FORUM D’ENTRAIDE INFORMATIQUE (FEI)Site d’assistance et de sécurité informatique

[Rasbosa]

Bonjour,

Il y a quelque temps mon PC a été infesté par un virus, je pensais avoir réussi à le supprimer mais je trouve que mon PC rame toujours et de temps en temps, j'ai une fenêtre bizarre qui s'ouvre me proposant l'installation de windows version 2011 2014...

Merci de votre aide. (Je ne m'y connais pas trop en informatique)

[g3n-h@ckm@n]

salut tu peux faire une capture de cette fenetre ?

[Rasbosa]

Oui je le ferais mais ça n'a plus l'air de s'afficher, peut-être que j'ai réussi à la supprimer... J'avais essayé plusieurs fois de nettoyer mon pc avec adw cleaner ça a peut-être fini par marcher

[g3n-h@ckm@n]

salut

c'est ca que j'ai du mal à comprendre :

windows version 2011 2014...

[Rasbosa]

En fait, c'est une fenêtre avec en en-tête "Windows Version installer
2011-2014 (C) All Rights Reserved" mais ça fait pas comme un truc normal windows. Depuis hier ce n'est pas réapparu mais mon pc est lent et quand je l'allume l'écran reste tout noir pendant longtemps quand même.

[g3n-h@ckm@n]

• Désactive ton antivirus sinon l'outil ne pourra pas travailler convenablement.
• Télécharge Shortcut_Module sur ton bureau.
  
  Note : Enregistrer votre travail avant de continuer !
• Lance Shortcut_Module,
• Clic sur Nettoyer
  
  
  
  Note : Patiente le temps du scan
• Laisse travailler l'outil même s'il te parait bloqué
• Si l'outil détecte un proxy que tu ne connais pas clic sur : "Supprimer le proxy"
• Héberge le rapport C:\Shortcut_Module_date_heure.txt sur http://upload.sosvirus.net/ puis donne le lien obtenu

[Rasbosa]

Je viens de la faire, voilà le rapport:

http://upload.sosvirus.net/www/?a=di=7aNNoWt7cq

[g3n-h@ckm@n]

re

il va falloir choisir entre F-Secure et Microsoft security essentials

je te suggère de désinstaller MSE et garder F-Secure

[Rasbosa]

Re,
j'ai gardé que F-Secure. Et c'est tout bon sinon ?

[g3n-h@ckm@n]

on va faire un scan généraliste , puis un diagnostique

• Télécharge MalwareBytes
• Procède à l'installation de celui çi Décocher "Activer l'essai gratuit de Malwarebytes Anti-Malware Premium"
• Clic sur Mettre à jour (à droite, au centre)
• Clic sur Examen (en haut)
• Sélectionne Examen "Menaces"
• Clic sur Examiner maintenant
  
  
• A la fin du scan clic sur Tout mettre en quarantaine !
• Clic sur Copier dans le Presse-papiers
• Un rapport va s'ouvrir. Copie/Colle son contenue dans ta prochaine réponse.

[Rasbosa]

Je mets le rapport mais il a rien trouvé.


Malwarebytes Anti-Malware
http://www.malwarebytes.org

Date de l'examen: 02/06/2014
Heure de l'examen: 14:48:33
Fichier journal:
Administrateur: Oui

Version: 2.00.2.1012
Base de données Malveillants: v2014.06.02.04
Base de données Rootkits: v2014.05.21.01
Licence: Gratuite
Protection contre les malveillants: Désactivé(e)
Protection contre les sites Web malveillants: Désactivé(e)
Self-protection: Désactivé(e)

Système d'exploitation: Windows 7 Service Pack 1
Processeur: x64
Système de fichiers: NTFS
Utilisateur: Delphine

Type d'examen: Examen "Menaces"
Résultat: Terminé
Objets analysés: 268603
Temps écoulé: 12 min, 56 sec

Mémoire: Activé(e)
Démarrage: Activé(e)
Système de fichiers: Activé(e)
Archives: Activé(e)
Rootkits: Désactivé(e)
Heuristics: Activé(e)
PUP: Activé(e)
PUM: Activé(e)

Processus: 0
(No malicious items detected)

Modules: 0
(No malicious items detected)

Clés du Registre: 0
(No malicious items detected)

Valeurs du Registre: 0
(No malicious items detected)

