publicités, je te conseille vivement d'utiliser le navigateur Firefox 3 (en le mettant a jour : onglet "?" et rechercher des maj) avec deux extensions : 
AdBlockPlus pour bloquer les publicités ; 


WOT, pour t'avertir des sites web dangereux. 



==> Re ouvre Zhpfix et clique sur Le A (avec une petite corbeille) pour supprimer les outils dont on s'est servi 



==>Télécharge et installe Ccleaner (si ce n'est déjà fait) : 

Lance CCleaner 
Option --> avancé --> décoche « effacer uniquement les fichiers plus vieux que 48h » 
Puis nettoyeur --> Analyse > Lancer le nettoyage, puis sur OK dans la fenêtre qui s' affiche. 
Enfin, registre --> corrige toutes les erreurs, et recommence jusqu'à ce qu'il ne trouve plus d'erreurs. 

(Tu peux garder ce logiciel et l'utiliser régulièrement). 



==> Pour finir le nettoyage, il faut purger la restauration du système (pour supprimer les points de restauration infectés). 
Menu démarrer : clique droit sur ordinateur : propriétés : protection du système
 Désactiver la restauration du système sur tous les lecteurs 
 Clique sur OK. 

Puis refais la manipulation inverse pour réactiver la restauration système.


 
==> Un peu de lecture avec des informations de prévention et de protection contre les infections (environ 15 minutes de lecture très instructive et utile): 
Prévention et sécurité sur internet et ceci


Bonne continuation et n'hésite pas à poser des questions en cas de besoin ;)

Pierre · Answer

Merci pour tout Neo, tu as vraiment été ultra sympa. 
Super site, excellents interlocuteurs : parfait ;)

Bonne fin de journée et peut-être à bientôt.

Est-ce un virus ?

25 réponses

Discussions similaires

Newsletters