Données du Registre: 0
(No malicious items detected)

Dossiers: 0
(No malicious items detected)

Fichiers: 0
(No malicious items detected)

Secteurs physiques: 0
(No malicious items detected)


(end)

[g3n-h@ckm@n]

dac' on fait le diag et si tout bon , on finit avec un bon ménage

• Copie le script ci dessous :
  
  HKCU\Software
      HKLM\Software
      HKCU\Software\Microsoft\Command Processor /s
      HKLM\Software\Microsoft\Command Processor /s
      %Homedrive%\*
      %Homedrive%\*.
      %Userprofile%\*
      %Userprofile%\*.
      %Allusersprofile%\*
      %Allusersprofile%\*.
      %LocalAppData%\*
      %LocalAppData%\*.
      %Userprofile%\Local Settings\Application Data\*
      %Userprofile%\Local Settings\Application Data\*.
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*
      %Userprofile%\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\WritableRoot\#SharedObjects\*.
      %programFiles%\*
      %programfiles%\Google\Desktop\Install /s
      %programFiles%\*.
      %Systemroot%\Installer\*.
      %Systemroot%\Temp\*.exe /s
      %systemroot%\system32\*.dll /lockedfiles
      %systemroot%\system32\*.exe /lockedfiles
      %systemroot%\system32\*.in*
      %systemroot%\Tasks\*
      %systemroot%\Tasks\*.
      %systemroot%\system32\Tasks\*
      %systemroot%\system32\Tasks\*.
      %systemroot%\system32\drivers\*.sy* /lockedfiles
      %systemroot%\system32\config\*.exe /s
      %Systemroot%\ServiceProfiles\*.exe /s
      %systemroot%\system32\*.sys
      dir %Homedrive%\* /S /A:L /C
      msconfig
      activex
      /md5start
      explorer.exe
      winlogon.exe
      wininit.exe
      volsnap.sys
      atapi.sys
      ndis.sys
      cdrom.sys
      i8042prt.sys
      iastor.sys
      tdx.sys
      netbt.sys
      afd.sys
      /md5stop
      netsvcs
      safebootminimal
      safebootnetwork
      CREATERESTOREPOINT
• Télécharge OTL (by OldTimer) sur ton bureau.
• Lance OTL, exécuter en tant qu'administrateur sous Windows : 7/8 et Vista
• Coche/Sélectionne les cases comme l'image ci dessous
• Colle le Script copié plus haut dans la partie inférieure d'OTL "Personnalisation"
• Clique sur Analyse
  
  
• Une fois le scan terminé 1 ou 2 rapports vont s'ouvrir OTL.txt et Extras.txt.
• Héberge les rapports OTL.txt et Extras.txt sur SosUpload, puis copie/colle le lien fourni dans ta prochaine réponse sur le forum
  
  Note : Au cas où, tu peux les retrouver dans le dossier C:\OTL ou sur ton bureau en fonction des cas rencontrés
  
  En cas de problème avec SOSUpload, utiliser Cjoint

[Rasbosa]

Alors voilà les deux rapports:

http://upload.sosvirus.net/www/?a=di=x5MKOiCoat

http://upload.sosvirus.net/www/?a=di=IWb3ixT3Ak

[g3n-h@ckm@n]

Fais analyser le(s) fichier(s) suivants sur Virustotal :

http://www.virustotal.com/index.html

clique sur "Parcourir" et trouve puis selectionne ce(s) fichier(s) :

C:\Users\Delphine\AppData\Roaming\InstallW\IWsrv.exe

* Clique maintenant sur Envoyer le fichier. et laisse travailler tant que "Situation actuelle : en cours d'analyse" est affiché.
* Il est possible que le fichier soit mis en file d'attente en raison d'un grand nombre de demandes d'analyses. En ce cas, il te faudra patienter sans actualiser la page.
* Lorsque l'analyse est terminée colle le lien de(s)( la) page(s) dans ta prochaine réponse.

[Rasbosa]

Voilà les liens:

-https://www.virustotal.com/fr/file/ce6f ... 401716985/
-https://www.virustotal.com/fr/file/e0f4 ... 401717177/
-https://www.virustotal.com/fr/file/b303 ... 401717203/
-https://www.virustotal.com/fr/file/52b3 ... 401717193/

[Rasbosa]

Désolée, je viens de me rendre compte que j'ai pas tout copié dans la fenêtre personnalisation d'OTL, du coup j'ai refait et j'ai ces deux rapports:

http://upload.sosvirus.net/www/?a=di=mlrE08y4op
http://upload.sosvirus.net/www/?a=di=BhcMWLqs1U

[g3n-h@ckm@n]

relance shortcut_module , laisse-le se mettre à jour puis refais un nettoyage

ensuite par securtié tu changeras tes mots de passe d'accès aux sites internet car au vu du résultat de virustotal , il semblerait que ces fichiers appartiennent à un programme de prise de contrôle à distance :


RemoteAccess (successful)
Router (failed)
RASMAN (successful)

[Rasbosa]

Je viens de finir l'analyse, il y avait encore des éléments infectés, le rapport:

http://upload.sosvirus.net/www/?a=di=hx7D3GVETW

[g3n-h@ckm@n]

c'est ok c'est bien ce qu il m'avait semblé aussi

refais OTL selon les consignes précédentes voir s'il ne reste rien de .... douteux

[Rasbosa]

J'ai fait OTL, voilà les deux rapports en esperant qu'il ne reste rien...


http://upload.sosvirus.net/www/?a=di=F1dxs5X23N
http://upload.sosvirus.net/www/?a=di=3rD1OdUxJR

[g3n-h@ckm@n]

colle ce texte en bas d'OTL puis clique sur correction et poste le nouveau rapport


:OTL
O2 - BHO: (no name) - {8590886E-EC8C-43C1-A32C-E4C2B0B6395B} - No CLSID value found.
O2 - BHO: (no name) - {9030D464-4C02-4ABF-8ECC-5164760863C6} - No CLSID value found.
O2 - BHO: (no name) - {E76FD755-C1BA-4DCB-9F13-99BD91223ADE} - No CLSID value found.
O3 - HKU\S-1-5-21-4256333775-1849228341-3884480690-1000\..\Toolbar\WebBrowser: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - No CLSID value found.
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Infodelivery present
O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoActiveDesktop = 1
O7 - HKU\S-1-5-21-4256333775-1849228341-3884480690-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoLowDiskSpaceChecks = 1
[2014/05/12 22:27:39 | 000,000,000 | ---D | C] -- C:\ProgramData\Microsoft\Windows\Start Menu\Programs\YAC
[1 C:\Users\Delphine\Documents\*.tmp files - C:\Users\Delphine\Documents\*.tmp - ]
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] C:\Program Files (x86)\Adoxe (Adobe Systems Incorporated)
[2014/01/16 02:42:40 | 000,608,032 | ---- | M] (McAfee, Inc.) -- C:\SecurityScanner.dll
[2014/05/10 15:18:36 | 000,000,000 | ---D | M] -- C:\ProgramData\Norton
[2012/01/03 21:36:10 | 000,000,000 | ---D | M] -- C:\ProgramData\NortonInstaller
[2013/04/17 16:08:10 | 000,000,000 | ---D | M] -- C:\ProgramData\McAfee

:reg
[HKLM\Software\Microsoft\Windows\CurrentVersion\Run]
""=-
[-HKEY_LOCAL_MACHINE\Software\Symantec]
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile]
"EnableFirewall"=DWORD:0
"DefaultInboundAction"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile]
"EnableFirewall"=DWORD:0
"DefaultInboundAction"=-
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\PublicProfile]
"EnableFirewall"=DWORD:0
"DefaultInboundAction"=-

:files
C:\Windows\system32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\*

:commands
[emptytemp]

[Rasbosa]

Voilà le rapport:

http://upload.sosvirus.net/www/?a=di=KP6umwtHeV

[g3n-h@ckm@n]

Parfait des soucis persistent ?

[Rasbosa]

Non ça a l'air d'aller il est un petit peu mou mais c'est peut etre normal... C'est tout bon? 

[g3n-h@ckm@n]

on fait le menage : http://gen-hackman.purforum.com/t50-fin-de-desinfection

[Rasbosa]

Voilà le rapport DelFix: http://upload.sosvirus.net/www/?a=di=kCCTXyMh8m

[g3n-h@ckm@n]

vu

[Rasbosa]

J'ai tout fait, merci beaucoup en tout cas, c'est super cool, sans vous je n'y serais jamais arrivée ^^

[Rasbosa]

Re, en fait j'ai encore un problème j'ai un spyware que mon anti virus arrive pas à supprimer, j'ai déjà essayé plusieurs fois mais à chaque fois il est encore la... Je fais comment ?

[g3n-h@ckm@n]

re

précise ?

[Rasbosa]

J'ai fait une analyse avec F-secure il me met que j'ai un spyware que j'ai une infection du système redirected hosts file et qu'il faut nettoyer mais ça marche pas quand je nettoie il est là la fois d'après.
Et si je fais afficher le rapport j'ai ça:

mercredi 4 juin 2014 12:59:01 - 13:00:32

Nom de l'ordinateur: DELPHINE-HP
Type d'analyse: Recherche de virus et logiciels espions
Cible : Système
Résultat: 1 antiprogramme(s) détecté(s)
Vous devez redémarrer le système pour terminer les actions de nettoyage !
Redirected hosts file (Ficher hôte redirigé)

Action : mis en quarantaine

Statistiques
Analysé(s):

Fichiers: 5690
Non analysés: 0

Résultat:

Virus: 0
Spyware: 1
Eléments suspects: 0
Programme à risque: 0

Actions:

Nettoyé(s): 0
Renommé(s): 0
Supprimé(s): 0
Quarantaine: 1
Echec: 0

Secteurs d'amorçage:

Analysé(s): 0
Infecté(s): 0
Eléments suspects: 0
Nettoyé(s): 0

Options
Version des définitions:

Virus: 2014-06-04_03
Spyware: 2014-06-04_03

Moteurs d'analyse :

F-Secure Aquarius: 11.00.01, 2014-06-04
F-Secure Hydra: 5.12.52, 2014-06-04
F-Secure Online: 13.60.67, 0-00-00
F-Secure Gemini: 3.02.243, 2014-05-27

Options d'analyse :

Analyser les fichiers définis : ANI ASP AX BAT BIN BOO CHM CMD COM CPL DLL DOC DOT DRV EML EXE HLP HTA HTM HTML HTT INF INI JOB JS JSE LNK LSP MDB MHT MPP MPT MSG MSO OCX PDF PHP PIF POT PPT RTF SCR SHS SWF SYS TD0 TMP VBE VBS VXD WBK WMA WMV WMF WSC WSF WSH WRI XLS XLT XML CLASS ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
Analyser le contenu des archives

Actions:

Virus: Interroger après analyse
Spyware: Interroger après analyse

Copyright © 1998-2012 Assistance produit | Envoi d'un échantillon de virus à F-Secure
F-Secure n'assume aucune responsabilité quant au matériel créé ou publié par une tierce partie et référencé par un lien dans les pages Web de F-Secure. Sauf mention contraire explicite, vous acceptez qu'en soumettant du matériel sur l'un de nos serveurs, par exemple via courriel ou formulaire CGI de F-Secure, le matériel mis à disposition peut dès lors être publié sur les pages Web de F-Secure ou sur support papier. Vous accéderez au site Web public de F-Secure en cliquant sur les liens soulignés. Ainsi, votre accès est enregistré dans nos statistiques privées avec votre nom de domaine. Ces informations ne sont communiquées à aucune tierce partie. Vous vous engagez à ne pas intenter de procédure judiciaire contre notre société en relation avec le matériel soumis. Sauf mention contraire explicite, F-Secure peut inclure dans ses propres produits/publications tout concept relatif au matériel mis à sa disposition, sans aucun engagement de responsabilité.

[g3n-h@ckm@n]

c'est bidon il dit même pas ce que c'est

et pour le host , c'est les adresses déposées dans ton fichier host par unchecky

[Rasbosa]

Et du coup je fais quoi ? Rien ?

[g3n-h@ckm@n]

essaie de voir ce que c'est cet antiprogramme qu il detecte , quand même

[Rasbosa]

J'ai trouvé l'antiprogramme qu'il détecte c'est un fichier hosts mais je sais pas ce que c'est exactement. C'est à l'emplacement : C:\Windows\System32\drivers\etc

[g3n-h@ckm@n]

il te dit n'importe quoi F-secure

[Rasbosa]

Je laisse tomber alors et je change d'antivirus ?

[g3n-h@ckm@n]

je te conseille plutot avast

[Rasbosa]

Dac je vais faire ça alors merci

[g3n-h@ckm@n]

bien je peux fermer le sujet ?